Какие компании стали мишенью атак вирусов-шифровальщиков, сколько новых образцов вирусов выявляется ежедневно, как распространяется вирус, что делать, если заражение уже произошло и какие изменения в IT-инфраструктуре могут повысить уровень кибербезопасности, в интервью SeaNews рассказал Антон Шипулин, руководитель проекта по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского».
Антон Сергеевич, каков, по Вашим оценкам, масштаб эпидемии WannaCry/Petya/NotPetya, зарегистрированный компанией с начала этого года? Какова статистика с точки зрения географии, отраслей, пострадавших компаний?
Наиболее показательна статистика по атаке ExPetr, которая была нацелена именно на корпоративный сектор. Мы уже не раз отмечали, что внимание злоумышленников за последние годы сместилось от обычных пользователей к организациям, и шифровальщики не являются исключением. Блокировка доступа к файлам, необходимым для ведения бизнеса, таким как базы данных, важные документы и т.д., позволяет требовать большие суммы и получать выкуп чаще.
Особую угрозу подобные атаки представляют для предприятий, имеющих объекты критической инфраструктуры, поскольку активность вредоносного ПО может нанести вред производственному процессу, лишить операторов оперативного контроля и привести к остановке процессов.
Мы видим среди атакованных вредоносной программой ExPetr (Petya) компаний множество промышленных предприятий. Среди них электроэнергетические, нефтегазовые, транспортные, логистические и другие компании.
Ниже представлено распределение мишеней атак ExPetr (Petya) по индустриям, согласно данным системы Kaspersky Security Network.
Распределение мишеней атак ExPetr по индустриям на 28 июня
Если говорить о географическом распространении, то больше всего пострадали компании Украины, России, Польши, Италии и Германии.
Каким образом вирус влияет на IT-инфраструктуру – какие тут возможны сценарии, от оптимистичного до Армагеддона?
Единственный оптимистичный сценарий при любой кибератаке – предотвращение вторжения. Если же вредоносное программное обеспечение проникло в корпоративную сеть, или, еще хуже – промышленную, последствия могут быть самыми страшными. Для организаций очень существенные последствия будет иметь утеря или утечка данных, а если злоумышленники смогут остановить работу электростанции, это отразится на жизнях многих людей. Уже известны примеры, когда в результате кибератаки останавливались производства, города лишались электроснабжения и даже была приостановлена ядерная программа целой страны.
Каковы схемы/сценарии распространения вируса этого типа?
В случае с ExPetr мы отследили несколько векторов распространения зловреда. Например, пользователи заходили на взломанные и зараженные сайты, где в фоновом режиме получали вредоносный файл, замаскированный под системное обновление. Также для распространения инфекции использовалась система автоматического обновления некоторых сторонних программ — в частности, ПО для банковской отчетности M.E.Doc.
По нашим данным, в 2017 году в день детектируется более 300 000 новых вредоносных образцов. К сожалению, это означает, что предугадать, как именно злоумышленники попытаются провести атаку в следующий раз, практически невозможно. Поэтому так важно комплексно подходить к организации системы кибербезопасности. Для защиты от проникновения мы рекомендуем обучать сотрудников основам кибербезопасности (а для работников промышленных объектов – проводить специализированные тренинги); устанавливать на все устройства с доступом к сети современные и защитные решения, обязательно включающие поведенческие механизмы обнаружения; не отключать критически важные компоненты этих решений; регулярно ставить все обновления; использовать средства управления и мониторинга защитных решений из единой точки.
Каковы рекомендованные действия, если заражение все-таки произошло?
При заражении шифровальщиками пользователи могут восстановить данные из резервных копий. Если же это невозможно, то следует обратиться на сайт No More Ransom, это совместная международная инициатива «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов, направленная на борьбу с троянцами-вымогателями. За год работы этого портала было расшифровано более 28 тысяч зараженных вредоносным ПО устройств, а сумма сэкономленных на выкупе денег составила 8 миллионов евро. Сейчас на сайте www.nomoreransom.org можно найти 54 утилиты для расшифровки файлов, которые успешно борются со 104 семействами вымогателей.
Какие изменения в IT-инфраструктуре могут снизить вероятность поражения вирусами этого типа? И какие изменения в IT-инфраструктуре позволят снизить тяжесть последствий от возможного поражения вирусом?
Важно понимать, что современная IT-инфраструктура далеко не всегда страдает от вирусов. По данным нашего исследования, в котором приняли участие более 350 представителей индустриальных организаций по всему миру, включая Россию, промышленные предприятия страдали от киберугроз, связанных с вредоносным ПО (53%), целевыми атаками (36%), намеренными или ненамеренными действиями сотрудников (29%) и т.д. Чтобы предотвратить или существенно снизить тяжесть последствий, важно понимать актуальный ландшафт угроз, знать возможные риски, оценивать, какие методы обеспечения защиты наиболее эффективны, и, конечно же, работать над повышением осведомленности сотрудников о новых киберопасностях.
Если же говорить о защите текущей промышленной инфраструктуры, то очень условно можно выделить 6 важных шагов к кибербезопасности:
- Объективная оценка защищенности существующих систем и идентификация актуальных угроз;
- Документирование процессов и процедур;
- Обучение персонала и постоянное повышение их осведомленности о киберугрозах и мерах предотвращения;
- Сегментирование сети и управление сетевыми потоками;
- Настройка встроенных механизмов безопасности систем;
- Непрерывный мониторинг активности и состояния систем.