Новый уровень вредоносности: какие вызовы системам безопасности бросает WannaCry?

Николай Гребенников Автор

История с WannaCry — первый столь крупный случай, когда вирусом был нанесен значительный ущерб действительно мирового масштаба

В конце прошлой недели «героем» всех новостей стал вредоносный червь-вымогатель WannaCry, который поразил сотни тысяч компьютеров в организациях по всему миру. Среди них оказались государственные службы и ведомства, провайдеры сотовой связи, производители автомобилей и многие другие.

Для иллюстрации масштабов: в Великобритании нападению подверглась Национальная служба здравоохранения, а в Германии – Deutsche Bahn. В России были атакованы МВД, МЧС, Сбербанк и целый ряд больших компаний. Сколько денег в итоге получили вымогатели, остается только догадываться.

В определенном смысле этот неприятный инцидент стал знаковым. Он вывел ransomware на новый уровень и в полной мере продемонстрировал, насколько серьезна угроза. Вот основные – и очень опасные – тренды, которые «оголил» WannaCry.

Я уверен, что на самом деле все случаи нападения ransomware (подробнее о подобных программах - в материале Forbes), про которые мы знаем, – лишь верхушка айсберга. Естественно, никто из тех, кто подвергся атаке, не горит желанием лишний раз рассказывать об этом, и обычно компании скрывают такие нападения. Это репутационные (и естественно, денежные) потери. Поэтому, по моим оценкам, мы знаем в лучшем случае об 1/10 части случаев. Но даже известные нам инциденты на консюмерском рынке говорят о масштабе проблем: так, например, только за осень 2013 года известный троян-вымогатель CryptoLocker заразил более 250000 компьютеров, и преступники получили более $3 млн выкупа ( ). При этом, кстати, плохие парни не расшифровали файлы даже заплативших пользователей. Другой вымогатель CryptoWall в 2015 году выкачал с жертв более $18 млн.

Антивирусные компании, цифрами которых мы все оперируем, не имеют доступа ко всей необходимой статистике: говоря упрощенно, ИТ-отделы организаций и ведомств отключают возможность собирать те или иные данные в публичном пространстве. К тому же надо понимать, что у тех же антивирусных компаний разная доля рынка в различных странах и соответственно не одинаковая возможность собирать информацию по всему миру. Например, Лаборатория Касперского исторически сильна в России, и имеет большее количество пользователей на территории России. Поэтому в ее статистике будет указано, что России досталось больше всего, хотя, может быть, это и не совсем так. В общем, имеет смысл относиться к любой статистике с известной долей скептицизма – она, скорее всего, сильно занижена.

Итак, почему история с WannaCry стала столь важной? Вероятно, на сегодня это первый столь крупный случай, когда вирусом был нанесен такой значительный ущерб мирового масштаба. Мы привыкли, что обычно речь идет о краже денег, данных, вымогательстве на почве конкуренции и т. д. Виртуальные угрозы в виртуальном мире – неприятно, но нестрашно. На прошлой неделе речь шла об ущербе физическому миру: больницам, системам безопасности и т. д. Это совсем другое – мы имеем дело со столь же серьезной угрозой, как разрушение вирусом Stuxnet ядерных центрифуг в Иране в 2010 году или знаменитым блэкаутом в США в 2003 году. Из-за WannaCry в некоторых английских больницах врачи временно не проводили операции. Теперь это уже действительно страшно – могут пострадать люди, даже целые государства. Игнорировать такие вещи опасно.

Идем дальше. Мы так часто говорим, что интернет не имеет границ, что почти перестали задумываться о смысле этой фразы. Пример последней атаки в этом смысле показателен – некоторые исследователи говорят о сотнях стран, подвергшихся атаке. Не знаю, правда это или нет, но нападающие точно не выбирали по принципу географии или национальному признаку. У компьютеров и IP-адресов нет национальности – география нападений тут очень показательна: как британские больницы, так и немецкие поезда, и российские мобильные операторы. Ransomware в какой-то степени здесь сродни террористическим угрозам. Поэтому и защита, наверное, тоже должна быть наднациональной, вне географии (как это могло бы выглядеть — отдельный разговор).

Что еще очень важно, так это «доступность» ransomware-вредоносов. Раньше это был удел технических специалистов, гиков, почти маньяков. Сегодня причинить вам ущерб при помощи вируса может, образно говоря, даже соседская бабушка. Почему это произошло: копируя привычную нам сервисную модель, вымогатели предлагают заказчику RaaS (ransomware as a service). Деньги они зарабатывают не на самом преступлении, а на заказчике. И им теперь может стать даже никак технически не образованный человек, что раньше было невозможно: заказать атаку может абсолютно любой ваш недоброжелатель. Сервисная модель позволяет расти числу преступлений огромными темпами: количество людей, желающих кому-то навредить, огромно, и теперь они получили такую возможность. А плохие ребята превратились из одиночных киберпреступников в бизнесменов, массово торгующих опасным оружием.

Изменилось и качество самого вредоносного ПО. Оно стало гораздо более продвинутым и проактивным. Вредоносы активно противодействуют любым средствам, которые должны их выявить, остановить, уничтожить. Так, WannaCry очень похож на другой мощный троян, наделавший недавно много шума, – Osiris (вот один из многих примеров того, как тот навредил), но за одним важным исключением. Он мешает Windows перезагружаться в защищенном режиме. Это то, что позволяет, перезагрузив компьютер, сделать аварийное восстановление и сохранить по крайней мере часть данных. В случае с WannaCry это уже невозможно. Новые трояны не просто достигают своих целей – они делают это, максимально эффективно защищаясь, проходя через самые современные инструменты, которыми оснащены сложные ПО, продвинутые CRM и т.д. Напоминает знаменитый танк «Армата» с системой активной защиты «Афганит», разворачивающей в сторону атаки наиболее мощную бронь и средства противодействия.

Еще одна важная особенность ransomware – высокая скорость и стремление нанести максимальный ущерб системе. В одном только Китае поражены несколько десятков тысяч организаций. Просится еще одна аналогия: если при обороне крепости открыть ворота, пустив противника внутрь, то закрывать их после этого практически бесполезно. Здесь так же – запуск антивируса через пять минут после проникновения уже мало что может изменить.

Все это наводит на очевидную мысль: существующие средства защиты уже не столь эффективны, как раньше. Только интегрированное решение, сочетающее в себе технологии резервного копирования и безопасного хранения данных, реализованные в одном продукте, обеспечивает восстановление данных в любой ситуации.

К слову, судя по всему, нас вскоре всех ждет новая атака WannaCry.