17:04, 25 октября 2017

Похождения "Плохого кролика"

Вирусная атака на российские СМИ и банки не была целенаправленной, заявил глава Минкомсвязи Николай Никифоров. По последним данным, вирус BadRabbit поразил около 200 объектов, в основном - в России. Также пострадали Украина, Турция и Германия. Шифровальщик требует заплатить выкуп в биткоинах и ведет обратный отчет: для тех, кто вовремя не заплатит, сумма выкупа увеличивается. Экономический обозреватель "Вестей FM" Валерий Емельянов - подробнее.

"Плохой кролик" - так переводится с английского название нового вируса-шифровальщика. Как и его предшественники - Petya, Ex-Petr и WannaCry, этот "зловред" блокирует доступ к файлам на компьютере. Атаке подверглись несколько российских СМИ и банков. На Украине жертвами вируса стали одесский аэропорт и киевский метрополитен. Самый серьезный удар был нанесён по агентству "Интерфакс". Кроме ленты новостей, пострадала информационная база СПАРК, с которой работают практически все российские фирмы, а также сервисы доставки биржевой информации. С немалым трудом спустя несколько часов базу удалось поднять. Для этого пришлось привлечь команду специалистов по кибербезопасности из сторонней компании. Как заявили в агентстве, новейших по структуре вирусов было несколько, причём они были очень опасными. За похождениями BadRabbit сейчас следят практически все службы кибербезопасности. Комментирует руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

ЗАКОРЖЕВСКИЙ: Новый вирус называется BadRabbit, он распространяется через ряд зараженных сайтов, в первую очередь - российские СМИ. Если пользователи загружают с сайта (вероятно, через рекламный баннер) вредоносное ПО, то они могут заразиться, и затем у них потребуют выкуп в размере около 16 000 рублей, который нужно оплатить в биткоинах.

BadRabbit попадает в компьютеры жертв по нескольким каналам - не только через рекламные кнопки, но и, например, через фишинговую рассылку. Так, на Украине сотрудники аэропорта и метрополитена подцепили заразу, когда открыли письмо, пришедшее якобы от службы техподдержки компании Microsoft: по композиции и содержанию оно было очень похоже на настоящее. Кто-то попался на другой "крючок" - обновление флеш-плеера, которое действительно вышло несколько дней назад. Но ссылка в итоге оказывалась фальшивой и содержала в себе вирус. BadRabbit шифрует данные (тестовые файлы, таблицы, картинки - все, что находит на компьютере) и выводит на экран сообщение о том, что нужно срочно заплатить 5 битцентов (0,05 биткоина). В противном случае он начинает обратный отсчет, и через 40 часов сумма выкупа увеличивается. Если не брать во внимание задумку с часами, то почерк вымогателей очень знаком, говорит киберэксперт Максим Эмм.

ЭММ: Механизм - тот же. Вымогателям эта идея понравилась, поскольку очень дешево можно распространить такой вирус. Если вы нашли уязвимость, можно сразу заразить тысячи или десятки тысяч компьютеров. Кто-то из них, глядишь, да заплатит. А то, что корпоративные сети атакованы - это понятно: с одной стороны, они более защищенные, чем домашние компьютеры, но с другой, там используется однотипные ПО и настройки, и масштаб заражения может быть гораздо больше.

Вирусы-вымогатели предыдущих версий требовали больший по размеру выкуп, если считать в биткоинах. Но курс криптовалюты с того момента сильно поднялся, так что в долларах выходят примерно те же 300$. Для компаний, по которым прошлись вирусы-шифровальщики, сумма более чем скромная. Поэтому среди экспертов бытует мнение, что истинная причина атаки держится в тайне. Звучат как минимум 3 версии. Часть экспертов считает, что кто-то обкатывает кибероружие и упражняется в кибертерроризме. По второй версии, вирусы-шифровальщики становятся новым видом корпоративного шпионажа, то есть они собирают данные для своих хозяев на продажу. Ну и третья версия - это прикрытие для уничтожения "неудобных" документов. Потерять данные по вине хакеров - это примерно то же самое, что сжечь бумаги и списать все на пожар. Впрочем, нельзя исключать и версию банального шантажа - судя по масштабам, пока не очень успешного, говорит Максим Эмм.

ЭММ: Больше смахивает на вялую попытку заработать денег. Насколько я понимаю, сейчас никто платить не собирается. Большинство компаний восстановят из резервных копий все свои компьютеры, переустановят программы и продолжат работать.

Официальные лица заявляют, что атака была дилетантской. По мнению Минкомсвязи, она не было целенаправленной, то есть пострадавшим организациям просто не повезло. Они использовали слабое программное обеспечение либо вовремя не обновили киберзащиту. Все банки, сотрудники которых случайно загрузили "плохого кролика", успешно отбились. Системы защиты не пропустили вирус, и ЦБ уже заявил, что ни один килобайт ценной банковской информации в руки хакеров не попал.