Массовое заражение компьютеров на ОС Windows вирусом, вымогающим деньги, к концу выходных распространилось на 150 стран. Россия, по некоторым оценкам, затронута больше других: атака, в частности, вызвала проблемы в работе МВД РФ и сотовых операторов. По экспертным оценкам, организаторы атаки пока могли заработать на ней всего лишь около $26 тыс. Несмотря на то что распространение вируса фактически остановлено, новая волна заражений может произойти в понедельник, когда офисные сотрудники по всему миру включат не работавшие в выходные компьютеры.
Жертвами беспрецедентной кибератаки в минувшие выходные стали не менее 200 тыс. физических и юридических лиц в 150 государствах, заявил в воскресенье директор Европейского полицейского агентства (Europol) Роб Уэйнрайт британскому телеканалу ITV. При этом угроза дальнейшего распространения вируса сохраняется. "Цифры продолжают расти, и я особо обеспокоен тем, что может произойти в понедельник, когда многие офисные сотрудники придут на работу и включат свои компьютеры",— сказал Роб Уэйнрайт. Он уточнил, что среди жертв вируса много компаний, включая крупные корпорации, но достаточно мало банков, поскольку этот сектор ежедневно сталкивается с подобными угрозами и научился их отражать. Господин Уэйнрайт признал, что Europol не знает, кто может стоять за атакой.
Первая информация о распространении вируса-шифровальщика под названием WannaCry (также WannaCrypt или Wana) появилась в пятницу. На экране зараженных компьютеров появлялось сообщение о том, что все файлы зашифрованы, а за расшифровку пользователю предлагалось выплатить эквивалент $300 в биткоинах. Вначале стало известно об атаках на компьютеры испанского оператора Telefonica, логистической компании FedEx, а также структуры Минздрава Великобритании. "Лаборатория Касперского" уже в пятницу объявила о 45 тыс. попыток заражения компьютеров в 74 странах мира, причем больше всего — в России.
Компания Avast к воскресенью обнаружила 126 тыс. зараженных компьютеров в 104 странах, также выделив Россию среди наиболее пострадавших стран — на нее приходилось 57% заражений.
Факт вирусной атаки подтвердили, в частности, в МВД РФ. По словам представителя министерства Ирины Волк, специалисты МВД блокировали около 1 тыс. зараженных компьютеров (менее 1% от общего количества), и активность вируса была локализована. Атаке подвергся и сотовый оператор "Мегафон". Вирус вызвал сбой в работе колл-центра, об устранении которого компания сообщила в пятницу вечером. На телекоммуникационные сервисы "Мегафона" атака не повлияла, но розничная сеть в течение короткого времени не работала. МТС и "Вымпелком" сообщили об отражении кибератак. О вирусной атаке в субботу также сообщали в Минздраве, РЖД и Сбербанке, подчеркивая, что серьезных последствий она не имела. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России также фиксировал массовые рассылки банкам вредоносного ПО, но случаев компрометации ресурсов кредитных организаций РФ в результате атаки вируса не обнаружил, сообщал ТАСС.
Россия оказалась одной из самых пострадавших из-за широкой практики использования пиратского софта и мало распространенной культуры информационной безопасности, считает CEO канадской SecDev Group Рафал Рогозински. По его словам, проблему можно было легко предотвратить. "Люди просто не обновляют антивирусы и системное ПО. Отсюда такая уязвимость перед угрозой эксплойта, для которого патч был выпущен давним давно",— заявил он "Ъ". Господин Рогозински также считает, что вирус еще "продолжит шествие по планете". "Главная тому причина — глобальное увлечение пиратским софтом и дефицит цифровой гигиены",— резюмирует он.
Уже утром в субботу сайт газеты The Guardian сообщил, что распространение WannaCry остановлено силами компьютерного специалиста, пишущего в твиттер @malwaretechblog, и сотрудника компании Proofpoint Дариена Хасса. Автор @malwaretechblog, представившись "Ъ" как 22-летний программист-самоучка из Великобритании, подтвердил, что остановил распространение вируса WannaCry путем регистрации на себя доменного имени, которое использовалось для воспроизводства вредоносного софта.
Организаторы кибератаки, по имеющимся данным, заработали на ней лишь около $26 тыс., сообщил в своем блоге авторитетный американский эксперт в области кибербезопасности Брайан Кребс в ночь на воскресенье по московскому времени. Эксперт ссылается на оценки нидерландской компании RedSocks Security, отследившей транзакции на все три адреса биткоин-кошельков, встроенных в вирус. По данным компании, с начала атаки на кошельки поступило лишь около 100 переводов на общую сумму чуть более 15 биткоинов, что эквивалентно $26,1 тыс. Бросающаяся в глаза несоразмерность нанесенного на глобальном уровне ущерба и реальных доходов организаторов атаки вполне привычна для сферы киберпреступности в целом, констатирует господин Кребс.
Громкие киберпреступления последних лет
15 февраля 2015 года «Лаборатория Касперского», Европол и Интерпол раскрыли киберпреступную операцию, в ходе которой хакеры похитили $1 млрд. Ограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. В преступлении подозревают международную преступную группировку из России, Украины, Китая и ряда стран Европы.
5 февраля 2016 года хакеры украли $101 млн Центробанка Бангладеш со счета в ФРС США. Сумма одной из крупнейших единовременных краж могла быть еще больше (более $950 млн), но хакеры допустили опечатку, когда осуществляли перевод, что вскрыло преступную схему.
14 февраля 2016 года хакеры получили контроль над компьютерами Пресвитерианского медицинского центра в Голливуде. Для возврата доступа к информационным системам преступники потребовали выкуп в размере 17 тыс. биткоинов ($3,6 млн). Спустя четыре дня клиника заплатила эту сумму.
23 февраля 2016 года руководство Yahoo! заявило о том, что в 2014 году хакеры похитили 500 млн аккаунтов пользователей. В результате крупнейшей в истории утечки персональных данных в сети оказались имена, адреса электронной почты, номера телефонов, даты рождения и пароли к аккаунтам.
14 ноября 2016 года журнал PCWorld сообщил о взломе 412 млн аккаунтов пользователей сайтов американской компании FriendFinder Network. Большая часть информации была похищена с сайта знакомств. Хакеры похитили адреса электронной почты и пароли.
В декабре 2016 года Центробанк РФ сообщил, что за год киберпреступники похитили 2 млрд руб. со счетов российских банков. Одной из крупнейших стала кража 200 млн руб. у столичного МеталлИнвестбанка. В результате действий хакеров терминалы, с которых управляется корреспондентский счет учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета частных лиц.
«Атаку можно совершить из любой точки мира, где есть интернет»
Генеральный директор компании Group-IB о кибератаках
Борьба с высокотехнологичной преступностью важна так же, как ядерная, химическая и биологическая безопасность, и так же, как урегулирование международных конфликтов. Результаты современных компьютерных атак могут быть не менее разрушительными и привести к катастрофам.
К счастью, подобные кибератаки встречаются достаточно редко. Целью 98% киберпреступников по-прежнему остается извлечение финансовой выгоды. По сути, кража денег или важной информации для ее последующей перепродажи.
С учетом того что в 2017 году крайне трудно найти компанию, которая в своей работе не использовала бы компьютерные технологии, практическая любая организация может стать объектом интереса со стороны киберпреступников. Вопрос только в том, насколько она может быть потенциально интересна с финансовой точки зрения.
Специфика компьютерных преступлений состоит в том, что они совершаются дистанционно. То есть атаку можно совершить из любой точки мира, где есть интернет.
Трансграничность высокотехнологичных преступлений и различия в законодательстве разных стран делают попытки отдельных стран бороться с киберпреступностью малоэффективной. Необходимо создать работающий механизм международного сотрудничества в области противодействия преступлениям в сфере высоких технологий. Его отсутствие играет на руку преступникам.
Россия разработала проект конвенции ООН «О сотрудничестве в сфере противодействия информационной преступности» с учетом всех современных реалий. Он учитывает интересы всех стран, отвечает на новые вызовы и угрозы, в том числе технологические, такие как целевые атаки (APT, Advanced Persistent Threats), интернет вещей (IoT, Internet of Things), ботнеты, вирусы, меняющие атрибуцию, контрфоренсика и так далее.
Этот документ призван прийти на смену Будапештской конвенции о компьютерных преступлениях, которая была принята Советом Европы в 2001 году и отражала специфику (техническую, юридическую, географическую) и интересы прежде всего европейских государств. Сегодня для борьбы с киберпреступностью необходим новый подход, который отражал бы интересы всех стран — и развитых, и развивающихся. Он должен быть принят на уровне ООН и стать обязательным для исполнения.
Будапештская конвенция была передовым документом для своего времени, однако с 2001 года произошли значительные технологические изменения, которые естественным образом повлияли на ландшафт угроз и тенденции в сфере компьютерных преступлений.
Пожалуй, для лучшего понимая вопроса стоит сравнить уровень информатизации начала XXI века, когда разрабатывалась Будапештская конвенция, и уровень информатизации сегодня.
В начале 2000-х годов не существовало масштабной киберпреступности, при этом она не была столь организованной, как сегодня. Резонансные инциденты в области информационной безопасности происходили достаточно редко.
За 16 лет интернет проник во все сферы нашей жизни. Теперь каждый пользователь имеет несколько устройств, позволяющих получать широкополосный (broadband) доступ в интернет. Появился интернет вещей. Суммарный трафик сети интернет вырос в тысячи раз, повсеместные коммуникации через интернет стали неотъемлемой частью реальности. Изменился подход к процессу организации безопасности — теперь это обязательная часть бизнеса, такая же, как и сами информационные технологии. Появилась и проявила себя организованная киберпреступность. Частота совершения самих преступлений также возросла в несколько сотен раз.
Кроме того, изменились способы и техники кибератак. Специалисты по информационной безопасности часто не успевают разрабатывать эффективные средства противодействия из-за постоянной смены тенденций. Для выполнения множества современных атак не нужно обладать особой квалификацией: можно купить любой инструмент для проведения кибератаки либо заказать готовые услуги на черном рынке. В совокупности это приводит к стремительному росту числа инцидентов.
Современные киберугрозы в большинстве случаев носят интернациональный характер. Злоумышленники при атаках всегда маскируются. Они стараются действовать из других стран либо создают такую иллюзию. Часто прикрываются именем и действиями известных преступных группировок. Чтобы скрыться, злоумышленники многократно меняют IP-адреса, совершая виртуальные перемещения с континента на континент, а также меняют облик своих вредоносных программ.
В типовой международный инцидент вовлечено около десятка стран, на территории которых находятся пострадавшие организации, а атаки физически ведутся со всех континентов. Вследствие законодательных и политических препятствий, которые существуют между странами, расследование подобных инцидентов крайне затруднено, так как не существует инструментов, детально регламентирующих взаимодействие между сторонами. Все это крайне затрудняет поиск настоящего источника атаки и конкретных лиц, стоящих за ней.
Стоит отметить: продаваемые на черном рынке услуги и вредоносные программы достаточно дешевы и зачастую по стоимости не превышают нескольких сотен долларов. В то время как ущерб, который они могут нанести, может исчисляться миллионами и миллиардами.
Если говорить об основных технологических изменениях, которые произошли в области киберпреступлений с начала 2000-х, то можно выделить следующие.
Во-первых, это появление и широкое распространение бот-сетей (botnet). Бот-сеть — это два и более зараженных устройств, выполняющих команды через единый центр управления. Сегодня в ботнеты включены не только компьютеры и серверы, как это было десять лет назад, но и мобильные телефоны, устройства, которые относятся к интернету вещей — видеокамеры, регистраторы, и даже умная бытовая техника (smart household appliances). Размеры ботнетов достигают нескольких миллионов устройств, куда включены как корпоративные, так и личные устройства со всего мира.
Во-вторых, зараженные устройства используются как для проведения атак на отказ в обслуживании (Denial of Service), так и для хищения информации с устройств, а также для того, чтобы сделать целевые атаки анонимными. При этом злоумышленники пропускают свой трафик через зараженные устройства. Таким образом, ничего не подозревающие частные лица и корпорации участвуют в масштабных атаках, ущерб от которых составляет миллиарды долларов.
Научившись эффективно использовать новейшие технологии, преступники не забыли о психологии. Мошенничество и социальная инженерия позволяют злоумышленникам вымогать деньги. К примеру, широкое распространение получил фишинг (phishing), когда под видом легитимного веб-сайта или приложения у пользователя выманиваются конфиденциальные данные с целью последующей монетизации. В последние годы наблюдается резкий рост вымогательства с использованием вредоносных программ (ransomware). Информация блокируется или шифруется. За возвращение доступа к ней злоумышленники требуют деньги и, к сожалению, получают их. Целями мошенников становятся любые приложения, которые производят денежные операции, а также личная информация, хранящаяся на мобильных устройствах.
Отдельно стоит отметить рост количества атак на критически важную инфраструктуру, которые могут привести к экономическим, финансовым и экологическим катастрофам крупного масштаба.
Стремительный рост киберпреступности вызван в том числе отсутствием универсальных механизмов взаимодействия компетентных органов разных стран. Для эффективного расследования киберпреступлений, а также для противодействия киберугрозам необходим универсальный нормативный документ, отвечающий современным реалиям, который должен регулировать взаимоотношения между странами и их компетентными органами на всех уровнях и этапах взаимодействия.
Генеральный директор компании Group-IB Илья Сачков.