25.12.2020
Первый вирус для персонального компьютера появился больше 30 лет назад, но с тех пор масштабы вирусных атак лишь нарастают. Из банковского сектора и сегмента интернет-торговли хакеры постепенно перемещаются в сферу промышленности, транспорта и государственного управления. А разработать «вакцину» от компьютерного вируса порой сложнее, чем справиться с COVID-19.
В очередном выпуске проекта «Цифровая среда» представители компании Dr. Web Дмитрий Орлов и Игорь Сдобнов рассказали, как защитить от вирусов информационную систему бизнеса.
Глобального роста количества компьютерных вирусов во время пандемии мы не видим, но наблюдаем громадный рост мошенничества, связанного с коронавирусом. Особенно в России, где злоумышленники создают фейковые сайты и пытаются любыми способами выманить деньги у пользователей. Чем больше у нас возможностей использовать виртуальную личность, тем больше у мошенников шансов ее украсть. Допустим, кража медицинской информации с последующим использованием для мошеннических схем – такое случается все чаще. Чем активнее мы продвигаем технологию цифровизации, тем проще преступникам получить доступ к данным.
Первый вирус для IBM PC назывался Брейн, он появился в 1986 году и распространялся на дискетах. Самое забавное, что в этом вирусе содержался номер телефона и адрес его создателей, это был чисто исследовательский проект. Что такое вирус? Компьютерная программа, которая нацелена на кражу данных или предоставление удаленного доступа к компьютеру. Существует устоявшийся стереотип, что хакер – это интеллектуал-одиночка, который сидит с баночкой пива и пишет компьютерные коды. На самом деле все не так, мы имеем дело с криминальной группировкой, в которой каждый отвечает за свой сегмент атаки. Один пишет код, другой внедряет, третий распространяет и оказывает техническую поддержку. Эти люди зачастую друг друга не знают, координатор занимается дистрибуцией и использованием программы. Бизнес-модель криминальной группировки держится на четырех китах: неправомерный доступ к информации, кража, мошенничество и вымогательство. Информацию продают на подпольных форумах, списывают денежные средства с банковских счетов, создают фейковые сайты и поддельные интернет-магазины. Набирает обороты вымогательство с помощью троянов-шифровальщиков, по последней статистике каждую минуту в мире «зашифровывают» 2-3 крупные компании. Деньги, которые запрашивают за расшифровку, исчисляются уже десятками миллионов долларов.
20 лет назад вредоносные программы распространялись в операционной системе как живые вирусы в организме. Сейчас это чаще всего «троянские кони», которые не размножаются, но крадут данные и предоставляют доступ к компьютеру.
Набирает обороты вымогательство с помощью троянов-шифровальщиков, по последней статистике каждую минуту в мире «зашифровывают» 2-3 крупные компании. Деньги, которые запрашивают за расшифровку, исчисляются уже десятками миллионов долларов.
Помимо криминального бизнеса активизировались хакеры, работающие на государство, программы создаются с одной целью – причинить экономике другой страны максимальный вред. Одним из таких вирусов был NotPetya, он только маскировался под шифровальщика, но расшифровка не подразумевалась. Конкурентных кибератак в России не так много, но это вопрос цены: сколько готова заплатить компания, чтобы вывести конкурента из строя. Если хакера не удовлетворяют полученные деньги, он может начать шантажировать саму компанию или слить информацию в открытый доступ. Готов ли бизнес пожертвовать всем ради кибератаки на конкурента?
По аналогии с медицинской маской, информационной системе бизнеса, безусловно, необходим антивирус, как замок на двери, которую мы пытаемся обезопасить. Обеспечит ли он защиту на 100%? Скорее всего, нет – задача любого хакера создать вирус, который антивирусное программное обеспечение не обнаружит, иначе зачем он нужен? Как ни странно, основная проблема цифровой безопасности – человеческий фактор, особенно в условиях изоляции, и прививки от этой угрозы не существует. Началась эпоха дистанционной работы, личный компьютер, на котором мы выполняем производственные задачи, в 90% случаев защищен хуже, мы невольно начинаем создавать проблемы. Управление безопасностью – это комплекс мер, который включает управление рисками, политику безопасности, разграничение доступа и обучение сотрудников. Если в компании грамотный администратор и грамотный подход к управлению безопасностью, изолированная сеть, отключаемые USB-флешки и запрет на съемные устройства – с высокой степенью вероятности все будет хорошо.
В идеале сотрудник работает в одной системе, у которой нет доступа в интернет, хорошо, если предусмотрены белые списки запускаемых приложений и разграничение прав пользователей, когда каждый выполняет ограниченный круг задач. Как минимум, нужно создавать резервную копию информации, чтобы при необходимости восстановить работу. Каждый инцидент важно расследовать, обратиться к специалистам – понять, что случилось. Зачастую атака становится возможной благодаря действиям пользователей внутри организации. Когда вы пришли в офис и видите, что ваша сеть не работает, а компьютер не включается, у вас должен быть четкий план действий. В крупных компаниях, как правило, проводят киберучения: системные администраторы и группы реагирования должны понимать, что нужно отключить, какие меры предпринять, чтобы расследовать инцидент. И самое главное – какие выводы необходимо сделать, чтобы ситуация не повторилась.
Лаборатория Dr. Web ежедневно получает около миллиона подозрительных файлов для проверки. При создании вирусов все активнее используются нейросети: исходный код преобразуют с помощью «отпускаторов», чтобы программу не зафиксировали средства защиты.
Недавно мы расследовали атаку на предприятие топливно-энергетического комплекса предположительно со стороны одной из групп Китая. Как и 20 лет назад вирусы распространяются через почту, уязвимым звеном стал сотрудник, который открывает документы. Еще одна российская организация, работающая на военно-промышленный комплекс, установила антивирус на компьютерах, а серверы решила не защищать. Но оказалось, что у них с 2018 года сидит «зараза», следит за ними и качает информацию. Дошло до того, что на эти же незащищенные серверы зашли уже другие хакеры, взломали предыдущих и сами там разместились. После того, как злоумышленники попадают в систему и живут там годами, урон сложно оценить: потеря интеллектуальной собственности, передача сведений конкурирующим организациям за рубеж. По оценкам Сбербанка, в 2019 году ущерб российской экономике от кибератак составил 2,5 триллиона рублей, в 2020 году, наверное, будет больше.
Русскоговорящие хакеры, как правило, работают за пределами России, нашим правоохранительным структурам они недоступны. И нет возможности обмениваться информацией с коллегами в Европе и США.
Вирусам достаточно 6-10 часов, чтобы полностью зашифровать корпоративную сеть, атака, как правило, происходит на выходных. В пятницу получили доступ к компьютеру внутри компании, начинают выводить его из строя, ждут, когда администратор войдет в систему, похищают пароль контроллера домена. В последнее время трояны-шифровальщики не только парализуют инфраструктуру предприятия, но и крадут документы, выкачивают несколько сотен гигабайтов информации, а потом просят выкуп. Если жертва не платит, выкладывают сведения в открытый доступ. Стоит конкурентам воспользоваться информацией, и это может привести к краху компании. Безопасность потребует расходов, бизнесу нужно определить, сколько вложить в защиту, чтобы это оказалось дешевле, чем потеря данных. А дальше необходимо взвешенно подходить к ситуации, оставаться в состоянии «здоровой паранойи» – всегда могут прийти и взломать. На черном рынке существует масса сервисов, которые позволяют хакерам проверить новую программу на всех антивирусах, прежде чем отправить жертве.
Самый большой урон, который мы можем нанести злоумышленникам – это обрезать финансовые поступления, основные деньги криминал получает в цифровой валюте. В последнее время власти США, а также площадки по продаже валюты начинают отслеживать и просто блокировать подозрительные транзакции. Важный шаг – регуляция цифровых денег и борьба с обналичкой. Что касается самих вирусов, достаточно запускать все программы на виртуальной машине и запретить доступ к жесткому диску, устанавливать программы только из каталога. И тенденция к этому есть: в последней редакции Microsoft запускает Office на виртуальной машине и решает проблему с вредоносными документами.
Вирусы будут существовать до того момента, пока приносят киберзлодеям деньги, в ближайшее время точно. В лаборатории Dr. Web шутят, что из разнообразных компьютерных угроз скоро останутся одни шифровальщики, с экономической точки зрения они наиболее выгодны. Зашифровали – получили деньги, не нужно искать подставных лиц в банковской сфере или идентифицировать поведение пользователя. Производители операционных систем делают все возможное, чтобы предупредить угрозы, а хакеры, как и прежде, стараются пробить защиту.
Вирусам достаточно 6-10 часов, чтобы полностью зашифровать корпоративную сеть, атака, как правило, происходит на выходных. В пятницу получили доступ к компьютеру внутри компании, начинают выводить его из строя, ждут, когда администратор войдет в систему, похищают пароль контроллера домена. В последнее время трояны-шифровальщики не только парализуют инфраструктуру предприятия, но и крадут документы, выкачивают несколько сотен гигабайтов информации, а потом просят выкуп. Если жертва не платит, выкладывают сведения в открытый доступ. Стоит конкурентам воспользоваться информацией, и это может привести к краху компании. Безопасность потребует расходов, бизнесу нужно определить, сколько вложить в защиту, чтобы это оказалось дешевле, чем потеря данных. А дальше необходимо взвешенно подходить к ситуации, оставаться в состоянии «здоровой паранойи» – всегда могут прийти и взломать. На черном рынке существует масса сервисов, которые позволяют хакерам проверить новую программу на всех антивирусах, прежде чем отправить жертве.