Вирус нового поколения: как кибератака NotPetya изменила мир

Три года назад мир атаковал вирус NotPetya: как это было

Владимир Трефилов/РИА «Новости»
Ровно три года назад, 27 июня 2017 года, вирус-стиратель NotPetya атаковал компании по всему миру. Как NotPetya удалось заразить несколько десятков стран, какие потери понес бизнес и когда человечеству ждать следующую киберпандемию, — в материале «Газеты.Ru».

Миллиардные убытки

27 июня 2017 года компании по всему миру были атакованы модифицированной версией вируса Petya. В дальнейшем он получит несколько названий — NotPetya, Petya.A, ExPetr и несколько других. Зловред изначально причислили к семейству шифровальщиков-вымогателей — якобы он шифровал данные на компьютерах, требуя выкуп в биткоинах за разблокировку документов.

Впоследствии оказалось, что угроза серьезнее, чем предполагалось — NotPetya оказался вирусом-стирателем, который просто зачищал жесткий диск, не оставляя никаких возможностей для восстановления.

Вирусом Petya оказались заражены компьютеры корпоративных сетей компаний Дании, США, Австралии, Индии, Испании, Франции и других стран. При этом пострадали такие крупные международные корпорации, как Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser и многие другие. В России о заражении NotPetya сообщили Роснефть и Башнефть.

В США потери от кибератаки с помощью вируса-стирателя оценили в $10 млрд — для сравнения, последствия вируса WannaCry, распространившегося несколькими месяцами ранее, оценивали в $4-8 млрд.

Больше всех от NotPetya пострадала Украина. Сообщается, что вирус так или иначе нарушил работу по меньшей мере 300 украинских компаний. При этом портал WIRED со ссылкой на одного из высокопоставленных чиновников страны указывал, что память 10% всех компьютеров на Украине оказалась стерта.

Среди атакованных украинских организаций оказались «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие.

Фокусировка вируса на Украине неслучайна — считается, что именно там началось заражение, которое впоследствии охватило весь мир. Дело в том, что Украина пострадала сильнее других из-за изначального распространения Petya через автоматическое обновление M.E.doc — программы для бухгалтерской отчетности, которая широко распространена в стране. 

Однако заражение с помощью M.E.doc — всего лишь один из векторов атаки, для распространения вируса также использовалась фишинговая рассылка.

В письмах, направленных в основном на адрес HR-служб пострадавших организаций, содержался зараженный exe-файл, замаскированный под резюме, после открытия которого вирус NotPetya проникал в систему и блокировал данные пользователя.

В основе NotPetya лежал эксплойт EternalBlue, также использовавшийся в WannaCry, а также бесплатная утилита Mimikatz, комбинация которых делала вирус практически неуязвимым. EternalBlue является разработкой Агентства национальной безопасности США — эта программа эксплуатирует уязвимости в операционной системе Windows. Эксплойт стал достоянием общественности, когда хакерская группировка Shadow Brokers выложила его в интернет.

«Вопрос времени»

На сегодняшний день массового целенаправленного распространения ExPetr не зафиксировано, рассказал «Газете.Ru» руководитель отдела исследования сложных угроз и классификации программного обеспечения «Лаборатории Касперского» Владимир Кусков. В него встроена функциональность по автоматическому самораспространению в уязвимых сетях, поэтому нельзя сказать, что он исчез бесследно, но современные антивирусные решения его успешно нейтрализуют.

Однако это не отменяет возможную киберпандемию в будущем, считает эксперт.

«К сожалению, такой вероятности полностью мы исключать не можем. В этом плане ничего коренным образом с 2017 года не поменялось, и на данный момент нет предпосылок к изменениям в будущем. Часто на устройствах используют старые неподдерживаемые версии операционных систем и прикладного ПО, сами они не обновляются, не используются средства защиты. Если злоумышленникам станет доступен новый эксплойт, затрагивающий много версий операционной системы и позволяющий реализовать самостоятельное распространение от устройства к устройству, станет возможна новая эпидемия», — заявил Кусков.

Еще одна серьезная вспышка вредоносного ПО –– это лишь вопрос времени, соглашается руководитель группы угроз Avast Якуб Крустек. 

«Как и когда это произойдет, насколько массовой будет атака –– все это зависит от множества факторов, включая доступность высококачественного эксплойта, такого как EternalBlue, и мотивацию злоумышленников. Microsoft хорошо поработала над исправлением EternalBlue, и уязвимость в настоящее время в основном присутствует только в старых системах, таких как Windows 7 и Windows XP.

Из компьютеров, просканированных Avast с 23 мая по 22 июня 2020 года в России, 10,5% работают с EternalBlue.

В мире этот показатель составляет 4%», — пояснил собеседник «Газеты.Ru».

Отсутствие угроз вроде NotPetya на текущий момент не является причиной, чтобы расслабляться, так как такой тип вирусов не единственная опасность в киберпространстве. Как отметил директор департамента информационных технологий ESET Russia Руслан Сулейманов, можно сказать, что на сегодняшний день в мире бушует «кибепандемия фишинга».

«Злоумышленники атакуют пользователей, используя тему COVID-19: предлагают купить «секретные» материалы об опасном вирусе, создают фейковые интернет-магазины тестов на коронавирус и антитела, выманивают данные кредитных карт.

С помощью методов социального инжиниринга и фишинговых писем преступники пытаются получить доступ к корпоративным сетям компаний, а затем выставляют добытые данные на витрины черного рынка или шантажируют руководство компаний, вымогая деньги.

Количество таких инцидентов кратно возросло вместе с увеличением числа удаленных рабочих мест и перевода многих сотрудников на хоум-офис», — заявил Сулейманов.

По словам Крустека, чтобы защититься от подобных атак, необходимо предусмотреть основные риски. Компании должны удостовериться, что у них есть несколько уровней защиты, включая антивирус, брандмауэр, систему обнаружения вторжений, регулярное обновление микропрограммного и программного обеспечения, а также использование соответствующих прав доступа для своих сотрудников.

Кроме того, при построении защиты компаниям очень важно учитывать человеческий фактор.

Люди могут совершать ошибки, поэтому необходимо, чтобы ИБ-команда делилась передовыми методами защиты со своими сотрудниками.

Кроме того, предприятия должны хранить резервные копии своих данных. Существует много различных решений для резервного копирования: от облачного хранилища до внешних жестких дисков, от сетевого хранилища до USB или флэш-накопителей.

«Чем больше резервных копий –– тем лучше», — заключил Крустек.