В конце каждого года наши эксперты анализируют случившиеся инциденты, подводят итоги и думают, что из случившегося можно назвать «историей года». В этом году особого думать не пришлось: совершенно очевидно, что 2017 стал годом шифровальщиков. Они привлекли особое внимание не только благодаря трем масштабным эпидемиям (WannaCry, ExPetr и чуть менее резонансный BadRabbit), но и потому, что как минимум одна из них вымогателем только притворялась.
Хотя сами инциденты были внезапными и многих застали врасплох, тенденции были предсказаны нашими экспертами еще в 2016 году. Костин Раю и Хуан Андрес Герреро-Сааде еще в прогнозах на 2017 год писали, что мы ожидаем появления программ, «которые будут блокировать файлы или доступ к системе или будут просто удалять файлы, обманным путем заставляя жертв платить, но при этом не возвращая им доступ к файлам».
Давайте вспомним наиболее важные уроки, которые можно извлечь из этих атак.
Распространение по сети
Так много шума вокруг этих эпидемий возникло потому, что вредоносы шифровали не один компьютер, а все машины в сети. Это стало возможным благодаря использованию уязвимостей, раскрытых сливом информации ShadowBrokers.
Однако к моменту начала эпидемий патчи, закрывающие их, уже существовали. Просто установлены они были далеко не везде. Более того, некоторые злоумышленники используют их до сих пор (и небезуспешно). Вот вам и первый урок: своевременно устанавливайте обновления, особенно если они напрямую касаются безопасности.
Некритические системы
Среди жертв шифровальщиков оказалось множество систем, о защите которых никто и не задумывался, — например, всевозможные информационные панели и вендинговые автоматы. По-хорошему, там нечего шифровать, ибо никто не будет платить за это выкуп.
Но злоумышленники не выбирали цели. А ущерб тем не менее причинен значительный: переустановка систем, многие из которых были установлены в труднодоступных и отдаленных местах, — удовольствие недешевое. А это значит, что защищать нужно все элементы информационной инфраструктуры.
Саботаж вместо вымогательства
В ExPetr вообще не было механизма, позволяющего идентифицировать конкретного зараженного. Соответственно, даже если бы злоумышленники захотели, они не смогли бы дать жертве ключ для расшифровки. Предположительно, они вообще планировали причинить как можно больше ущерба, а выкуп рассматривали как приятный бонус.
Это еще раз подтверждает гипотезу, что уплата выкупа не является надежным методом возврата данных. Единственный реальный способ не потерять свои данные — заблаговременная установка защитных решений.
Будем надеяться, что эти уроки позволят минимизировать ущерб от аналогичных атак в будущем. Ведь, по мнению наших экспертов, в следующем году злоумышленники будут продолжать использовать шифровальщики по методу ExPetr — в качестве кибероружия для уничтожения информации. Подробнее с прогнозами на 2018 год можно ознакомиться в блогпосте на сайте Securelist.