Чому вчить WannaCry

Чому вчить WannaCry

Жорстока реальність глобальної атаки шкідника-здирника WannaCry, який влучив у комп'ютерні системи в 150 країнах, така: зловмисники скористалися масової непідготовленістю користувачів.

Глобальна кібератака з використанням вірусу-здирника WannaCry почалася 12 травня. Вірус заразив сотні тисяч комп'ютерів по всьому світу. У багатьох організаціях, в тому числі на виробничих і автомобілебудівних підприємствах, в лікарнях і держструктурах зараження відбулося через застосування старих версій Windows і ігнорування латок, випущених Microsoft ще в березні для нових версій ОС.

 

У частині випадків інфекція була викликана тим, що користувачі переходили по посиланнях з повідомлень електронної пошти або запускали прикладений виконуваний файл шкідника, стиснений в форматі ZIP.

Вірус-вимагач, відомий також під назвами WannaCrypt і WannaCrypto, після первинного проникнення, користуючись додатковими каналами зараження, поширюється по мережах організацій з безпрецедентною швидкістю. За оцінками британської влади, всього за пару днів він заразив більше 200 тис. комп'ютерів в 150 з гаком країнах.

Незабаром після початку епідемії автор блогу MalwareTech виявив «аварійний вимикач», за допомогою якого можна запобігти псуванню даних вірусом: з'ясувалося, що той перевіряв доступність якогось домена і при позитивному результаті не виконував шкідливих дій. Дослідник зареєстрував цей домен, що дозволило сповільнити поширення. Були побоювання, що відразу ж з'явиться нова версія шкідника, без «аварійного вимикача», але це сталося з запізненням, тому різкого зростання масштабів епідемії не було.

 

Комп'ютери, заражені WannaCry, виводяться їм з ладу до сплати викупу в розмірі від 300 до 600 дол. США в біткойнах. Британські лікарі скаржилися, що через WannaCry довелося затримати проведення хірургічних операцій, оскільки пропав доступ до медичних карток пацієнтів. МОЗ протягом нещасливого вікенду багаторазово розсилав рекомендації ІТ-персоналу лікарень, закликаючи ізолювати заражені комп'ютери і встановлювати необхідні латки Windows, попередньо відключивши ПК від мережі і перевіривши на інфекцію.

Вірус спочатку вразив мережі в ряді країн Європи, після чого перейшов на інші регіони, заразивши в тому числі банкомати в Китаї і системи російського МВС. У США в числі інших постраждала кур'єрська служба FedEx, де, як визнали її керівники, були «інфіковані деякі Windows-системи». (В Росії про відраження кібератаки заявили в РЖД, МОЗ, Ощадбанку, МВС і МНС. - Прим. Ред.)

Атакуючі скористалися інструментами, імовірно розробленими в американському Агентстві національної безпеки, про подальше викрадення яких оголосила хакерська група, що називає себе Shadow Brokers. На думку частини аналітиків, організаторами атаки WannaCry швидше за все є кримінальне угруповання, що діє суто з міркувань незаконного збагачення.

«Шпигунський роман» з поганим кінцем

Епідемія WannaCry виглядає як наслідок поєднання «шпигунської історії» з тотальною халатністю користувачів та ІТ-спеціалістів безлічі серйозних організацій.

 

«Це було ідеальним для атакуючих збігом обставин, - вважає аналітик Gartner Авіва Літан. - Вірус-вимагач швидко поширився за допомогою вразливості Windows, виявленої АНБ, вимагаючи викуп в біткойнах, що забезпечують зловмисникам можливість анонімного отримання платежів».

«Своє '11 вересня 2001 го' в кіберпросторі ще не відбулося, але WannaCry дав зрозуміти, як це може бути», - коментує Мелих Абдулхайоглу, засновник і глава Comodo.

Ситуація з WannaCry виглядає особливо лякає зважаючи свідомості ймовірності її повторення. «Є всі підстави очікувати нових атак, складених за аналогічним рецептом, - впевнена Літан. - Дана ситуація в черговий раз голосно нагадала про необхідність своєчасної установки латок і наявності багаторівневої системи заходів безпеки, які застосовуються в корпоративних мережах і на кінцевих точках».

 

Як підготуватися до нових атак

 

Джон Халамка, ІТ-директор медичного центру Beth Israel Deaconess, підкреслює, що організаціям необхідна багатошарова захист для зниження ризику постраждати від подібних атак: «Мова йде про поєднання політик, технологій і навчання».

Що стосується політик, вони можуть бути самими «екстремальними» - аж до повної заборони проводити запис даних на всіх робочих станціях в організації, щоб при відкритті шкідливого виконуваного файлу він не мав можливості зробити будь-які дії. У числі захисних технологій можна користуватися системами фільтрації веб-контенту, налаштованими так, щоб ніякі посилання і вкладення не могли потрапити в повідомлення електронної пошти в обхід фільтрів. А в рамках навчальних програм можна влаштовувати в організаціях тренувальні фішингові кампанії, перевіряючи, чи будуть користувачі відкривати несподівані вкладені файли.

 

Подібні тренування проходять у багатьох організаціях з метою привчити користувачів не переходити за посиланнями і не відкривати вкладення, не оцінивши попередньо можливі наслідки.

На думку Халамкі, ІТ-керівників лікарень важко звинувачувати в тому, що вони не переходять на найновіші версії Windows і не встановлюють поновлення: «Установка кожної нової латки на критично важливі системи чревата проблемами з надійністю і функціональністю. Деякі медичні програми були створені багато років тому і на сучасні платформи переносилися. Сьогодні, як і раніше існують комерційні продукти, що вимагають Windows XP, латки для якої не випускаються».

У медичних організаціях працездатності додатків можуть віддавати перевагу перед безпекою, тому на них не завжди стоять найсвіжіші латки.

 

«Система охорони здоров'я в цілому, по-видимому, більш вразлива для кібератак, ніж інші галузі, що ілюструється масштабами інциденту в британському Міністерстві охорони здоров'я», - продовжив Халамка.

Джек Голд, аналітик J. Gold Associates, припустив, що творці WannaCry в першу чергу орієнтувалися саме на Windows XP, яка все ще широко застосовується в багатьох організаціях, особливо медичних: «Користуючись XP, системою, яка відстає від свіжої версії Windows на три покоління, ви берете на себе великий ризик, щодня ставлячи на карту безпеку вашої мережі».

Епідемія WannaCry змусила Microsoft піти на безпрецедентний крок і екстрено випустити латку для давно не підтримуваної Windows XP.

 

WannaCry також заразив мережі заводів Renault і Nissan. Що стосується самих автомобілів, а також інших систем Інтернету речей, не завжди знаходяться під контролем людей, то установка латок - можливо, не найкращий метод їх захисту, вважає Тал Бен-Давид, віце-президент компанії Karamba Security, яка пропонує ПО безпеки для з'єднаних з мережами і самоврядних автомобілів. «Покладаючись на установку латок, ви можете поставити під загрозу життя людей, - зауважив він. - Єдиний варіант для автомобілів і інших систем Інтернету речей, які впливають на безпеку людини, - це встановити надійні фабричні настройки без можливості зміни».

Суперечка про те, чи варто поступати таким чином, можна вести нескінченно, адже зворотна сторона такого захисту - відсутність можливості оновлення ПЗ пристроїв. На сьогодні ж для організацій кращий вихід - встановлювати найсвіжіші латки для операційних систем і додатків.

 

Фахівці також нагадують про необхідність частого резервного копіювання даних, щоб заражені комп'ютери можна було відключати, замінюючи їх на запасні зі свіжими копіями інформації.

 

 

Після першої хвилі атак WannaCry команда екстреної комп'ютерної допомоги США US-CERT оновила рекомендації з приводу вірусів-вимагачів, вказавши на необхідність особливої обачності при переході по посиланнях з повідомлень електронної пошти, навіть коли відправник вам відомий. У CERT також застерігають від розкриття в повідомленнях електронної пошти особистої і фінансової інформації, яка в подальшому може бути використана для проведення атак спрямованого фішингу.

WannaCry переконливо продемонстрував, що багато організацій недостатньо підготовлені до широкомасштабних атак подібного роду. Віруси-вимагачі існують вже десятки років, але сьогодні вони можуть поширюватися по всьому світу дуже швидко.

«WannaCry в черговий раз нагадав, що в організаціях зобов'язані розробити способи класифікації, розмежування і захисту даних для зниження ризику несанкціонованого доступу до них і їх втрати, - підкреслює Дон Фостер, директор з маркетингу рішень Commvault. - Обговорення стратегії відновлення даних необхідно вести на рівні вищого керівництва».

За словами Літан, ІТ-фахівці самі повинні піклуватися про захист від вірусів-вимагачів за допомогою найпростіших заходів на зразок резервного копіювання, а не розраховувати на постачальників засобів безпеки: «Універсальних систем захисту від здирників ні у кого немає. При цьому шкідливі програми такого роду відповідають за половину всього збитку, понесеного нашими клієнтами за останні півтора року».