От вируса Petya легко защититься. Вот что следует сделать прямо сейчас
Не будьте как «Роснефть»С 27 июня по миру распространяется новый вирус-шифровальщик Petya, блокирующий компьютеры с Windows. Он проникает в ПК через локальные сети, поэтому эпидемии подвержены почти исключительно организации, а не индивидуальные пользователи. За разблокировку каждого устройства Petya просит $300 биткоинами.
Больше всего жертв пока на Украине (атакованы госучреждения, энергетические компании, мобильные операторы и банки) и в России (главная жертва — «Роснефть»). Но сейчас жалобы на Petya поступают уже со всего мира. Похожим образом события развивались в мае, когда корпоративные сети были атакованы другим шифровальщиком — WannaCry (WannaCrypt).
«Секрет» попросил экспертов в сфере кибербезопасности объяснить, как обезопасить себя от такой атаки.
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Когда компании по всему миру пострадали от WannaCry, стало очевидно, что многие недобросовестно относятся к такому базовому процессу информационной безопасности, как установка обновлений. Злоумышленники пользовались возможностями атаковать необновлённые системы и раньше, но теперь это наконец получило большую огласку.
Вирус не использовал никакого «секретного оружия», «уязвимостей нулевого дня». Он использовал уязвимости, «заплатки» на которые существуют уже довольно давно. Просто традиционно угрозы информационной безопасности недооценивают. Непосредственная задача директора по информационной безопасности — объяснять коллегам на C-level, что игры кончились и современная кибератака может просто остановить работу их бизнеса.
Новый вирус сначала казался похожим на вирус Petya 2016 года, но потом выяснилось, что к старому вирусу он имеет весьма отдалённое отношение. Если вообще имеет. Так что теперь он фигурирует под хештегами #Petya, #NotPetya, #petrWrap и имеет идентификатор Win32/Diskcoder.Petya.C.
Мне этот вирус кажется очень любопытным и даже, можно сказать, нравится (технически). Как и в WannaCry, в нём задействована украденная у Агентства национальной безопасности США программа EternalBlue, которая использует одну из уязвимостей в компьютерах под управлением Windows. Но у распространения нового вируса есть ещё один вектор: попав на одну машину, он добывает данные учётных записей с заражённой рабочей станции и, используя их, пытается проникнуть на все остальные компьютеры. Именно поэтому получилось так, что многие, кто установил патч против WannaCry, всё равно пострадали при атаке Petya / NotPetya. Системные администраторы в компаниях часто совершают ошибку при проектировании инфраструктуры: выстраивают её так, чтобы локальная учётная запись администратора подходила ко всем машинам.
Кроме того, Petya / NotPetya интересен тем, что цели его создателей неочевидны. Если бы они хотели много денег, они бы сделали вирус, который не пытается всё зашифровать и не требует выкуп, а тихонько сидит в системе, как классический троян, и потом используется для целенаправленной атаки. Но в данном случае злоумышленники заработали копейки, зато парализовали работу многих крупных компаний по всему миру. Может, это какая-то манипуляция с курсами валют, акций?
Тем, кто хочет уберечь свою компанию от таких угроз, могу дать только один совет: уделите внимание системным администраторам, службе безопасности и их требованиям. Базовые процессы информационной безопасности могут быть не выстроены по разным причинам. Но часто основная проблема — это то, что бизнес не поддерживает действия ИТ- и ИБ-департаментов, потому что не хочет расходовать на это деньги и ресурсы, не понимая, зачем это нужно. Но ведь иногда проще потерпеть неудобства, связанные с обновлением программного обеспечения, чем лишиться всего, недооценив угрозу.
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Эта атака — явно не последняя. Чем больше компания, чем шире её IT-инфраструктура, тем больше шансов, что хотя бы один компьютер будет уязвим, непропатчен или просто забыт. Вирусу Petya было достаточно одного уязвимого компьютера, чтобы заразить всю сеть. Информационной безопасностью надо заниматься комплексно, в том числе с применением специализированных решений. Следует регулярно делать аудит безопасности.
Вот минимальный набор рекомендаций, которым нужно следовать, чтобы отбить атаку Petya или его аналогов.
1). Своевременно устанавливайте апдейты операционных систем и патчи систем безопасности.
2). Настройте почтовые фильтры для отсеивания зашифрованных архивов.
3). Если компьютеры работают на Windows, подпишитесь на уведомления Microsoft по технической безопасности.
4). Если в корпоративной сети есть компьютеры без апдейтов безопасности, запретите сотрудникам подключать к ней личные ноутбуки.
5). Проведите тренинг для сотрудников по информационной безопасности.
6). Не платите выкуп вымогателям. Совершенно не факт, что они вышлют ключи шифрования. У Group-IB нет доказательств того, что данные были восстановлены после оплаты.
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Атаки на корпоративные информационные системы чаще всего эксплуатируют как раз уязвимости в устаревшем программном обеспечении. Чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить программное обеспечение до актуальных версий, в частности установить все обновления Windows. Кроме того, нужно минимизировать привилегии пользователей на рабочих станциях.
В долгосрочной перспективе на все компьютеры необходимо установить антивирусный софт с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, нужно постоянно обновлять программное обеспечение и операционные системы на всех узлах корпоративной инфраструктуры, а также выстроить процесс управления уязвимостями и обновлениями. Это позволит своевременно выявлять недостатки защиты и уязвимости систем.
Фотография на обложке: Andrew Brookes / Getty Images