Жестокая реальность глобальной атаки вредоноса-вымогателя WannaCry, поразившего компьютерные системы в 150 странах, такова: злоумышленники воспользовались массовой неподготовленностью пользователей.

В производственных и автомобилестроительных предприятиях, в больницах и госструктурах заражение произошло из-за применения старых версий Windows и игнорирования заплат, выпущенных Microsoft еще в марте для новых версий ОС.

Часто инфицирование происходило из-за того, что пользователи переходили по ссылкам из сообщений электронной почты или запускали приложенный исполняемый файл вредоноса, сжатый в формате ZIP.

Вирус-вымогатель, известный также под названиями WannaCrypt и WannaCrypto, после первичного проникновения распространился по внутрикорпоративным сетям организаций с беспрецедентной скоростью. По оценкам, всего за пару дней он заразил сотни тысяч компьютеров.

WannaCry убедительно продемонстрировал, что многие по-прежнему недостаточно подготовлены к широкомасштабным атакам подобного рода

Вскоре после начала эпидемии автор блога MalwareTech обнаружил «аварийный выключатель», с помощью которого можно предотвратить порчу данных вирусом: выяснилось, что тот проверял доступность некоего домена и при положительном результате не выполнял вредоносных действий. Исследователь зарегистрировал этот домен, что позволило замедлить распространение.

Компьютеры, зараженные WannaCry, выводятся им из строя до уплаты выкупа в размере от 300 до 600 долл. США в биткоинах, обеспечивающих анонимное получение платежей.

Глобальная кибератака с использованием вируса вымогателя WannaCry началась 12 мая. Вирус заразил сотни тысяч компьютеров по всему миру. Под атаку хакеров также попали компьютеры госучреждений. В России об отражении кибератаки заявили в РЖД, Минздраве, Сбербанке, МВД и МЧС.

Вирус вначале поразил сети в ряде стран Европы, после чего передался в другие регионы, заразив в том числе банкоматы в Китае и системы российского МВД. В США в числе прочих пострадала курьерская служба FedEx.

Атакующие воспользовались инструментами, предположительно разработанными в АНБ, о похищении которых объявила хакерская группа, называющая себя Shadow Brokers. По мнению части аналитиков, организаторами атаки Wanna­Cry, скорее всего, является криминальная группировка, действующая сугубо из соображений незаконного обогащения.

Эпидемия WannaCry выглядит как следствие неправдоподобного сочетания «шпионской истории» с тотальной халатностью пользователей и ИТ-специалистов множества, казалось бы, очень серьезных организаций.

«'11 сентября 2001-го' в киберпространстве еще не произошло, но WannaCry дал понять, как это может быть», — комментирует Мелих Абдулхайоглу, глава Comodo.

Ситуация с WannaCry выглядит особенно пугающей ввиду сознания вероятности ее повторения. «Есть все основания ожидать новых атак, составленных по аналогичному рецепту, — уверена аналитик Gartner Авива Литан. — Произошедшее в очередной раз громко напомнило о необходимости своевременной установки заплат и наличия многоуровневой системы мер безопасности, применяемых в корпоративных сетях и на оконечных точках».

Джон Халамка, ИТ-директор медицинского центра Beth Israel Deaconess, подчеркивает необходимость многослойной защиты: «Речь идет о сочетании политик, технологий и обучения».

Что касается политик, они могут быть самыми «экстремальными» — вплоть до полного запрета производить запись данных на всех рабочих станциях в организации, чтобы при открытии вредоносного исполняемого файла он не имел возможности совершить никаких действий. В числе защитных технологий можно пользоваться системами фильтрации веб-контента, настроенными так, чтобы никакие ссылки и вложения не могли попасть в сообщения электронной почты в обход фильтров. А в рамках учебных программ можно устраивать в организациях тренировочные фишинговые кампании, проверяя, будут ли пользователи открывать нежданные вложенные файлы.

Подобные тренировки проходят во многих организациях с целью приучить пользователей не переходить по ссылкам и не открывать вложения, не оценив предварительно возможные последствия.

По мнению Халамки, ИТ-руководителей больниц трудно винить в том, что они не переходят на самые новые версии Windows и не устанавливают обновления: «Установка каждой очередной заплаты на критически важные системы чревата проблемами с надежностью и функциональностью. Некоторые приложения были созданы много лет назад и на современные платформы не переносились. Сегодня по-прежнему существуют коммерческие продукты, требующие Windows XP, заплаты для которой не выпускаются».

В медицинских организациях работоспособности приложений могут отдавать предпочтение перед безопасностью, поэтому на них не всегда стоят самые свежие заплаты.

Джек Голд, аналитик J. Gold Associates, предположил, что создатели WannaCry в первую очередь ориентировались именно на Windows XP, которая все еще широко применяется во многих организациях, особенно медицинских: «Пользуясь XP, системой, отстающей от свежей версии Windows на три поколения, вы берете на себя большой риск».

Надо отметить, что эпидемия WannaCry заставила Microsoft пойти на беспрецедентный шаг и экстренно выпустить заплату для давно не поддерживаемой Windows XP.

WannaCry также заразил сети заводов Renault и Nissan. Что касается самих автомобилей, а также других систем Интернета вещей, не всегда находящихся под контролем людей, то установка заплат, возможно, не лучший метод их защиты, полагает Тал Бен-Давид, вице-президент компании Karamba Security. «Полагаясь на установку заплат, вы можете поставить под угрозу жизни людей, — заметил он. — Единственный вариант для автомобилей и других систем Интернета вещей, влияющих на безопасность человека, — установить надежные фабричные настройки без возможности изменения».

Спор о том, стоит ли поступать таким образом, можно вести бесконечно, ведь обратная сторона такой защиты — отсутствие возможности обновления ПО устройств. На сегодня же лучший выход — устанавливать самые свежие заплаты для операционных систем и приложений.

Специалисты также напоминают о необходимости регулярного резервного копирования данных, чтобы зараженные компьютеры можно было отключать, заменяя их на запасные со свежими копиями информации.

После первой волны атак Wanna­Cry команда экстренной компьютерной помощи US-CERT обновила рекомендации по поводу вирусов-вымогателей, указав на необходимость особой осмотрительности при переходе по ссылкам из сообщений электронной почты, даже когда отправитель вам известен.

WannaCry убедительно продемонстрировал, что многие организации недостаточно подготовлены к широкомасштабным атакам подобного рода. Вирусы-вымогатели существуют уже десятки лет, но сегодня они могут распространяться в глобальном масштабе с исключительной скоростью.

«В организациях обязаны разработать способы классификации, разграничения и защиты данных для снижения риска несанкционированного доступа к ним и их утраты, — подчеркивает Дон Фостер, директор по маркетингу решений Commvault. — Обсуждение стратегии восстановления данных необходимо вести на уровне высшего руководства».

Литан подчеркивает: «Универсальных систем защиты от вымогателей ни у кого нет. При этом вредоносные программы такого рода отвечают за половину всего ущерба, понесенного нашими клиентами за последние полтора года».

Купить номер с этой статьей в PDF