Компания Cezurity, разработчик технологий антивирусного анализа и провайдер ИБ-услуг, комментирует хакерскую атаку и заражение большого числа компьютеров программой-вымогателем WannaCry.

1. Что произошло

12 мая 2017 запомнится довольно успешной массовой хакерской атакой. Данные на компьютерах большого числа компаний, многие из которых используют самые современные средства защиты, оказались зашифрованы с помощью вируса-вымогателя (ransomware), получившего название WannaCry (эти программы еще называют «шифровальщиками»). Пострадали такие компании, как Telefonica, Gas Natural, Iberdrola, банк Santander, испанский филиал KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения. В России – Мегафон, МВД (причем в нескольких регионах), Следственный Комитет. По всему миру заражены десятки тысяч компьютеров.

Успех хакеров был обусловлен тем, что они применили эксплоит, который использует уязвимость SMB-протокола (MS17-010, в архиве NSA имеет название ETERNALBLUE). В марте 2017 данная уязвимость была закрыта компанией Microsoft. То есть, компьютеры, ОС которых была после этого обновлена, не могли стать жертвой атаки. Однако, в апреле 2017 для данной уязвимости хакерской группой The Shadow Brokers был опубликован готовый эксплоит (хакеры заявили, будто похитили его у NSA, Агентства Национальной Безопасности), который мог использовать абсолютно любой злоумышленник в один клик, на системах, на которые не была установлена заплатка.

Имея готовый инструмент, злоумышленники не могли не воспользоваться им. Пострадали те компании, у которых были допущены ошибки в построении корпоративной сети: открыт из интернета порт для SMB-протокола. Хакеры через интернет попадали на первый компьютер, заражали его, а потом червь искал и заражал все необновленные компьютеры из локальной сети.

Уязвимости, которые уже известны и для которых существуют заплатки от производителя, но эти заплатки по каким-то причинам не установлены системными администраторами (например, старая версия ОС, которая больше не поддерживается) называют 1day-уязвимость (по сравнению с 0day – то есть неизвестная и незакрытая уязвимость). Именно 1day уязвимости сегодня становятся причиной массовых заражений – с одной стороны, они уже известны широкому кругу хакеров, с другой, очень большое число пользователей еще не успели установить обновления. Именно 1day-уязвимость стала причиной массового распространения червя Confiker около 10 лет назад.

2. Выводы, которые в достаточной степени очевидны

1. Сегодня антивирусная индустрия не может предложить сколь-нибудь фундаментального решения для защиты от «шифровальщиков». Появляется новая технология, она способна заблокировать 100 шифровальщиков. Но 101-й ее обманывает и все файлы зашифрованы. Поэтому сегодня единственное действительно надежное средство от «шифровальщиков» - это бэкап и такая сегментация сети, которая позволит минимизировать ущерб в случае успешной атаки. В целом проблема шифровальщиков очень хорошо иллюстрирует неспособность антивирусной индустрии предложить сколь-нибудь надежную защиту даже от массовых угроз («шифровальщик» делает всегда одно – шифрует данные).
2. Как ситуация с Conficker, так и сейчас, почти 10 лет спустя, видно, что антивирусная индустрия не готова к серьезным лавинообразным угрозам. Например, при наличии более серьезного серверного полиморфизма заражения имели бы еще более массовый характер - эта недоработка злоумышленников - удача антивирусных компаний. Сам факт, что антивирусные компании публикуют просто хэши файлов (небольшой набор) - очень показателен.
3. Пострадало довольно много компьютеров – данные на них были зашифрованы. Мы знаем из сообщений СМИ, что это компьютеры в МВД, СК, Мегафон, в испанской Telefonica. Мы видели фотографии экранов с расписаниями на железнодорожных вокзалах, на которые червь тоже вывел окно с требованием выкупа. Наверное, пострадавших очень много. Попробуем задать вопрос, могли ли хакеры вместо того, чтобы зашифровать данные и попросить выкуп, поселиться на компьютере? Для того, чтобы иметь постоянный доступ абсолютно ко всему, что на этом компьютере происходит? Воровать информацию, передавать куда-то, искать новые жертвы в локальной сети? Ответ на такой вопрос: да, могли бы, без проблем. Просто на этот раз предпочли сразу шифровать и просить выкуп. Это очень важно для понимания современных угроз.

Все говорят и пишут о шифровальщике лишь потому, что он действует очень заметно. Он прямо вешает требование заплатить. Но никто особенно не задумывается о том, сколько еще других хакеров использовали этот эксплоит для целей расширения своего присутствия как в уже имеющихся взломанных корпоративных сетях, так и получение новых объектов и целей. Более того, сколько хакеров, посмотрев на этот успех, решат его повторить прямо в эти дни, сегодня, завтра, на неделе. Но с другими решениями (конечными целями), не используя простой путь вымогательства. Тот же Conficker бушевал очень долго после того, как был уже известен всем.

3. Стоит ли бояться программ-вымогателей и что может оказаться гораздо опаснее?

Проблема «шифровальщиков» на самом деле существует. Действительно, предлагаемые индустрией информационной безопасности решения (антивирусы, файрволы, «песочницы», IPS/IDS-решения, и т.д.) бесполезны и не могут обеспечить сколь-нибудь надежную защиту. Это не новость.

Но есть как минимум два надежных способа избежать потерь от «шифровальщиков». Первый – хранение и обработка данных в облаке. Часть данных уже давно «переехала» в облака, где эта проблема либо неактуальна, либо будет решена, как только возникнет (теоретически, последнюю «облачную» резервную копию тоже можно зашифровать, но пока такой вектор атак не встречается). Второй способ – резервное копирование. Это относительно простое, очень надежное и доступное решение для того, чтобы избежать потерь от атак «шифровальщиков».

Таким образом, для тех, кто беспокоится о сохранности своих данных, решение проблемы «шифровальщиков» есть и в этом смысле угроза со стороны хакеров явно преувеличена.

С другой стороны, существует гораздо более опасный вектор атаки, защититься от которого гораздо труднее. Если хакеры вместо того, чтобы зашифровать данные и просить выкуп, выберут другой путь монетизации атаки, а именно, закрепятся в инфраструктуре и будут постоянно похищать конфиденциальную информацию, то такого простого и однозначного решения, как резервное копирование, индустрия безопасности предложить сегодня не может. Противодействие подобным атакам может быть реализовано лишь за счет построения системы безопасности в виде постоянного процесса, который включает этапы: выявление атак, реакция на атаку, прогнозирование атак и предотвращение атак. При этом выявление атак должно опираться на такие средства, которые способны выявлять присутствие хакеров в информационной системе без использования так-называемых «черных списков» (вирусных сигнатур, сигнатур поведения, индикаторов компрометации).

4. Рекомендации

Кроме первоочередных мер (обновить Windows, настроить сеть и файрвол таким образом, чтобы закрыть порт "извне" для SMB-протокола или отключить серверную службу там, где она не нужна), мы рекомендуем компаниям провести аудит своей информационной системы на наличие следов хакеров с помощью нашего решения Cezurity COTA. Это можно сделать бесплатно, получив триальную лицензию у партнеров Cezurity.