Новый уровень вредоносности: какие вызовы системам безопасности бросает WannaCry? - Технологии
$56.73
63.61
ММВБ1935.26
BRENT51.82
RTS1074.50
GOLD1262.48

Новый уровень вредоносности: какие вызовы системам безопасности бросает WannaCry?

читайте также
+37 просмотров за суткиПервая причина – это ты. Почему случился WannaCry, и что нас спасет от компьютерных эпидемий в будущем? +19 просмотров за суткиУязвленные сети: пока WannaCry не грянет, мужик не перекрестится +12 просмотров за суткиБольше не обращались: США дважды направляли в Россию запрос о вмешательстве в выборы +13 просмотров за суткиКак вирусы-вымогатели принимают платежи и почему они требуют «выкуп» в биткоинах? +2 просмотров за суткиПочему в информационной безопасности нет «серебряной пули»? Технический анализ +11 просмотров за суткиМир на квантах: чего не хватает в России для развития инфраструктуры нового рынка +12 просмотров за суткиAPT28 – миф и большая ошибка России? +6 просмотров за суткиКибер-вымогатели: масштабная хакерская атака поразила почти треть стран мира +14 просмотров за суткиЗашифрованный мир: как работает WannaCry и что умеют программы-вымогатели? +21 просмотров за суткиЦелевые атаки на банки: Россия как тестовый полигон +9 просмотров за суткиИдентификация по нажатию клавиш: системы безопасности учатся анализировать поведение пользователей +2 просмотров за суткиДырявый щит и большие данные: как меняется кибербезопасность в эпоху слияния онлайн и оффлайн? +4 просмотров за суткиВымогатели: как ransomware-программы стали работать по модели сервиса и что с этим делать +18 просмотров за суткиАтака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний +2 просмотров за суткиЧто взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия» +6 просмотров за суткиЭволюция безопасности: от охранников к нейронным сетям +2 просмотров за сутки«Под колпаком у Мюллера»: зачем российскому государству свой мессенджер +3 просмотров за суткиСемь шагов кибератаки: от разведки до ущерба +14 просмотров за суткиCloudFlare сообщила об утечке данных с 4,3 млн доменов: что это значит? +2 просмотров за суткиРобот-стражник: что дает искусственный интеллект системам кибербезопасности?

Новый уровень вредоносности: какие вызовы системам безопасности бросает WannaCry?

Фото Nacho Doce / Reuters
История с WannaCry — первый столь крупный случай, когда вирусом был нанесен значительный ущерб действительно мирового масштаба

В конце прошлой недели «героем» всех новостей стал вредоносный червь-вымогатель WannaCry, который поразил сотни тысяч компьютеров в организациях по всему миру. Среди них оказались государственные службы и ведомства, провайдеры сотовой связи, производители автомобилей и многие другие.

Для иллюстрации масштабов: в Великобритании нападению подверглась Национальная служба здравоохранения, а в Германии – Deutsche Bahn. В России были атакованы МВД, МЧС, Сбербанк и целый ряд больших компаний. Сколько денег в итоге получили вымогатели, остается только догадываться.

В определенном смысле этот неприятный инцидент стал знаковым. Он вывел ransomware на новый уровень и в полной мере продемонстрировал, насколько серьезна угроза. Вот основные – и очень опасные – тренды, которые «оголил» WannaCry.

Я уверен, что на самом деле все случаи нападения ransomware (подробнее о подобных программах  - в материале Forbes), про которые мы знаем, – лишь верхушка айсберга. Естественно, никто из тех, кто подвергся атаке, не горит желанием лишний раз рассказывать об этом, и обычно компании скрывают такие нападения. Это репутационные (и естественно, денежные) потери. Поэтому, по моим оценкам, мы знаем в лучшем случае об 1/10 части случаев. Но даже известные нам инциденты на консюмерском рынке говорят о масштабе проблем: так, например, только за осень 2013 года известный троян-вымогатель CryptoLocker заразил более 250000 компьютеров, и преступники получили более $3 млн  выкупа ( ). При этом, кстати, плохие парни не расшифровали файлы даже заплативших пользователей. Другой вымогатель CryptoWall в 2015 году выкачал с жертв более $18 млн.

Антивирусные компании, цифрами которых мы все оперируем, не имеют доступа ко всей необходимой статистике: говоря упрощенно, ИТ-отделы организаций и ведомств отключают возможность собирать те или иные данные в публичном пространстве. К тому же надо понимать, что у тех же антивирусных компаний разная доля рынка в различных странах и соответственно не одинаковая возможность собирать информацию по всему миру. Например, Лаборатория Касперского исторически сильна в России, и имеет большее количество пользователей на территории России. Поэтому в ее статистике будет указано, что России досталось больше всего, хотя, может быть, это и не совсем так. В общем, имеет смысл относиться к любой статистике с известной долей скептицизма – она, скорее всего, сильно занижена.  

Итак, почему история с WannaCry стала столь важной? Вероятно, на сегодня это первый столь крупный случай, когда вирусом был нанесен такой значительный ущерб мирового масштаба. Мы привыкли, что обычно речь идет о краже денег, данных, вымогательстве на почве конкуренции и т. д. Виртуальные угрозы в виртуальном мире – неприятно, но нестрашно. На прошлой неделе речь шла об ущербе физическому миру: больницам, системам безопасности и т. д. Это совсем другое – мы имеем дело со столь же серьезной угрозой, как разрушение вирусом Stuxnet ядерных центрифуг в Иране в 2010 году или знаменитым блэкаутом в США в 2003 году. Из-за WannaCry в некоторых английских больницах врачи временно не проводили операции. Теперь это уже действительно страшно – могут пострадать люди, даже целые государства. Игнорировать такие вещи опасно.   

Идем дальше. Мы так часто говорим, что интернет не имеет границ, что почти перестали задумываться о смысле этой фразы. Пример последней атаки в этом смысле показателен – некоторые исследователи говорят о сотнях стран, подвергшихся атаке. Не знаю, правда это или нет, но нападающие точно не выбирали по принципу географии или национальному признаку. У компьютеров и IP-адресов нет национальности – география нападений тут очень показательна: как британские больницы, так и немецкие поезда, и российские мобильные операторы. Ransomware в какой-то степени здесь сродни террористическим угрозам. Поэтому и защита, наверное, тоже должна быть наднациональной, вне географии (как это могло бы выглядеть — отдельный разговор).       

Что еще очень важно, так это «доступность» ransomware-вредоносов. Раньше это был удел технических специалистов, гиков, почти маньяков. Сегодня причинить вам ущерб при помощи вируса может, образно говоря, даже соседская бабушка. Почему это произошло: копируя привычную нам сервисную модель, вымогатели предлагают заказчику RaaS (ransomware as a service). Деньги они зарабатывают не на самом преступлении, а на заказчике. И им теперь может стать даже никак технически не образованный человек, что раньше было невозможно: заказать атаку может абсолютно любой ваш недоброжелатель. Сервисная модель позволяет расти числу преступлений огромными темпами: количество людей, желающих кому-то навредить, огромно, и теперь они получили такую возможность. А плохие ребята превратились из одиночных киберпреступников в бизнесменов, массово торгующих опасным оружием.

Изменилось и качество самого вредоносного ПО. Оно стало гораздо более продвинутым и проактивным. Вредоносы активно противодействуют любым средствам, которые должны их выявить, остановить, уничтожить. Так, WannaCry очень похож на другой мощный троян, наделавший недавно много шума, – Osiris (вот один из многих примеров того, как тот навредил), но за одним важным исключением. Он мешает Windows перезагружаться в защищенном режиме. Это то, что позволяет, перезагрузив компьютер, сделать аварийное восстановление и сохранить по крайней мере часть данных. В случае с WannaCry это уже невозможно. Новые трояны не просто достигают своих целей – они делают это, максимально эффективно защищаясь, проходя через самые современные инструменты, которыми оснащены сложные ПО, продвинутые CRM и т.д. Напоминает знаменитый танк «Армата» с системой активной защиты «Афганит», разворачивающей в сторону атаки наиболее мощную бронь и средства противодействия.

Еще одна важная особенность ransomware – высокая скорость и стремление нанести максимальный ущерб системе. В одном только Китае поражены несколько десятков тысяч  организаций. Просится еще одна аналогия: если при обороне крепости  открыть ворота, пустив противника внутрь, то закрывать их после этого практически бесполезно. Здесь так же – запуск антивируса через пять минут после проникновения уже мало что может изменить.  

Все это наводит на очевидную мысль: существующие средства защиты уже не столь эффективны, как раньше. Только интегрированное решение, сочетающее в себе технологии резервного копирования и безопасного хранения данных, реализованные в одном продукте, обеспечивает восстановление данных в любой ситуации.  

К слову, судя по всему, нас вскоре всех ждет новая атака WannaCry.