О подготовке вирусной атаки Petya.A было известно две недели назад — эксперт

Буквально несколько дней назад тема кибербезопасности обсуждалась только в узких кругах специалистов. Сегодня "экспертами" на тему вирусов и вредоносных программ стали таксисты.

Неудивительно, ведь масштабы атаки криптором-вымогателелем Petya.A впечатляют. К слову, пострадала не только Украина. По данным Bloomberg, о заражении сообщили ряд компаний из списка Fortune-500.

Возникают закономерные вопросы: почему вредоносное ПО так быстро распространяется и масштаб вирусных атак растет? Как их предотвратить в будущем? Рассмотрим ситуацию с самого начала.

Как все начиналось

Все началось в марте 2017 года. Хакерская группировка совершила кражу данных Национального агентства безопасности США, содержащих, в частности, документацию об уязвимостях протокола SMB.

Последующую атаку шифровальщиком-вымогателем WannaCry специалисты связывают именно с этой утечкой. Распространение вируса было быстро остановлено, а Microsoft оперативно выпустили патч для протокола SMB. Тем не менее эксперты предупреждали, что это — только первая ласточка и мир ожидает волна кибератак.

Petya.A наступает

Киберпреступность растет не только в количественном значении — атаки становятся все более изощренными, а на их подготовку идут месяцы, а то и годы. Еще две недели назад во время тестирования программного комплекса LABIRINT в Шевченковском РОВД, которое мы проводили совместно с системным интегратором Allotis, была выявлена разведывательная активность на портах Windows SMB. Паттерн этой активности был очень похож на WannaCry. То есть налицо были признаки готовящейся атаки.

На сегодняшний день у нас есть все основания говорить о том, что срок разведывательной фазы атаки криптором Petya.A был не менее двух месяцев. В ходе этой подготовки были тщательно изучены модели поведения пользователей в украинских организациях, а также особенности используемого ПО.

Эпидемия. Кто виноват?

Анализируя причины столь быстрого распространения Petya.A., мы приходим к неутешительным выводам. С одной стороны, Petya.A является более сложным решением, по сравнению с WannaCry. В отличие от второго, использующего только уязвимость SMB-протокола, у Petya.A много векторов проникновения.

Помимо вышеназванного протокола он использует распространение файлов по e-mail, веб-ресурсы, сервисные службы Windows, сетевые протоколы.

Но все же, основной причиной быстрого распространения вредоносного ПО является критически низкий уровень ИТ-инфраструктуры в украинских организациях. Так, например, из статистики обращений мы выяснили, что в большинстве организаций не был установлен патч для устранения уязвимости SMB-протокола, выпущенный после атаки WannaCry. А это значит, что в компаниях нет политики установки критических обновлений.

Второй лазейкой для Petya.A было наличие прав администратора на пользовательских рабочих станциях. Проникая в сеть через рабочую станцию с правами администратора, вредоносное ПО может считать логины и пароли всех пользователей и беспрепятственно распространиться по всей сети.

Отсутствие должного контроля на сетевом уровне позволило за короткий промежуток времени практически парализовать работу целых корпоративных сетей. Хотя, в том же Шевченковском РОВД своевременно выявили и изолировали две зараженных рабочих станции, еще до начала атаки. Благодаря этому, организации удалось избежать возможного ущерба и продолжать работу в штатном режиме.

Как избежать атаки в будущем?

Для начала рекомендую установить утилиту MBR Filter. Она блокирует доступ для редактирования основной загрузочной записи диска, что позволит защититься от шифровальщиков-вымогателей.

Если же говорить более глобально, то компаниям надо в корне менять свои подходы в сфере ИТ-инфраструктуры. В развитых странах работа ИТ-службы компании рассматривается как полноценный бизнес-процесс такой же, как производство, логистика или финансы. У нас же к ИТ до сих пор относятся как к обслуживающей функции.

Из-за недооцененной важности ИТ-инфраструктуры, наблюдается дефицит компетенции и уровня квалификации сотрудников. Сегодня уже недостаточно установить антивирус и файерволл. В мире существует 12 классов решений киберзащиты и активно набирает обороты тринадцатый, получивший название Deception Technology. И не существует решения, которое смогло бы полностью обеспечить потребности компании. Работают только комбинации из нескольких продуктов.

С другой стороны, ни одна, грамотно выстроенная система, не даст 100% гарантии от проникновения. В противном случае, бизнес просто не сможет работать. Задача ИТ-подразделения — найти баланс между необходимым контролем и допустимым уровнем риска для полноценной работы организации.

И в заключение, хочу сказать, что информационная безопасность в организации — это непрерывный процесс. Он включает в себя превентивную работу с угрозами и уязвимостями, устранение инцидентов, аналитику и другие сопутствующие задачи. Это не может быть единоразово построенная структура, как и не может быть латанием дыр.