14.07.2017
Источник:
Курсив
Не успел мир отойти от последствий вируса WannaCry, как произошла новая атака - шифровальщиком Petya. Эксперты считают, что Petya не столько шифровальщик, сколько уничтожитель. Интернет-ресурсы Казахстана также находятся в зоне риска, поскольку в стране, по мнению экспертов, проблемам кибербезопасности уделяется недостаточно внимания.
Что такое Petya?
Чем же является вирус Petya? Вирус Petya – это вредоносное программное обеспечение, которое является трояном типа ransomware («вымогатель»). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличие от WannaCry Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно «отбирает» у вас весь жесткий диск целиком.
Ущерб от вирусов WannaCry и Petya, по предварительным оценкам, составил около $8 млрд. В Германии уже уверены, что только у них он составит несколько миллионов евро. Федеральная киберагенция в Германии сообщила, что убытки, понесенные немецкими компаниями в результате недавних кибератак, оказались больше, чем ожидалось. На некоторых предприятиях из-за вируса были даже вынуждены на неделю свернуть производство, причинившее миллионные убытки по стране.
Вирус Petya поразил незащищенные компьютерные сети организаций по всему миру. Сейчас их насчитывается около 80, причем большая часть из них расположена на Украине.
По данным системы телеметрии ESET, большинство атак шифратора Petya, отраженных антивирусными продуктами ESET на рабочих станциях, приходится на Украину, Германию и Польшу. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.
Согласно данным компании ESET, на Украину пришлось 75,24% заражений от общего количества в мире, на Германию – 9,06%, на Польшу – 5,81%, на Сербию – 2,87%.
Наименее пострадали Греция – 1,39%, Румыния – 1,02% и Россия – всего 0,8%. Доля остальных стран мира составила 2,94%.
ESET установила, что пострадавшие от эпидемии Petya системы имели доступ к украинским сетям через VPN. В настоящее время у вредоносной программы не обнаружено функций, позволяющих распространяться за пределы локальных сетей.
Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота украинской компании M.E.Doc. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, что стало началом масштабной атаки, охватившей страны Европы, Азии и Америки.
Вредоносная программа является новой модификацией семейства Petya. Шифратор пытается инфицировать главную загрузочную запись (MBR - Master Boot Record). Если попытка успешна, он зашифрует весь жесткий диск, в противном случае – все файлы.
Шифратор распространяется внутри сетей посредством SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry и PsExec. Это сочетание обусловливает высокую скорость развития эпидемии.
Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.
Вирусы в Казахстане
Ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев уверен, что с точки зрения антивируса данный шифровальщик ничем особенным не отличается от других вредоносных программ.
«В частности, антивирус Dr.Web обнаруживал часть его компонентов сразу. Причины успеха данного шифровальщика кроются в недостатках систем защиты крупных компаний. Привыкшие к тому, что их атакуют крайне редко, они фактически не принимали никаких мер защиты, кроме формальной установки антивируса. Что говорить, спустя более чем месяц после эпидемии шифровальщика, ставшего известным как WannaCry, распространявшегося через уязвимости, компании, атакованные Petya, так и не удосужились закрыть эти уязвимости», – отмечает эксперт.
Крупнейшие компании мира помогут развитию ВИЭ в Казахстане
К примеру, в Казахстане сайты госорганов зачастую становятся жертвами атак вирусов и хакеров. Например, 28 июня 2017 года, в день выборов в депутаты сената парламента РК, интернет-ресурс Центральной избирательной комиссии Республики Казахстан www.election.gov.kz подвергся хакерской атаке.
По данным ЦИК РК, после обнаружения инцидента специалисты технической службы Центризбиркома своевременно среагировали на атаку. Были приняты все необходимые меры по блокировке попытки взлома.
Также в ЦИК подчеркнули, что на данный момент сайт находится в безопасности.
Как стало известно, IP-адрес злоумышленников был зарегистрирован в одной из европейских стран. Информация была передана в соответствующие государственные органы.
По мнению директора по маркетингу компании «Лаборатория Касперского – Казахстан, Центральная Азия и Монголия» Евгения Питолина, если говорить о конкретных атаках в Казахстане, то крайне сложно судить о причинах проблемы, не изучив экосистему организации и не проведя должным образом расследование.
«Однако в целом можно сказать, что данная атака практически не затронула Казахстан, чего нельзя сказать о WannaCry, по результатам которой Казахстан занял 6-е место в мире по количеству зараженных компьютеров, по нашим данным. К сожалению, глобально причина успешности любой подобной атаки всегда одна – сила человеческого фактора, отсутствие знаний об угрозах и способах борьбы с ними у пользователей, недостаточная подготовленность людей и технических средств для отражения атак», – отметил эксперт в заключение.
Эксперты уверены в том, что кибератаки могут стать важным оружием в войнах будущего.
Как защититься?
Вячеслав Медведев дает такие советы по отражению атак вирусов: «Установить антивирус, запретить пользователям его отключать, устанавливать обновления безопасности сразу, настроить ограничения для пользователей по доступу к различным ресурсам, использовать надежные пароли, не работать с правами доменных администраторов на компьютерах пользователей. Не забывать и про резервное копирование, и про проверку того, что сохраненные копии существуют и могут быть восстановлены корректно. Необходимо фильтровать почту на уровне почтового сервера, очищая ее от вредоносных вложений и фишинговых писем, писем, содержащих только изображения», - пишет он.
Конкретно по данной эпидемии эксперт рекомендует не доверять обновлениям программ. Поэтому, по его мнению, необходимо разделение разных отделов компании в отдельные подсети, необходимо выделять отдельные компьютеры для почты и интернета и отдельные компьютеры для работы. Между подсетями должна быть настроена фильтрация трафика, доступ должен разрешаться отдельным программам и к отдельным ресурсам.
«Вообще, на компьютерах должны быть выключены неиспользуемые сервисы, закрыты неиспользуемые порты доступа, для всех используемых программ должны иметься правила, ограничивающие их доступ в сеть интернет. Хранить данные желательно в базах данных, находящихся на отдельных защищенных компьютерах», – считает г-н Медведев.
В компании «Лаборатория Касперского» отмечают, что в большинстве случаев ее продукты успешно проактивно блокировали начальный вектор атаки шифровальщика Petya с помощью поведенческого анализатора «Мониторинг системы» (System Watcher).
«Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя. Но тут важно понимать, что современные антивирусы являются многослойной системой защиты. В момент появления вируса его ловил слой, отвечающий за блокировку по поведению программ. Если этот слой защиты был отключен администраторами, то происходило заражение. Аналогичная ситуация с очень старыми версиями продуктов, которые просто не имеют этого модуля», - говорит Евгений Питолин.
Эксперты компании настоятельно рекомендуют всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.
«Мы также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы, даже если они были зашифрованы вредоносным ПО», – советует Евгений Питолин.
В качестве дополнительной меры эксперт рекомендует использовать компонент «Контроль активности программ», чтобы запретить всем группам приложений доступ (а соответственно, и исполнение) файла с названием perfc.dat и утилиты PSexec пакета Sysinternals. В качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуется использовать компонент «Контроль запуска программ» продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat – компонент «Контроль активности программ».
Cконфигурировать и настроить режим Default Deny с помощью компонента «Контроль запуска программ» в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.
И единая рекомендация от экспертов компании: сделайте резервные копии файлов и регулярно их обновляйте.
«Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп. Это не поможет вам вернуть файлы: дело в том, что сами злоумышленники не имеют ключа для расшифровки, а значит, не смогут отдать его пострадавшим», – отмечает эксперт.
