Можно ли было избежать атаки вируса-вымогателя и что будет дальше

Кибератаку, которую многие эксперты назвали самой массовой в истории, мог запустить даже школьник? Как обезопасить себя от массового взлома компьютеров и почему стоит ждать второй волны вируса-вымогателя? Эксперт: Алексей Шляпужников — шеф-редактор радио СОЛЬ, эксперт по цифровой безопасности.

*Техническая расшифровка эфира

Валентина Ивакина: Здравствуйте, уважаемые радиослушатели, это программа «Zoom». У микрофона Валентина Ивакина. Тема сегодняшнего эфира звучит следующим образом: «Можно ли было избежать атаки вируса-вымогателя и что будет дальше». В минувшие выходные произошло то, что многие эксперты называют самой массовой кибератакой в истории, причем в мировой истории. Обсудим, можно ли было избежать атаки вируса-вымогателя «Wanna cry», и что же будет дальше. Побеседуем с Алексеем Шляпужниковым, шеф-редактором радио СОЛЬ, экспертом по цифровой безопасности. Алексей, здравствуй!

Алексей Шляпужников: Привет.

В.И: Правильно ли я понимаю, что выходные выдались не выходными?

А.Ш: Выходные выдались частично не выходными, потому что все началось в пятницу после обеда. И уже в пятницу мы начали получать сообщения, что в компьютерах пользователей, которые мы поддерживаем, они начали блокироваться, были заражены вирусом. И мы занимались поддержкой, рассказывали, как избавится от вируса, рассылали программы, которые помогают справится с этой историей. И помогали уничтожать систему, сносить полностью, чтобы восстановить частично данные.

В.И: Как сообщают СМИ, атаке подверглись компьютеры по всему миру, и якобы больше всего компьютеров было поражено в России. Как сообщают СМИ, что началось все с британских больниц и испанских компаний, затем вирус добрался до России. Ты как-то отслеживал хронологию, как это все происходило?

А.Ш: Хронология началась еще в марте этого года, когда Microsoft рассказала об этой уязвимости, которая позволяла получить доступ практически к любой машине и выполнить на ней exploit. И тогда же Microsoft разместила на своих регулярных обновлениях патч, который закрывал эту уязвимость. И соответственно, те машины, которые были заражены, они либо не обновлялись, то есть, были настроены без обновлений, но чаще всего, это было нелицензионное ПО, которое просто не получало эти обновления, либо устаревшая Windows 7, которая не поддерживается должным образом.

В.И: В России, по твоим данным, кто подвергся атаке? Если говорить о той информации, которая поступала в субботу, СМИ сообщали о том, что хакерской атаке подверглись ресурсы РЖД, ресурсы МВД России, но, правда, потом появились сообщения о том, что удалось как-то пресечь эту атаку, и никакого урона нанесено не было. Писали также о том, что российская кампания «Мегафон», «Yota» подверглись атаке.

А.Ш: По нашим ощущениям, по ощущениям экспертов, которые отслеживали эту активность, ситуация в основном развивалась в регионах России, а не в центральных офисах компаний, которые достаточно хорошо защищены и снабжены хорошими специалистами. А в регионах качество IT-поддержки очень слабое. Просто люди, которые занимаются безопасностью в региональных МВД, в региональных офисах Сбербанка и так далее, они не настолько квалифицированы, у них не настолько большие ресурсы, как у центральных, и они не были защищены. Плюс ко всему надо понимать, что для того, чтобы компьютер был заражен, чтобы система заражена, он должен быть заранее просканирован, он должен был быть доступен длительное время и быть в сети. Это либо такая кривая настройка, обычный бытовой роутер с настроенным файерволом просто перекрывает возможность злоумышленникам провести такую атаку.

В.И: А можете просто для чайников объяснить, как происходит такая атака?

А.Ш: Microsoft объявляет, что у нас нашлась такая уязвимость. Кто-то из хакеров, которые занимаются безопасностью, эту уязвимость обнаружил, дал знать о ней Microsoft, и о ней рассказали и выпусти патч. Все прекрасно знают, что обновляются не все системы. Многие считают, что это долго, обновляется в самое неподходящее время, это правда, но эти неудобства компенсируются своей безопасностью. И злоумышленники, учитывая, что многие не обновляются, начинают массово сканировать сеть на предмет компьютеров, которые не обновлены и подвержены этой угрозе, этой атаке. После того, как база данных компьютеров собрана, пишется автоматический exploit, который записывает вирус-вымогатель через эту дырку, которая была опубликована и не закрыта халатными пользователями, в компьютерную систему. Вот так работает этот вирус.

В.И: И как это отображается на компьютере?

А.Ш: Компьютер не работает, он просит денег, он пишет сообщения, куда надо перевести деньги или биткоины для того, чтобы ваш компьютер разблокировался. В этой ситуации, насколько я видел, это еще был уникальный код платежа, после которого сервера злоумышленников разблокировали компьютеры.

В.И: Были такие случаи, когда шли на то, чтобы перечислить деньги?

А.Ш: Дело в том, что вирус-блокиратор — неновая история. Все мы помним ситуацию с порно-баннером, когда в компьютерах всплывало окно. И там тоже просили деньги, но не такие большие, там обычно 5−10 долларов. А тут 200−300 долларов. И эти блокираторы лет 10 уже ходят по сети. Они разным образом рассылаются. Это и черви-трояны, и нелицензионный софт и так далее.

В.И: С какой целью это может быть сделано? Я видела большое количество комментариев, что сбор средств и денег — не первая цель, которую могли ставить перед собой взломщики. Кто-то посчитал и пришел к выводу, что сумы были получены маленькие, и многие смогли как-то справиться с этим вирусом, не перечисляя деньги. Какая может быть конечная цель?

А.Ш: Конечная цель — это продемонстрировать свои возможности. А кроме того, мы все помним, что уже несколько месяцев ходит история о том, что из арсенала АНБ утекла база exploit. Многие это сравнивают с кражей ракет серии «Томагавк». И возможно, какая-то группа показывает, что эта база находится у них. А может быть и нет. Самое смешное, что часто самые крупные вирусные атаки, которые мы помним на нашем веку, не все они были какими-то злоумышленниками организованы. Многие из них были организованны студентами, которые пробовали свои силы. И та схема, которую я описал, сканирование сети на предмет уязвимых компьютеров, это абсолютно обычная история, которая доступна любому студенту или школьнику с нормальными знаниями. Мощности, которые были использованы злоумышленниками, они поражают. Это явно использовалась большая сеть зараженных заранее машин.

В.И: Насколько велика утечка данных после такой атаки? Были же атакованы многие структуры, которые хранят важную информацию о гражданах тех стран, в которых эти структуры располагаются.

А.Ш: Вот об этом мы вообще не можем судить никак, потому что вирус-блокиратор — это одна из сторон этой атаки. Основа атаки заключается в получении доступа к компьютерам, которые были незащищены, которые не были пропатчены. И злоумышленник, получивший доступ к таким компьютерам, мог не только засунуть туда программу, но мог и скачать информацию. Мы не очень хорошо понимаем, как долго шла атака, потому что стали понимать о том, что атака идет, когда компьютеры начали блокироваться.

В.И: Она могла начаться задолго до этого?

А.Ш: Большие всплески сканирований сети, компьютеров, корпоративных сетей специалисты наблюдали с середины марта 2017 года. Возможно, exploit тогда уже был написан, и, может быть, он применялся в течение всего апреля. Никто не может этого сказать.

В.И: А есть предположения по поводу того, кто это мог сделать? Я видела сообщение о том, что, возможно, за этой кибератакой стоит группировка под названием Shadow Brokers. Разные версии выдвигаются, например, на Lenta.ru со ссылкой на «Телеграф» пишет о том, что российский след имеется в этой атаке, но это уже анекдот дня.

А.Ш: Российский след сейчас есть в любой атаке, потому что русские специалисты по IT-безопасности считаются лучшими в мире. Это единственное, в чем мы догнали и перегнали остальных, но не всегда они работают на какие-то государства, не всегда они работают на Россию. Они могут работать на какие-то корпорации, на преступные сообщества. По большому счету, это огромная проблема в том, что те люди, которые являются специалистами по IT-безопасности, они фактически являются новым типом наемников в современной кибервойне. И их действия не квалифицируются ни одним государством мира как наемничество, хотя я и мои коллеги из разных стран говорим об этом последние года три, что необходимо принимать поправки в международных документах ООН и в других международных организациях, чтобы приравнять подобную работу к наемничеству.

В.И: Настолько все серьезно?

А.Ш: Конечно, потому что любая атака, а тем более такая крупная, она ведет к большому количеству жертв, финансовых или даже человеческих, особенно если атаке подвергаются такие важные места, как больница. Представляешь себе, что в реанимации заблокировало компьютер, там порно баннер выскочил, а надо доработать. Ведь подобная информационная система, они же управляют городским трафиком, светофорами, водоснабжением и так далее.

В.И: Похоже на сценарий фильма об апокалипсисе или что-то в этом духе. Давай тогда буду озвучивать другие теории, которые встречаются в сети. Многие СМИ сообщают о том, что большое количество компьютеров располагалось на территории России, которые подверглись атаке. Почему именно об этом можно говорить? Мы менее защищены? Или именно на российских пользователей, возможно, была направлена атака?

А.Ш: Российские пользователи меньше защищены, потому что даже государственные органы используют систему Windows. А система Windows самая распространенная в мире, но в большом количестве государств корпорации используют более защищенный софт. Это Linux, это MacOS. Это такие системы, которые более защищены и менее исследуемые, это первая история. Во-вторых, в России, к сожалению, подавляющее большинство копий системы Windows не лицензионнее. И они не обновляются, а поскольку они не обновляются, то все exploit, которые были обнаружены после выхода этой пиратской версии, они все доступны для злоумышленников. Причем самое смешное, что мы сталкивались с таким, что мы проводили исследования в организации. Крупная организация с хорошим бюджетом, и мы узнаем, что у них на все компьютеры закуплен лицензионный Windows, это очень круто, они молодцы. И нам админ рассказывает, как в этих системах все стоит, как все управляется, но когда мы подходим к первому попавшемуся компьютеру, то мы видим, что там стоит какая-то левая операционная система, которая была поставлена то ли самим пользователем, то ли админом до закупки легальной операционной системы. И в российских кампания, к сожалению, нет практики IT-аудита. Если в западных кампаниях есть такая практика, когда кампания раз в год проходит I- аудит, когда все компьютеры осматриваются, работа администраторов проверяется. Есть целая отрасль компаний, которые специализируются на аудите IT-безопасности. И там системы более защищены, чем у нас.

В.И: Существуют такие предположения, что это может быть такое лоббирование и продвижение в России своих отечественных систем, как альтернатива Windows.

А.Ш: Вот смотри, почему ничего не мешает Китаю без лоббирования просто взять и на все государственные машины поставить Linux? Ничего не мешает Франции работать исключительно на своих системах. Если есть альтернатива, то не надо ничего лоббировать, если бы был российский софт, то, наверное, им бы пользовались. Но его нет и не существует. А разговоры о нашей операционной системе идут давно, денег попилено с федерального бюджета просто миллиарды, и люди, которые занимались в разные годы этим, они сейчас живут в тех странах, которые сейчас меньше подверглись атаке, чем в России.

В.И: Сообщение с «Голос Америки»: «В заявлениях для российских СМИ они утверждали, что им удалось предотвратить вирусную атаку благодаря отказу от операционной системы Windows, и отмечали преимущество резервного копирования с использованием российской операционной системы „Эльбрус“».

А.Ш: Это кто распространил?

В.И: Это на «Голос Америки» было опубликован материал со ссылкой на представителя государственных структур.

А.Ш: Если представитель государственной структуры не назван, российский «Эльбрус», к сожалению, крайне неповоротливая в плане вычислительных мощностей система, и операционная система на ней — не российская разработка, это просто Linux. И они сами по себе достаточно устаревшие. Там, где не требуется больших вычислительных мощностей, то да, «Эльбрус» применим, но это не массовая история. Кроме того, наши производители не могут обеспечить «Эльбрус» хоть каким-нибудь спросом, поэтому персональные компьютеры самые распространенные сейчас.

В.И: Давай тогда поговорим о том, что же делать на будущее, чтобы избежать повторения чего-то подобного впредь. Правильно ли я понимаю, что атаке могут подвергнуться самые обычные пользователи, и со многими это произошло. И об этом не стало широко известно, потому что если подверглись организации атаке, то они заявляют.

А.Ш: Не всегда и не все. Если нет необходимости, если нет остановки работы, если нет блокировки каких-то организационных моментов, тогда зачем рассказывать о том, что у тебя система безопасности собрана из палок и коровьих лепешек? На самом деле так. Ну как можно в серьезной системе, при наличии всех серьезных инструментов администрирования, не использовать их и полагаться на случай, я не понимаю.

В.И: Как можно обезопасить себя на будущее? И стоит ли ожидать повторения таких атак?

А.Ш: Во-первых, ввести практику аудита безопасности и проверить, что в компании находится в компьютерах, какие операционные системы стоят, как они обновляются, как они администрируются, как защищен внешний интерфейс, какие компьютеры имеют доступ в сеть. Полностью проверить. У нас многие думают, что антивирусник нас защитит, но сегодняшние антивирусники не могут нас защитить, особенно от нового, потому что они используют, метод эвристического анализа. Они сравнивают кусок кода, который они анализируют, со своей базой, в которой уже есть известные вирусы. А с новыми неизвестными вирусами антивирусники не справляются. Самая полезная часть любой антивирусной системы — это их файрволл, но никак не антивирусные ядра. Поэтому полагаться на то, что у тебя есть антивирусник, и этого достаточно, это не правильно. Надо полностью всю систему смотреть. А кроме того, надо понимать, что нынешняя атака еще не закончилась, потому что количество компьютеров, которые могут быть подвержены угрозе, явно больше, чем количество компьютеров, которые были атакованы. Сейчас самое время обновляться, качать утилиты с сайта Microsoft. Их уже много, можно их найти в сети. Кроме того, если это бизнес, и вы боитесь потерять данные и возможность работать, то надо задуматься о полномасштабном бэкапе, о работе через облачные системы, когда у вас на столе находится только терминал, а вычислительные мощности находятся где-то далеко, и их защищают профессионалы. И, может быть, перейти с Windows на менее распространенные дистрибутивы и так далее. Кстати, очень хорошая тема, это киберстраховки. Это рынок, который сейчас оценивается примерно в 3 миллиарда долларов годовых. И он развивается в США, он развивается в промышленных районах Китая, он достаточно динамично развивается в Европе. И как прогнозируют в ближайшие 10 лет, он будет развиваться во всем мире, потому что угрозы киберрисков будут расти. Поэтому крупные страховые компании начинают страховать от киберрисков, от атак, от заражения вирусов и так далее. Плюс киберстраховки в том, что не только тебе в случае чего выплатят что-то, а страховая компания за свой счет проводит аудит, прежде чем оценить стоимость страхового случая. Допустим, приходит к тебе Росгосстрах и говорит: «А давайте мы вас оценим, прежде чем узнать, сколько будет стоить ваша страховка?». Это уже неплохо. Фактически бесплатно оценить еще до заключения договора со страховщиком всю эту историю, это очень классно.

В.И: Что все-таки делать тем, кто подхватил вирус?

А.Ш: Во-первых, не платить. За эти выходные появилось несколько десятков вирусов-имитаторов, которые на самом деле не являются тем самым вирусом, но они его имитирую достаточно качественно, используя менее сложные системы блокировки. Но люди, наслушавшись новостей, начитавшихся их в интернете, платят. Не надо платить, потому что вы в данный момент не можете быть уверены, что это хоть что-то решит. Лучше всего обратиться к специалисту, который в этом разбирается. Сейчас есть утилиты, которые просто с флешки могут восстановить заблокированный компьютер, если он не был зашифрован. Дешифровщик пока еще не написан, но он будет написан ближайшие два дня, потому что сейчас специалисты исследуют код. И надо понять, если на компьютере нет ничего ценного, и все у вас хранится в облаке, то лучше снести систему, и будет счастье. На некоторых ноутбуках так не получится сделать, потому что был зашифрован весь диск, который содержит раздел восстановления, тут только сервис уже. Выходов много, их надо искать, но если вы не являетесь специалистом, то лучше обратиться к специалисту, благо таких сейчас много. Если на компьютере есть личные данные, то особенно нужно искать специалиста, потому что особенно высок риск, при попытке обойти вирус можно потерять данные, потому что шифрованный диск не подлежат восстановлению.

В.И: Велик шанс данные просто потерять?

А.Ш: Да.

В.И: Алексей, твой прогноз, как дальше могут развиваться события?

А.Ш: Две части. Первая часть, это атака не последняя, exploit находились и будут находиться не только в Windows, но и в Linux дистрибутивах, потому что систем без ошибок не бывает. А вторая история, что мировая агломерация IT будет защищаться от этого, и операционная система будет обновляться. Нужно за этим внимательно следить и настроить автоматическое обновление. Если не умеете сами, то нужно обратиться к специалисту и настроить систему так, чтобы она не была для вас угрозой. Надо готовиться к этому и использовать лицензионное ПО. Через нелицензионное ПО очень часто компьютеры заражаются, и потом ваш компьютер может быть использован в атаке на другие компьютеры, а потом к вам придут государственные органы и скажут, что вы хакер и так далее. Бесплатный сыр бывает только в мышеловке. Никто просто так игры раздавать не будет.

В.И: Но атаки в основном будут направлены на государственные структуры? Или на обычных пользователей?

А.Ш: Атаки не будут направлены на что-то конкретное. Отдельная атака может быть направленной, но это не массовая, это точечная. Сейчас атака направлена на всю глобальную сеть. Все компьютеры, которые так или иначе участвуют в сети, которые работают в ней, они все подвержены угрозе. Злоумышленники и программы не делают разницы между чиновником и обычным человеком. Им все равно, если есть ПО, оно нелицензионное, то атакуем.

В.И: Посмотрим, надеюсь, что все будет развиваться по лучшему сценарию, и все проявят бдительность и ответственность.

А.Ш: Нет. Сколько бы мы ни говорили, большинство будет подвержено атакам.

В.И: Вот такой прогноз от нашего эксперта Алексея. Алексей, спасибо большое, что побеседовал с нами. Это была программа «Zoom» на радио СОЛЬ. У микрофона Валентина Ивакина. До свидания.

Мнение участников программы может не совпадать с мнением редакции.
Научный четверг

Понравилась статья? Поделись с друзьями!

comments powered by HyperComments