Как избежать глобальной хакерской атаки?
Add to Flipboard Magazine.
Мoщнaя кибeрaтaкa oбрушилaсь нa мнoгиe стрaны в пятницу вeчeрoм. Xaкeры пaрaлизoвaли дeятeльнoсть дeсятки бoльниц вeликoбритaнии, крупнeйшeй тeлeкoммуникaциoннoй кoмпaнии Испaнии Telefonica, нeмeцкий жeлeзнoдoрoжный oпeрaтoр Deutsche Bahn, a тaкжe ряд другиx кoмпaний пo всeму миру. В Рoссии, нa прoблeмы, — скaзaл oпeрaтoр, «мeгaфoн», министeрствa внутрeнниx дeл, жeлeзнoдoрoжныx путeй. Вирус шифруeт дaнныe нa вaшeм кoмпьютeрe и рaзблoкирoвки трeбуeт выкуп в рaзмeрe $200 дo$ 600. Ктo винoвaт и чтo дeлaть? Стoит ли скoрo ждaть нoвую вoлну aтaк, и eсть вoзмoжнoсть зaщищaть сeбя?
Мeждунaрoдный вируснoй aтaки нa кoмпьютeры, рeгистрируeтся в тeчeниe двуx днeй вo мнoгиx стрaнax, привeлa к сбоям в 104 государствами, сообщили в чешской компании Avast разработки программного обеспечения в области информационной безопасности. «У нас зарегистрировано более 126 тысяч случаев с вирусом WanaCrypt0r 2.0 в 104 странах, сообщает агентство ЭФЭ выдержки из заявления компании.
Странам, пострадавшим от вируса WannaCry
Илья Сачков, одним из крупнейших специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB, рассказал изданию «Mener.De экономика», что массовая атака была приостановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносные программы спросил, начала ее деятельности. Вредоносное программное обеспечение для загрузки при условии, что домен не зарегистрирован. Теперь, когда домен зарегистрирован, установлена вредоносная программа обращается к нему, и, получив ответ, прекращается любая деятельность.
«Важный момент — организации, которые используют прокси-серверы, kill switch не работает, потому что Хочу Cryptor не сможет достичь области. Что касается информации о появлении новой версии, без kill switch, на данный момент не можем подтвердить эту информацию, хотя технически это возможно. И кроме того создан, он может быть не только в руках авторов изначальной вредоносных программ, но практически любой злоумышленник», — сообщили в Group-IB.
По словам директора Европола Роба Уэйнрайта, новая волна заражений может начаться с 15 мая. По данным японской неправительственной организации, JPCERT, обеспечивая поддержку в случае кибератаки, новый удар хакеров упали на 2 тысяч компьютеров в Японии. При этом хакеры не атаковали правительственные учреждения Японии, но с вирусом столкнулись крупных компаний, таких как Nissan Motor и Hitachi.
В китайской народной республике от атак хакеров пострадали компьютеры в 30 тысяч университетов и других учебных заведений. Также атаки влияет на компьютерных систем, торговых и офисных центров, сети азс, больницы, железнодорожных станций, почтовых и несколько правительственных учреждений.
Мнение эксперта
Илья Сачков
Генеральный директор Group-IB
С чисто технической точки зрения Wanna Cryptor – достаточно простой вредоносных программ. Он атакует все хосты доступны в сети, и сканирует интернет, чтобы обнаружить уязвимые хосты и там.
Успех распространения этой вредоносной программы на глобальном уровне, в результате появления свободного доступа кибероружия и его использование преступных групп: Wanna Cryptor использует EternalBlue, вероятно, подвиг АНБ США, размещенный в бегство ShadowBrokers 14 апреля.
Кто виноват?
Кто стоит за массовым кибератакой, остается загадкой. В СМИ есть сторонники теории, что АНБ, следовательно, иллюстрирует «хакеров» из их способностей производства сбоя компьютерных систем в мире. «Мы не имеем никакой информации, которая указывает на то, что правительственные органы были целью злоумышленников. Рассчитывали — киберпреступники, что вирус распространяется настолько массово, это вопрос. Здесь мы переходим уже в плоскость умозрения, а также личность вымогателей до сих пор неизвестны», — рассказали в Group-IB.
Первичный источник вируса недавние кибер-атаки против США, заявил в ходе пресс-конференции по итогам визита в Китай президента российской ФЕДЕРАЦИИ Владимира Путина. «Для нас заметно никаких повреждений не было, чтобы наши институты, ни банки, ни системы здравоохранения, ни для других. Но в целом это вызывает беспокойство, нет ничего хорошего. Это вызывает беспокойство. Что касается источника этих угроз, на мой взгляд, руководство Microsoft об этом прямо сказал: сказал, что основным источником этого вируса являются спецслужбы Сша. Россия. Мне странно слышать, и в этих условиях, что-то другое», — сказал Путин. «Кроме того, это наилучшим образом отражает реалии на эту тему и на эту проблему, которая заключается в том, что всегда ищет виновных там, где их нет», — добавил президент.
Президент и главный юрисконсульт Microsoft Брэд Смит выступил категорически против сбора данных уязвимостей операционных систем разведуправлениями и власти разных стран, в основном Агентство национальной безопасности (АНБ) США. В своем блоге, он имеет распространение шантажист WannaCry с кражи данных на уязвимости для АНБ.
«Мы уже видели, как данные об уязвимостях, которые собраны в ЦРУ, которое стало известно благодаря WikiLeaks. Теперь украден АНБ данных об уязвимостях, создали проблемы для пользователей во всем мире», сказал Смит.
Если параллельно с обычным оружием, аналогичный сценарий в этом случае будет полет ракет «Томагавк», армия США, считает он. По его словам, власти не должны накапливать данные об уязвимости и передать разработчикам, чтобы они могли исправить эти уязвимости и повышения безопасности компьютерных сетей. Глобальная кибератака демонстрирует «случайным, но, разрушая связь между двумя из самых серьезных видов кибер-угроз современного мира — действия государства и организованной преступности», — говорит Смит.
«WannaCry — это вирус-вымогатель, его основной целью является прибыль. Трудно назвать нападение в больнице в Великобритании, позиции демонстрации силы, таким образом, возможность политической или информационной атаки, кажется сомнительной.», — считает генеральный директор Нападение Убийца (ГК InfoWatch) Рустэм Хайретдинов.
Что делать?
В случае, если ваши файлы были зашифрованы, абсолютно не может, предлагаемые интернет или полученные в сообщениях электронной почты, средства расшифровки, предупреждают в «Лаборатории Касперского». Файлы зашифрованы криптостойким алгоритмом и могут быть расшифрованы и утилиты, загруженные могут причинить еще больше вреда, что ваш компьютер и компьютеры в целом организации, так как потенциально вредоносный и подчеркивают новая волна эпидемии.
Если вы обнаружите, что ваш компьютер подвергся инфекции, необходимо выключить устройство и обратиться в отдел информационной безопасности, чтобы получить дальнейшие инструкции.
«Лаборатория Касперского» в числе мер для снижения риска инфекций рекомендуется установить официальный патч от Microsoft, который закрывает, используемый в атаке уязвимости (в частности, уже доступна для обновления для версий Windows XP b Windows 2003); обеспечить решение для защиты всех узлов сети; запустить сканирование антивируса, и при поиске Троянских программ.Win64.EquationDrug.gen, перезагрузка системы. В будущем, чтобы избежать подобных инцидентов, использование услуг информационных угроз с целью получения данных самых опасных целевых атак и возможных заражений.
«Процесс заражения можно попытаться приостановить. Если вы заметили, что ваш компьютер значительно замедляется и начинают появляться файлы с расширениями, странно, немедленно выключите. Специалисты помогут вам восстановить данные.
Даже если у вас есть плита с требованием выкупа, мы рекомендуем не платить нарушитель: 1), таким образом вы спонсируете преступной деятельности; 2) мы не имеем доказательств того, что данные о тех, кто заплатил, были восстановлены.», — сказал Илья Сачков, генеральный директор Group-IB.
«Технологии распространения вируса не требуется каких-либо действий пользователя – некоторые файлы не открываются, или чтение почты, ни связи – лишь то, что компьютер работает с уязвимым Windows, подключенный к Интернету. Нападение происходило через порт 445. Вирус WannaCry шифровал файлы на вашем компьютере, и на возможность расшифровать уже зашифрованные файлы, неизвестно. Вероятно, они могут рассматриваться как потерянные. Но, к счастью, шифровальшик шифровал файлы сразу после попадания в компьютер (обычно вирус шифрует данные на несколько дней, чтобы зашифрованные файлы попадают в резервную копию). Таким образом, восстановление из резервной копии в случае WannaCry возможно.
На мой взгляд, платить мошенники — вдохновить их на новые преступления. К тому же, никто не гарантирует, что после перевода денег, вы получите код дешифровки.», — считает генеральный директор Нападение Убийца (ГК InfoWatch) Рустэм Хайретдинов.
Вирус попадает в периметр корпоративной сети и ищет незащищенные устройства. Есть мнение, что в области должен уйти с другими системами. «Я уже говорил несколько раз, что это тупик – всему периметру регистр и как только ты находишься внутри, как пират, ты делаешь все, что вы хотите. В случае криптолокера – в теории, ты можешь все машины сети заразить. Таким образом, за периметром надо уходить в сторону интеллектуальных систем, построенных на тренируемом машинного интеллекта (ТМИ) и совершенно новую архитектуру сети и топологии пользователей…», написал в Facebook, генеральный директор компании Biolink Technologies Евгений Черешнев.
С руководителем Biolink Technologies не согласен, в группе IB. Илья Сачков считает, что область сама уже давно не один экран, после чего, злоумышленник может делать все, что он хочет. «В любой уважающей себя организации внутри периметра решения, которые следуют сети для обнаружения аномалий или звонки с внешних серверов, для запуска и проверки подозрительных предметов в безопасной среде. Во-вторых, единственный способ защитить себя должным образом, он не действовать, как своего рода «гомеопатам ИТ», рассказывающий о неизвестных новых технологий и передовой киборгах, и время, получить знания о современных и самых актуальных угроз. Это может быть достигнуто с помощью решения для обнаружения угроз и системы электронного шпионажа. Система киберразведки Group-IB еще в апреле предупредил клиентов компании на опасности уязвимостей, которые были проэксплуатированы Wanna Cryptor», — считает глава Group IB.
Впрочем, эксперты обеих компаний заявляют единодушно: необходимо провести с сотрудниками просветительские беседы по основам цифровой и гигиены недопустимости устанавливать программы из ненадежных источников, вставить в компьютер неизвестные usb-накопитель и нажать на ссылки сомнительные.
«Вирус Wanna Сбу снижается, Microsoft выпустила патч, закрывающий уязвимость, и все антивирусы имеют встроенный остановить этот вирус, опубликованный алгоритм обработки. Я не вижу, почему эпидемия этих вирусов будет развиваться.», — убежден Рустэм Хайретдинов.
— Подготовил Александр Шаляпин