Три роки тому світ атакував вірус NotPetya: як це було
Опубликованно 01.07.2020 05:50
Мільярдні збитки
27 червня 2017 року компанії по всьому світу були атаковані модифікованою версією вірусу Petya. Надалі він отримає кілька назв — NotPetya, Petya.A, ExPetr і кілька інших. Шкідник спочатку зарахували до сімейства шифрувальників-вимагачів — нібито він шифрував дані на комп\'ютерах, вимагаючи викуп в биткоинах за розблокування документів.
Згодом виявилося, що загроза серйозніше, ніж передбачалося — NotPetya виявився вірусом-стирателем, який просто зачищав жорсткий диск, не залишаючи ніяких можливостей для відновлення.
Вірусом Petya виявилися заражені комп\'ютери корпоративних мереж компаній Данії, США, Австралії, Індії, Іспанії, Франції та інших країн. При цьому постраждали такі великі міжнародні корпорації, як Merck, Maersk, TNT Express Saint-Gobain, Mondelez, Reckitt Benckiser і багато інших. У Росії про зараження NotPetya повідомили Роснефть і Башнефть.
У США втрати від кібератаки з допомогою вірусу-гумки оцінили в $10 млрд — для порівняння, наслідки вірусу WannaCry, поширився кількома місяцями раніше, оцінювали в $4-8 млрд.
Більше всіх від NotPetya постраждала Україна. Повідомляється, що вірус так чи інакше порушив роботу щонайменше 300 українських компаній. При цьому портал WIRED з посиланням на одного з високопоставлених чиновників країни вказував, що пам\'ять 10% всіх комп\'ютерів на Україні виявилася стерта.
Серед атакованих українських організацій виявилися «Запоріжжяобленерго», «Дніпроенерго», Київський метрополітен, українські мобільні оператори «Київстар», LifeCell і «Укртелеком», магазин «Ашан», Приватбанк, аеропорт Бориспіль та інші.
Фокусування вірусу на Україні невипадкова — вважається, що саме там почалося зараження, яке згодом охопило весь світ. Справа в тому, що Україна постраждала більше інших з-за споконвічного поширення Petya через автоматичне оновлення M.E.doc — програми для бухгалтерської звітності, яка широко поширена в країні.
Однак зараження за допомогою M.E.doc — всього лише один з векторів атаки, для поширення вірусу також використовувалася фишинговая розсилка.
У листах, направлених в основному на адресу HR-служб постраждалих організацій, містився заражений exe-файл, замаскований під резюме, після відкриття якого вірус NotPetya проникав в систему і блокував дані користувача.
В основі NotPetya лежав експлойт EternalBlue, також використовувався в WannaCry, а також безкоштовна утиліта Mimikatz, комбінація яких робила вірус практично невразливим. EternalBlue є розробкою Агентства національної безпеки США — ця програма експлуатує уразливість в операційній системі Windows. Експлойт став надбанням громадськості, коли хакерське угруповання Shadow Brokers виклав його в інтернет. «Питання часу»
На сьогоднішній день масового цілеспрямованого поширення ExPetr не зафіксовано, розповів «Газете.Ru» керівник відділу дослідження складних загроз і класифікації програмного забезпечення «Лабораторії Касперського» Володимир Шматків. У нього вбудована функціональність по автоматичному саморозповсюдження в вразливих мережах, тому не можна сказати, що він зник безслідно, але сучасні антивірусні рішення його успішно нейтралізують.
Однак це не скасовує можливу киберпандемию в майбутньому, вважає експерт.
«На жаль, такої ймовірності повністю ми не можемо виключати. В цьому плані нічого докорінно з 2017 року не змінилося, і на даний момент немає передумов до змін у майбутньому. Часто на пристроях використовують старі підтримуються версії операційних систем та прикладного ПЗ, самі вони не оновлюються, не використовуються засоби захисту. Якщо зловмисникам стане доступний новий експлойт, що зачіпає багато версій операційної системи і дозволяє реалізувати самостійне розповсюдження від пристрою до пристрою, стане можлива нова епідемія», — заявив Шматків.
Ще одна серйозна спалах шкідливого ПЗ -- це лише питання часу, погоджується керівник групи загроз Avast Якуб Крустек.
«Як і коли це станеться, наскільки масовою буде атака -- усе це залежить від безлічі факторів, включаючи доступність високоякісної експлойта, такого як EternalBlue, і мотивацію зловмисників. Microsoft добре попрацювала над виправленням EternalBlue, і уразливість в даний час в основному присутня тільки в старих системах, таких як Windows 7 і Windows XP.
З комп\'ютерів, просканованих Avast з 23 травня по 22 червня 2020 року в Росії, 10,5% працюють з EternalBlue.
У світі цей показник становить 4%», — пояснив співрозмовник «Газеты.Ru».
Відсутність загроз начебто NotPetya на поточний момент не є причиною, щоб розслаблятися, так як такий тип вірусів не єдина небезпека в кіберпросторі. Як зазначив директор департаменту інформаційних технологій ESET Russia Руслан Сулейманов, можна сказати, що на сьогоднішній день в світі вирує «кибепандемия фішингу».
«Зловмисники атакують користувачів, використовуючи тему COVID-19: пропонують купити «секретні» матеріали про небезпечний вірус, створюють фейкові інтернет-магазини тестів на коронавірус і антитіла, які виманюють дані кредитних карт.
За допомогою методів соціального інжинірингу і фішингових листів злочинці намагаються отримати доступ до корпоративних мереж компаній, а потім виставляють здобуті дані на вітрини чорного ринку або шантажують керівництво компаній, вимагаючи гроші.
Кількість таких інцидентів кратно зросло разом зі збільшенням числа віддалених робочих місць і переведення багатьох співробітників на хоум-офіс», — заявив Сулейманов.
За словами Крустека, щоб захиститися від подібних атак, необхідно передбачити основні ризики. Компанії повинні впевнитися, що у них є кілька рівнів захисту, включаючи антивірус, брандмауер, систему виявлення вторгнень, регулярне оновлення мікропрограмного і програмного забезпечення, а також використання відповідних прав доступу для своїх співробітників.
Крім того, при побудові захисту компаніям дуже важливо враховувати людський фактор.
Люди можуть робити помилки, тому необхідно, щоб ІБ-команда ділилася передовими методами захисту зі своїми співробітниками.
Крім того, підприємства повинні зберігати резервні копії своїх даних. Існує багато різних рішень для резервного копіювання: від хмарного сховища до зовнішніх жорстких дисків, від мережевого сховища до USB або флеш-накопичувачів.
«Чим більше резервних копій -- тим краще», — уклав Крустек.
Категория: Наука и техника
Три роки тому світ атакував вірус NotPetya: як це було
