Цифровизированному бизнесу — такие же угрозы. Просчитывая риски, вроде банкротства или подосланных недобросовестным конкурентом головорезов в балаклавах, компании забывают о кибербезопасности. Тем временем неприметный гик, возможно, уже разрабатывает новую вредоносную программу, которая лишит бизнеса терабайтов данных и триллионов совсем не рублей.
Оглавление
Малвари, рансомвари и прочие вредоносные твари
Как вирусы попадают в сетевую инфраструктуру компании
Самые известные, вредоносные и разрушительные эпидемии
Итак, наш предполагаемый хакер занят разработкой очередного вируса. Если его усилия увенчаются успехом, на кону для каждой пострадавшей компании окажутся:
репутационные риски из-за утечки данных — собственных и своих клиентов;
проигрыш в конкурентной борьбе, если ключевые разработки «утекут» к соперникам;
потеря доступа ко всем данным и «танцы с бубнами» над их восстановлением или переговоры с вымогателями (не советуем!);
финансовые потери от вирусов, например, если злоумышленники получат доступ к банковским программам.
Мы привыкли считать, что защита от вирусов — проблема, актуальная преимущественно для крупных компаний. Но в современном мире средний и даже малый бизнес тоже не застрахован от киберугроз. Например, в 2023 году хакеры создали клоны популярных сайтов для бухгалтеров и получили доступ к системам управления финансами десятков российских компаний. Так им достались 16 миллионов рублей.
В истории кибератак пример выше — совсем небольшого масштаба. По-настоящему крупные компьютерные и разрушительные эпидемии компьютерных вирусов прогремели буквально на весь мир. Чего стоит, например, вирус ILoveYou, поразивший 10% подключённых к интернету компьютеров мира за счёт простой человеческой потребности в любви. Или вымогатель WannaCry, встреча с которым обошлась одной только компании FedEx в $300 млн.
❯ Малвари, рансомвари и прочие вредоносные твари: терминология хакерских атак
Для начала побудем немного капитаном Очевидность и напомним: а от чего, собственно, защищаемся. Вирусами называют программное обеспечение, способное самостоятельно запускаться на компьютерах или в компьютерных сетях, нанося им вред, при этом они плодятся и распространяют свои копии. Вирусы проникают на устройство с загружаемыми файлами, через USB-устройства, внешние диски, открываемые веб-страницы. Как и с обычным биологическим вирусом, пользователь некоторое время не подозревает, что его компьютер заражён, и передаёт угрозу дальше по цепочке.
Черви — вредоносное ПО, которое действует самостоятельно, не являясь частью файла или программы. Например, червь может поразить почтовый клиент на компьютере и разослать всем контактам из адресной книги самого себя.
Трояны попадают на компьютер «в комплекте» с другой программой или приложением, которое установил пользователь, а дальше, например, крадут личные данные. Настоящий троянский конь, только цифровой.
Вместе все эти совершенно нежелательные гости называются вредоносным ПО. По-английски: malware. В среде кибербезопасников распространён и русскоязычный вариант «малварь».
Ransomware (русский распространённый в информационной безопасности вариант «рансомварь») — вредоносная программа, которая не окончательно повреждает, а шифрует данные пользователя и оставляет на компьютере требование выкупа за их восстановление. Проще говоря, шифровальщик или вымогатель.
❯ Как вирусы попадают в сетевую инфраструктуру компании
За время существования вирусов их создатели придумали для этого целый вагон и маленькую тележку способов. Но, если сильно обобщить, есть два основных пути:
уязвимости программного обеспечения, открывающие хакерам прямой доступ в сеть компании;
социальная инженерия — мошенники играют на неподготовленности сотрудников, убеждая тех открыть заражённый e-mail, перейти по ссылке на вредоносный сайт и выполнить прочие сомнительные действия.
Иногда убеждать не требуется. Так, теперь уже бывший сотрудник Disney Мэттью ван Андел скачал с GitHub генератор изображений. Вирус внутри обеспечил хакеров всеми паролями от ноутбука, а 1 ТБ закрытой информации Disney оказался в открытом доступе в сети. Это можно было бы назвать минутой славы, поскольку о ситуации написали даже в the Wall Street Journal. Но сам сотрудник вряд ли стремился к такой известности.
❯ Самые известные, вредоносные и разрушительные: вирусные эпидемии, вошедшие в историю
Один из первых нашумевших вирусов, как рассказал его создатель, был запущен по ошибке. Но за почти три десятка лет своего существования «зловреды» существенно эволюционировали и сегодня распространяются преимущественно с целью заработка. Представляем топ самых-самых вирусных эпидемий в истории.
ILOVEYOU — самый романтичный
5 мая 2000 года на Филиппинах начал стремительно распространяться червь ILOVEYOU. Пользователи массово получали в Microsoft Outlook письмо с такой темой от кого-то из знакомых им людей — коллеги, давнего друга, бизнес-партнёра. Естественно, любопытство побеждало и люди открывали вложение «LOVE-LETTER-FOR-YOU.TXT.VBS», чтобы посмотреть, что там внутри. В будущем именно такие уловки хакеров получат название социальной инженерии.
Дальше червь повреждал файлы на жёстком диске и рассылал себя всем контактам из адресной книги в виде такого же «любовного письма». Хотя иногда и в другом обличье.
Мартин Хрон, старший исследователь безопасности в Avast, рассказывал:
В ту компанию, в которой я тогда работал, пришло письмо якобы со счётом, и, к сожалению, бухгалтер открыл этот документ. Мне пришлось написать свой первый антивирус, который был больше похож на программу удаления. Я бы назвал этот антивирус «Я ненавижу тебя».
Заражение ILOVEYOU происходило так же стремительно, как расходятся круги по воде. 10% от общего количества подключённых к интернету компьютеров мира оказались поражены. Ущерб от червя оценивается в $10 млрд. Среди пострадавших оказались Пентагон и парламент Великобритании, которые экстренно свернули практику обмена электронными письмами для внутренних нужд.
ILOVEYOU стал первой киберугрозой-знаменитостью. Его распространение активно обсуждали в СМИ и фактически следили за ним всем миром.
Кстати, создатель вируса Онел де Гузман избежал какой-либо ответственности за это. Причина проста: в то время законов против разработчиков вредоносных программ не было. Полиции он объяснил, что хотел бесплатно воспользоваться интернетом своих соседей по району и случайно запустил киберэпидемию.
MyDoom — самый дорогостоящий
26 января 2004 в России зафиксированы первые случаи заражения новым червём. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру.
Игорь Ашманов, ответственный секретарь Национальной коалиции против спама, тогда прокомментировал подобную скорость распространения так:
В начале эпидемии MyDoom все ведущие производители выпустили обновления баз в течение 1-3 часов. А вирус крепчал ещё две недели. Почему? Где же он размножался всё это время? А вот где: по разным оценкам, сейчас антивирусы установлены на 30-50% всех машин, если считать и пиратские версии. Но обновления антивирусных баз регулярно делаются лишь на 10-20% из них. Таким образом, свежие антивирусы, по моим оценкам, есть на 5-10% от всех машин в мире.
В отличие от ILOVEYOU, который палил из пушки по воробьям, MyDoom угрожал конкретным компаниям. Версия червя Mydoom.A, а точнее — заражённые ей компьютеры — устроили DDoS-атаку, то есть массово заходили на сайт SCO Group и парализовали его работу. Компания назначила награду в $250 000 за информацию о создателях червя.
MyDoom.B аналогично атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя.
Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom. Зато оценил ущерб в $38,5 млрд и присвоил этому червю титул самого дорогостоящего в истории.
Conficker — самый долгоиграющий
В 2008 году по миру распространился очередной червь — Conficker. Он поражал компьютеры под управлением Windows XP, используя критическую уязвимость операционной системы.
Эксперты оценивали техническое исполнение червя достаточно высоко. Ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк озвучил такое мнение:
В Kido (другое название Conficker — примечание автора) реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и так далее.
И всё же этой киберэпидемии просто не должно было случится. Ведь ещё до её начала Microsoft выпустила экстренное обновление безопасности MS08-067. В итоге от атаки червя пострадали те пользователи, которые не установили его.
Общее количество заражённых Conficker устройств сложно оценить. Только за январь 2009 года их насчитывалось по разным оценкам от 9 до 15 миллионов. Плюс червь использовал возможность автозагрузки и инфицировал очищенные системы повторно.
Количество заражённых устройств уменьшалось по мере отказа от использования старой операционной системы. Однако в 2019 году (спустя 10 лет после первого эпизода!) в статье New York Times указывалось, что по-прежнему заражены около 500 000 устройств.
ВМС Франции (Intrama) пришлось приостановить из-за червя полёты на нескольких своих авиабазах. Вызванный червём сбой сети стоил городскому совету Манчестера £1,5 млн. McAfee оценила общемировой ущерб от Conficker в $9,1 млрд.
Stuxnet — самый загадочный
Этот червь из 2010-го года считается первым кибероружием в истории и считается самым разрушительным по уровню последствий кибератак. Он распространялся через файловое заражение и через USB.
Впервые в истории целью стали не компьютеры рядовых пользователей, но промышленная инфраструктура. На счету Stuxnet находится атака на ядерную программу Ирана. Червь вывел из строя пятую часть центрифуг для обогащения урана в стране. Повреждённые устройства находились под управлением заражённых компьютеров.
Впрочем, ряд экспертов считает, что цели Stuxnet изначально были куда более глобальны. Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности» сформулировал его итог так:
Операция Stuxnet — или как её предположительно называли разработчики, «Олимпийские игры», — по сути обернулась провалом. Всерьез задержать ядерную программу Ирана с её помощью не удалось, зато всем стало известно, что кибероружие — это больше не городская легенда или научно-фантастический сюжет, а реальность. И довольно безрадостная, учитывая, что применение кибероружия никакими международными договорами не регулируется.
Stuxnet неактивен с 2012 года, но до сих пор продолжаются дискуссии о том, кто же его создал. По одной из версий Stuxnet — детище исключительно израильской разведки. По другой — к разработке червя приложили руку ещё и США.
Общее число жертв Stuxnet сравнительно невелико: в диапазоне от 10 до 30 000 устройств. Такое низкое количество объясняется тем, что поражал червь промышленные системы SCADA, которые и так мало распространены.
WannaCry — самый неотвратимый
В 2017 году мир столкнулся с шифровальщиком WannaCry. Он шифровал имеющиеся на устройствах данные и требовал выкуп за их дешифровку. Поскольку платить нужно было в криптовалюте ($300 в биткоинах), шифровальщик известен также как WannaCrypt.
Шифровальщик использовал уязвимость Windows для атаки. Microsoft выпустила экстренный патч с обновлением и все компьютеры, владельцы которых установили его, оказались в безопасности. Это произошло за два месяца до атаки, так что обезопасить своё устройство мог бы любой желающий. В итоге, как и Conficker, WannaCry атаковал компьютеры с ОС, на которых не было установлено обновление.
Жертве давали на оплату выкупа 3 дня, иначе грозились безвозвратно удалить данные. Точно неизвестно, сумели ли оплатившие выкуп дешифровать файлы. В коде могли быть ошибки, которые не позволяли связать поступивший платёж с конкретным компьютером.
Создатель получил не менее $100000 от частных лиц и компаний за разблокировку доступа к их файлам. Однако большинство жертв отказались платить и предпочли восстанавливать потерянные данные из других источников.
WannaCry поразил более 200 000 компьютеров в 150 странах. Ущерб от него составляет не менее $4 млрд.
Атака WannaCry наделала шуму и в России. Ведущий эксперт Университета ИТМО по вопросам безопасности информационных технологий, директор лаборатории компьютерной криминалистики при Университете ИТМО Павел Кузьмич объяснил это так:
Атака вызвала большой резонанс, так как среди подвергшихся вирусной атаке оказались крупные, в том числе государственные, структуры — ГИБДД, РЖД, Сбербанк, «Мегафон», что чревато потерей или утечкой персональных данных. По той же причине атака была раздута СМИ.
МВД России подтвердило заражение некоторых ПК сотрудников, уточнив, что секретные данные ведомства не затронуты. Причиной заражения назвали несанкционированный доступ сотрудников к интернету со служебных машин.
NotPetya — самый пугающий
Шифровальщик из 2017-го относится к ранее известному семейству таких программ Petya. Своё название получил, когда стало ясно, что это новая угроза.
NotPetya поражал загрузочный сектор диска, заменяя содержащуюся на нём информацию собственной. После шифровки данных выводил на экран требование выкупа в $300 и биткоин-кошелёк, куда нужно было перевести криптовалюту.
Транзакции буквально посыпались на него уже в первые часы после начала атаки. Переводить деньги оказалось ошибкой. Эксперт Positive Technologies Дмитрий Скляров объяснял:
В NotPetya скорее всего не была предусмотрена возможность расшифровки файлов своих жертв, а в Petya с этим все было нормально. Что касается самостоятельного восстановления диска — это может оказаться реальным. Оба вируса имеют очень похожие ошибки реализации алгоритмов шифрования, что приводит к возможности быстрого подбора ключа шифрования и восстановления всех зашифрованных данных.
И всё же многих пользователей удалось взять «на испуг». В указанный кошелёк поступило $18 тыс.
Один из самых известных случаев заражения NotPetya произошёл в компании Moller-Maersk. Посреди рабочего дня в её главном офисе компьютеры буквально начали отключаться один за другим. А IT-команда устроила забег по этажам наперегонки с вирусом, требуя от сотрудников срочно отключить свои ещё не заражённые устройства. В итоге заблокированы оказались даже турникеты на входах. В своём отчёте за II квартал 2017 года Moller-Maersk оценила недополученную из-за NotPetya прибыль в диапазоне от $200 млн до $300 млн.
SolarWinds — самый эпичный
Троян из 2020 года использовал дыру в безопасности компании-разработчика ПО SolarWinds. Хакерам удалось взломать Orion — программное обеспечение, используемое правительством США и четырьмя сотнями крупнейших американских компаний. В очередное обновление ПО внедрили вирус, нацеленный на сбор данных.
Расследование показало, что работавший в SolarWinds стажёр использовал для защиты одного из серверов пароль «solarwinds123». В 2019 году исследователь предупредил компанию об этой критической уязвимости, но его сообщение проигнорировали.
Заражение подтвердили Cisco, Intel, VMWare и Microsoft. Американская ИБ-компания FireEye лишилась своих инструментов для пентестов (проверки на проникновения сетей своих клиентов), которые хакеры похитили в процессе кибератаки. Под угрозой оказались и данные клиентов всех этих компаний.
Эяль Ваксман, соучредитель и генеральный директор платформы проверки безопасности Cymulate тогда предупреждал:
Пожалуйста, не думайте, что вы в безопасности, если у вас нет продукта SolarWinds. Это то, что делают атаки на цепочки поставок — они действуют быстро и далеко.
❯ Уроки для бизнеса: как защититься от будущих угроз?
В будущем вирусы будут становиться только опаснее, нести всё большие финансовые и репутационные потери компаниям. Однако уже сейчас можно сделать определённые выводы из истории кибератак и принять эти меры для защиты:
Регулярное обновление ПО — всегда лучше успеть раньше хакеров.
Обучение сотрудников кибергигиене — один неосторожный переход по ссылке и все усилия пойдут прахом.
Использование сложных паролей, двухфакторной аутентификации и так далее. QWERTY и ЙЦУКЕН — точно не лучшая идея.
Своевременное резервное копирование данных, чтобы не платить выкуп авторам шифровальщиков. Тем более, это всё равно бессмысленно.
Использование современных решений со встроенными инструментами для защиты. Например, если вы храните файлы в облаке, ну вот, например, в Timeweb.Cloud, над обеспечением их безопасности работает целая команда специалистов.
Выбор надёжных IT-партнеров — эксперименты на безопасности в поисках исключительно бюджетных решений часто выходят боком.
Информационная безопасность бизнеса в наше неспокойное время требует проактивного подхода. Новые решения для защиты появляются практически со скоростью света — важно держать руку на пульсе и вовремя повышать уровень защищённости.
❯ Вместо заключения
Полностью избежать угроз кибератак, увы, не может даже компания с максимально продуманной защитой. Но, по крайней мере, можно минимизировать риски, что и рекомендуем сделать буквально каждому бизнесу.
А вы помните время, когда описанные в статье эпидемии, распространялись по миру? Поделитесь впечатлениями — давайте устроим перекличку олдов в комментариях 🤘🏻
Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩
Перед оплатой в разделе «Бонусы и промокоды» в панели управления активируйте промокод и получите кэшбэк на баланс.
