Вирус Petya.A: первые выводы экспертов по кибербезопасности
Сегодня десятки украинских компаний и учреждений пострадали от массивной хакерской атаки. Вирус-вымогатель DOS/Petya.A атаковал банки, почтовых и телеком-операторов и энергетическую систему страны.
Редакция LIGA.net попросила экспертов в сфере кибербезопасности ответить на несколько вопросов:
- Когда и как украинские компьютеры были заражены вирусом?
- Какие последствия у атаки?
- Можно ли будет восстановить данные?
Комментарий технического директора антивирусной компании Zillya! Олега Сыча:
Эпидемия заражений отдельных ПК и корпоративных сетей сегодня связана с действием вредоносного ПО WannaCry.
Это вирус, сетевой червь, программа-вымогатель, который в своей деятельности использует уязвимость операционной системы Windows. Весной текущего года уже отмечалась масштабная эпидемия, которая прокатилась по многим странам мира. Пострадали тысячи пользователей. Про это писали все СМИ! Но что самое главное - способ как уберечься от новых заражений был найден в течение нескольких дней. Был создан патч, установив который, WannaCry больше не могла атаковать ПК.
Однако можно говорить с высокой вероятностью, что все сегодняшние "жертвы" просто проигнорировали возможность принять превентивные меры. Возможно, это из-за невнимательности. Возможно, из-за того, что обычные пользователи и даже компании пользуются пиратскими вариантами операционных систем. И чтобы им не надоедали напоминанием о необходимости купить лицензию, принудительно отключают обновления системы. Кроме того, администраторы должны внимательно относиться к рекомендациям компаний и лабораторий, которые работают в сфере киберзащиты. Например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.
Читайте также - Топ-10 трендов в АПК, которые скоро придут в Украину
Первоначально заражение трояном WannaCry произошло, скорее всего, из-за невнимательности или недостаточной осведомленности персонала. Сотрудники могли, например, пользоваться личной почтой на рабочем ПК или открыть вложение в письмах от неизвестного адресата в корпоративной почте, тем самым заразив компьютер.
Нарушение настолько базовых правил может говорить или о том, что сыграл "человеческий фактор", или о том, что про эти правила вообще никогда не слышали.
Какие могут быть последствия? Самые страшные и масштабные, как на уровне отдельных пользователей, так и на уровне корпоративного сегмента - полная потеря данных на закриптованных носителях информации. Скорее всего, даже попытки расшифровать и восстановить данные даже при условии выплаты выкупа шантажистам (300 долларов в биткоинах) не приведут ни к чему. Конечно, если вам не знакомо значение словосочетания "резервное копирование".
Комментарий архитектора систем информационной безопасности компании ИТ-Интегратор Алексей Швачка:27 июня началась новая волна масштабных заражений модификацией вируса-шифровальщика.
Механизм распространения идентичен WannaCry, используется уязвимость в ОС Windows под названием MS17-010. К слову, эта уязвимость известна с марта (!). Компания Microsoft давно выпустила исправление безопасности, в том числе и на уже снятые с поддержки Windows XP / Vista / 2003 / 2008.
Если Вы используете одну из этих версий ОС Windows, необходимо обязательно установить исправление, доступное по адресу.
Для актуальных лицензионных версий ОС Windows обновления устанавливаются автоматически. Если это по какой-то причине не выполняется, инструкцию по установке и обновления можно найти здесь.
Если есть подозрение на то, что ваш компьютер уже заражен, необходимо срочно скопировать важные данные на внешний носитель, который после этого обязательно отключить.
Надеемся, в ближайшие дни производители антивирусов выпустят обновления вирусных баз и специальные утилиты-дешифровшики, как это уже было сделано для нескольких модификаций вируса месяц назад.
Комментарий ISSP Labs:
ISSP Labs проводит экстренное расследование массовой кибератаки на украинскую инфраструктуру. По полученным промежуточным данным анализа эксперты лаборатории сделали вывод о том, что разрушительные воздействия в IT-системах изученных организаций выполнялись с помощью инструментов по типу WannaCry/XData. Но при этом было зафиксировано непосредственное участие злоумышленников, которые уже находились определенное время в инфраструктуре. По мнению экспертов ISSP Labs, сама атака началась ориентировочно в марте-апреле 2017 года. Началась она с изучения инфраструктуры, перехвата паролей, административно/технологических учетных записей.
Читайте также - Коптер с Теремков: Kray начал продавать гигантские агродроны
В настоящий момент проходит финальная стадия кибератаки, известная как "Clean up" (Зачистка). Зафиксированы несколько вариантов активных действий: уничтожение MBR и шифрование диска. Мы считаем, что злоумышленники отдают себе отчет в том, что количество пораженных пользователей, которые произведут требуемую после зашифровки оплату, будет небольшим, и итоговая сумма не покроет общие затраты на разработку и распространение данного вредоносного кода, организацию и выполнение такой масштабной атаки. В связи с этим, возникает вопрос о подлинных мотивах и целях злоумышленников. Самое важное - установить, что именно скрывает эта стадия, какие действия злоумышленники пытаются скрыть путем уничтожения логов на серверах и рабочих станциях пораженных организаций. Какие инструменты "спящие агенты" оставили для последующего возвращения в инфраструктуры жертв-организаций?