Летом 2017 года компьютеры десятков компаний и госструктур различных стран – Украины, Германии, Польши, России, Греции, Сербии, Чехии и других – подверглись атаке вируса-шифровальщика NotPetya (также известного как Petya.A). Он проникал в корпоративные сети посредством фишингового письма, в котором содержалась вредоносная ссылка. При активации ссылки вирус блокировал компьютер посредством шифрования информации на жестком диске. И требовал выкуп в размере 300 долларов в биткоинах за восстановление доступа к ПК.

Следует отметить, что российские банки в этот раз практически не пострадали от действий злоумышленников. Финансово-кредитные организации, которые ранее корректно и оперативно отреагировали на атаку вируса WannaCry и закрыли эту уязвимость, были защищены и от Petya.A.

АГРЕССИВНАЯ СРЕДА

Сеть интернет представляет собой довольно агрессивную среду, с помощью которой может распространяться огромное количество разных по своему предназначению вредоносных программ.

Основной задачей вирусов-шифровальщиков и вирусов-вымогателей является ограничение возможности доступа пользователя к важной для него информации (либо при помощи шифрования, либо иными способами) и последующее получение вознаграждения за возможное восстановление доступа, рассказывает начальник управления информационной безопасности Московского Кредитного Банка (МКБ) Евгений Солянкин.

Специфика вируса-шифровальщика заключается в том, что он кодирует данные, до которых может «дотянуться», используя права работающего пользователя, отмечает руководитель отдела информационной безопасности ипотечного банка

«ДельтаКредит» Всеслав Соленик. Затем он требует выкуп за их расшифровку, но зачастую она невозможна или не будет осуществлена, даже если выкуп уплачен, что означает, по сути, уничтожение данных.

Вирусы-вымогатели, подобные Petya и WannaCry, опасны и для физических лиц, и для организаций, так как практически безвозвратно уничтожают данные. «Для организаций, а в особенности – банков потеря данных на критически важных серверах или рабочих станциях может иметь серьезнейшие последствия, вплоть до приостановки деятельности, – говорит Всеслав Соленик. – При этом конкретно вирус Petya.A использовал очень схожую с ранее прогремевшей атакой WannaCry уязвимость – модификацию EternalBlue. В данном случае организации, корректно и оперативно отреагировавшие на атаку WannaCry и закрывшие эту уязвимость, были защищены и от Petya.A. Вероятно, российские банки продемонстрировали хороший уровень выполнения «плана действий» по недопущению повторения атаки».

В настоящее время злоумышленники используют вредоносное программное обеспечение прежде всего для того, чтобы заработать. Поэтому успешная атака с его использованием почти всегда несет определенный ущерб для компании, из кото- рого злоумышленник извлекает выгоду, отмечает Евгений Солянкин. «В таком случае ущерб может выражаться в прямых финансовых убытках для организации или носить косвенный характер (временное прерывание бизнес-процесса, затраты на восстановление и т.п.). Поэтому игнорировать угрозу, исходящую от успешной атаки Petya.A и подобных ему, нельзя». 

Эксперт МКБ подчеркивает, что банки уделяют значительное время развитию технологий и способов защиты своих информационных ресурсов и активов. Кроме того, финансово-кредитным организациям существенную помощь оказывает Банк России, который информирует о возможных способах минимизации конкретных рисков, связанных с ИБ. Совокупность указанных факторов, а также определенный уровень зрелости процессов и осознание важности реализации политики безопасности в финансово-кредитных организациях позволили противостоять новой угрозе, считает Евгений Солянкин.

«Можно также отметить, что Petya.A использовал уязвимости, которые ранее уже эксплуатировались вредоносным ПОWanaDecrypt0r.Поэтомубольшинство организаций провели необходимые мероприятия по устранению этих дефектов», – говорит эксперт МКБ.

ВИРУС НА УКРАИНЕ

Сильнее всего от вируса пострадала Украна. Зараженными оказались компьютерные сети украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы, также вирусной атакой были заблокированы Mondelez International, Mars, «Новая Почта», Nivea, TESA и другие компании.

Национальный банк Украины предупредил об атаках нанесколько банков страны, а также на некоторые предприятия коммерческого и государственного секторов. Ощадбанк ограничил предоставление ряда услуг. Вследствие атак на украинские банки в киевском метрополитене невозможно было оплатить проезд банковскими картами.

От вредоносного ПО пострадали правительственные компьютеры Украины, магазины «Ашан», операторы связи Киевстар, LifeCell, УкрТелеКом, а также Приватбанк. Аэропорт Борисполь тоже подвергся хакерской атаке. Была парализована работа Чернобыльской АЭС.

Департамент киберполиции получил от государственных и частных учреждений несколько десятков сообщений о вмешательстве в работу персональных компьютеров. По факту хакерских атак украинские правоохранители возбудили уголовное дело.

Советник министра внутренних дел Украины Антон Геращенко заявил, что под вирус-вымогатель была замаскирована кибератака, которую, конечно же, «организовали российские спецслужбы».

«Письмо, содержащее вирус, приходило в большинстве случаев по почте. Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторах и маскировали рассылки писем, содержащих вирус, под деловую переписку, которую из любопытства открывали неопытные пользователи», – сказал он.

В ряде украинских СМИ появилась информация о причастности кибератакам NotPetya «российской компании» Lucky Labs. Согласно публикациям в масс-медиа, Lucky Labs сотрудничает с российскими спецслужбами. Эксперты компании якобы получили доступ к сетям украинских стратегических служб, в частности Укрпочты, и с помощью своих технических ресурсов обеспечили распространение вредоноса.

ВИРУС В РОССИИ

Однако справедливости ради нужно отметить, что от вируса пострадала не только Украина. В тот же день о вирусной атаке заявили российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka), металлургическая компания Evraz, одним из бенефициаров которой является Роман Абрамович, российское отделение фирмы Royal Canin (производитель кормов для животных). В ряде других крупнейших компаний России, в частности в «Северстали», НЛМК, ММК, «Норникеле» и ТМК, заявили об отсутствии каких-либо инцидентов, связанных с кибератакой. Среди жертв хакеров также оказались сети российских «Башнефти» и «Роснефти», при этом последней пришлось перейти на резервную систему управления производственными процессами.

Хакерская атака никак не отразилась на работе атомных электростанций, действующих в России, все АЭС работали в штатном режиме, заявлял представитель концерна «Росэнергоатом». В пресс-службе

«Системного оператора ЕЭС» сообщали, что специалисты по информационной безопасности компании не зафиксировали никаких целенаправленных атак на информационную инфраструктуру компании. В компании «Россети» отмечали, что ситуация находится под контролем, меры для отражения атак были приняты. Российские телекоммуникационные операторы работали в штатном режиме. Московская биржа тоже не зафиксировала хакерских атак на свои ИТ-системы.

По словам руководителя криминалистической лаборатории Group-IB Валерия Баулина, от вируса-шифровальщика Petya пострадали более 80 компаний в России и на Украине.

ПОД ПРИЦЕЛОМ – БАНКИ

Банк России заявил, что обнаружил хакерские атаки, направленные на системы российских финансово-кредитных организаций. В результате были зафиксированы единичные случаи заражения объектов информационной инфраструктуры.

Так, в распространенном пресс-релизе говорилось о том, что Банк Хоум Кредит, наряду с другими крупными российскими компаниями, обнаружил попытки нарушения своей киберзащиты на ограниченном количестве банковских компьютеров. Позже банк сообщил, что работоспособность большинства систем организации восстановлена.

«Учитывая обширную кибератаку, которая произошла во всем мире, и согласно нашим собственным протоколам безопасности, Банк Хоум Кредит решил приостановить работу всех своих ИТ-систем до тех пор, пока не будет проведено тщательное расследование, – говорилось в заявлении. – Всесторонняя проверка подтвердила, что наша основная банковская и платежная система не были затронуты – они не работают на стандартных операционных системах. Все данные о клиентах и операциях защищены и не пострадали. Отделения работают по обычному графику, в консультационном режиме, в них доступно погашение кредитов с карт клиентов. Клиентам доступны онлайн-операции, и они, как обычно, могут снять свои деньги через банкоматы. Точки продаж в торговых центрах функционируют в обычном режиме».

При этом следует отметить, что в целом нарушений работы систем банков и предоставления сервисов клиентам зафиксировано не было. Так, в Сбербанке сообщили, что банк работает в штатном режиме на фоне произошедших хакерских атак.

Системы дочерней структуры Сбербанка на территории Украины также не пострадали от атак шифровальщика Petya.A. Об этом заявил заместитель председателя правления Сбербанка России Станислав Кузнецов.

«Во время атаки наши системы совсем не пострадали, но все соответствующие команды включились в работу, чтобы оценить ситуацию. Благодаря оперативному обмену информацией, срочному звонку, сообщениям, куда необходимо направить усилия, удалось защитить ресурсы банка на Украине», – сказал Станислав Кузнецов.

Он также отметил, что системы банка ежедневно фиксируют сотни тысяч различных атак в киберпространстве, а если говорить о мелких, то их количество исчисляется миллионами. По словам С. Кузнецова, Сбербанк является главной целью кибератак в РФ. Зампред также добавил, что специалисты банка уверены: атаки с использованием вымогательского ПО, подобного NotPetya и WannaCry, будут повторяться.

По мнению С. Кузнецова, одним из препятствий для борьбы с хакерами является недостаточный обмен информацией в сфере кибербезопасности между странами.

«Между хакерами нет границ, в то время как между нами они существуют, иногда очень плотные и жесткие. Наверное, в этом суть разницы между действиями хакеров сегодня и особенностями взаимодействия между разными странами», – подчеркнул Станислав Кузнецов.

РETYA.A + MISHA = !

Эксперты разошлись во мнениях относительно самого вируса. Компания Group-IB изначально сообщила об атаках вируса-вымогателя Petya.A.

Президент ГК InfoWatch Наталья Касперская заявила, что Petya.A обнаружили еще в апреле 2016 года, и первый его вариант был бессильным, если ему не давались права администратора. «Поэтому он объединился с другим вирусом-вымогателем Misha, который имел права администратора. Это была улучшенная версия, резервный шифровальщик», – сказала Н. Касперская.

В компании Dr.Web отметили, что вирус, поражавший компьютеры по всему миру 27 июня, отличается от вымогателя Petya способом распространения. По данным Dr.Web, троянец распространяется самостоятельно, как и нашумевший WannaCry. В «Лаборатории Касперского» пришли к выв ду, что вирус не принадлежит к ранее известным семействам вредоносного программного обеспечения.

Напомним, что в мае текущего года по всему миру прошла волна заражений вирусом-шифровальщиком WannaCry. Он также зашифровывал все файлы на компьютере и требовал выкуп в 300 долларов. Первой от вируса пострадала Испания. Там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, банки и энергетические компании. В общей сложности от вируса пострадали около 200 тыс. компьютеров более чем в 100 странах мира, а ущерб от действий хакеров оценили в 1 млрд долларов. В России оказались заражены компьютеры Министерства внутренних дел и компании «Мегафон».

WannaCry удалось остановить специалисту по безопасности, который ведет блог MalwareTechBlog. Он обратил внимание, что WannaCry по неясной причине обращается к конкретному домену, и попробовал зарегистрировать домен с таким именем. После этого к нему пришли десятки тысяч запросов, а распространение вируса прекратилось.

НАЙДЕН ИСТОЧНИК ВИРУСА PETYA

Специалисты компании – разработчика антивирусного программного обеспечения ESET обнаружили источник распространения вымогателя Petya. Оказалось, что хакеры скомпрометировали бухгалтерское программное обеспечение M.E.Doc,

внедрив вредонос в последнее обновление. Программой активно пользуются украинские компании, в том числе финансовые организации.

Подобным образом заразились компании в странах Европы, Азии, а также в США. Ранее стало известно, что немецкий сервис Posteo заблокировал электронный адрес, который злоумышленники использовали для связи с жертвами. Это позволило лишить мошенников возможности получать оповещения об оплате выкупов.

Кроме того, эксперты компании Positive Technologies смогли найти kill-switch – возможность локально отключить шифровальщик.

Согласно сообщению украинской компании «Интеллект-сервис», компьютеры, где установлено бухгалтерское ПО M.E.Doc, в ходе атак Petya.A были заражены бэкдором. Об этом сообщило агентство Reuters со ссылкой на исполнительного директора компании Олесю Билоусову. По словам О. Билоусовой, бэкдор установился на каждый компьютер, который во время атаки был подключен к интернету. «Бэкдор нужно закрыть. Здесь имел место взлом серверов», – заявила исполнительный директор «Интеллект-сервиса».

ГЛАВНЫЕ ВЫВОДЫ: PETYA БЫЛ МОДИФИЦИРОВАН ДО НЕУЗНАВАЕМОСТИ

На данный момент ясно, что если в основе вируса и лежал Petya, то он был сильно модифицирован, объясняют специалисты компании «Инфосистемы Джет». Модель распространения отча- сти аналогична WannaCry. Используется эксплоит к уязвимости MS17- 010, атака была усилена социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения или скачивания файла, которые эксплуатируют уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник. Похищаются пароли пользователей или используются активные сессии для доступа к другим узлам сети

применяется код утилиты Mimikatz). Через уязвимость в протоколе SMB в игру включается тот самый знаменитый эксплоит EthernalBlue. Компания Microsoft опубликовала подробное описание,как вредоносное ПО получает дамп паролей и оперирует ими для подключения к административным сетевым папкам для удаленной установки ПО. Вредонос использует похищенные учетные записи, чтобы скопировать свое тело в шары admin$ и запускает их с помощью легальной утилиты PsExec, служащей для удаленного управления компьютером, объясняют эксперты «Инфосистемы Джет».

Разработчик известной программы Mimikatz подтвердил, что это ее видоизмененный код.

Заражение же по вектору SMB идет с использованием уязвимости CVE-2017-0144 аналогично технике, использованной в WannaCry. А вот модель шифрования существенно изменилась по сравнению с WannaCry. Вирус, проникая в компьютер, заражает MBR (главную загрузочную запись) системы и шифрует несколько первых блоков жесткого диска, включая Master File Table. В результате недоступным становится весь жесткий диск пользователей, а не только отдельные файлы. Платить мошенникам точно не стоит, и не только по этическим соображениям, подчер- кивают специалисты «Инфосистемы Джет». Вирусные аналитики пришли к выводу, что расшифровка файлов после уплаты выкупа в принципе невозможна. Эта функция попросту не заложена во вредонос. По сути, это не эпидемия шифровальшика, а эпидемия вируса-вайпера (wiper-virus), уничтожающего данные.

Поскольку механизм восстановления не был заложен в код, возможны три различных варианта мотивации злоумышленников, считают в компании «Инфосистемы Джет». «Либо они хотели замаскировать под массовую эпидемию точечное уничтожение чьих-то конкретных данных, либо хотели заработать, изначально не собираясь ничего восстанавливать. Наименее вероятный вариант – это кибервандализм. Вирус – серьезный продукт, и силы, потраченные на его создание, было бы разумнее приложить к чему-то, приносящему деньги. Вандалы встречались в 1990-е годы, когда было модно ломат системы ради славы, но сейчас они крайне редки. В итоге главным выгодоприобретателем стала, по-видимому, хакерская группа The Shadow Brokers, распространившая эксплоит EthernalBlue. Сами вымогатели собрали сравнительно небольшие суммы, на несколько порядков меньше, чем объем ущерба. Эпидемии стали отличной рекламой The Shadow Brokers, которые утверждают, что готовы продать информацию об остальных эксплоитах из архива Агентства национальной безопасности (АНБ), разведывательной организации Соединенных Штатов. Ведь EthernalBlue – всего лишь единственный эксплоит из десятков, украденных у секретной службы в августе 2016 года».

Цели злоумышленников, распространяющих вирусы, могут быть самыми разными, считает руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик. От реального зарабатывания денег или пиара конкретной киберпреступной группы до прикрытия иных атак или использования в геопо- литических целях.

По мнению начальника управления информационной безопасности МКБ Евгения Солянкина, основной целью злоумышленников является получение финансовой выгоды.

ЧТОБЫ НЕ ЗАРАЗИТЬСЯ ВИРУСАМИ, НУЖНО СЛЕДОВАТЬ ПРАВИЛАМ 

Понятно, что это не последняя попытка взлома киберзащиты организаций. Чтобы оградить свой бизнес, необходимо предпринимать конкретные шаги, которые помогут предотвратить заражение этими вирусами. Для этого Всеслав Соленик рекомендует следовать определенным правилам.

Мера № 1 для защиты от последствий действий подобных вирусов – регулярное создание резервных копий всей критически важной информации на внешние носители, недоступные для пользователей. Как правило, в банковской сфере это мощные enterprise-системы и библиотеки с лентами. Однако важно регулярно проводить проверки корректного выполнения процесса и тестовое восстановление данных.

Мера № 2 – своевременное и не терпящее исключений применение обновлений операционных систем и прикладных программ. Показателен пример WannaCry – атака была в мае, а закрывающий ее патч Microsoft выпустила в марте. Все, кто вовремя поставил обновление, были защищены.

Мера № 3 – повышение уровня осведомленности пользователей. Нужно постоянно обучать персонал тому, как выявлять фишинговые письма и как на них реагировать. Всегда найдется zero-day, который не закрыт патчем. Но бдительный работник не откроет полученное сомнительное письмо, и банк останется защищенным.

Мера № 4 – настройка и поддержка технических систем защиты. Это и фильтрация интернет-страниц, и обновление антивируса и сигнатур систем предотвращени вторжений, и запрет на запуск неизвестных исполняемых файлов и другие элементы эшелонированной защиты.

По мнению эксперта банка «Дельта-Кредит», существует также ряд отраслевых стандартов и лучших практик, где все наиболее эффективные способы и методы защиты банков от подобных вирусов описаны очень хорошо. И если им корректно следовать, 95% атак встретят противодействие. «Как правило, это вопрос наличия воли, ресурсов и правильно построенных процессов. А значит, и компетентных кадров», – говорит Всеслав Соленик.

Для защиты бизнеса требуется комплексный подход, уверен Евгений Солянкин (МКБ). «Эффективность применяемых подходов к защите от указанных угроз определяется общей зрелостью процессов обеспечения ИБ в организации, применением эшелонированной защиты информационных активов, степенью выполнения требований отраслевых стандартов и законодательных актов РФ», – отмечает эксперт.