Вирусы-шифровальщики, прежде известные в основном профессионалам, в 2017 г. обрели всемирную известность. Их идея незамысловата: проникнуть в компьютер жертвы, зашифровать его содержимое и потребовать деньги за возврат доступа к устройству.
В этом году мир пережил три атаки – WannaCry, NotPetya и BadRabbit. Все вирусы требовали выкупа в биткойнах: первые два требовали перевести криптовалюту на сумму $300 за зараженное устройство, а последний – 0,05 биткойна, что на момент атаки составляло $283. Несмотря на то что как коммерческий проект эти атаки не сложились, собрав суммарный выкуп всего на несколько сотен тысяч долларов, они нанесли ущерб на несопоставимо большую сумму. Например, недополученная выручка от кибератаки NotPetya обошлась датскому логистическому гиганту Moller-Maersk в $200–300 млн.
У злоумышленников появилась новая мода – атаковать цель не напрямую, а сперва пробравшись в инфраструктуру ее партнера или подрядчика. Он может быть гораздо хуже защищен. Таким механизмом пользовался вирус NotPetya. В качестве средства доставки он выбрал софт украинского разработчика систем документооборота M.E.Doc. У этого программного обеспечения есть встроенная функция обновления, и заражения начались через легитимные обновления M.E.Doc. M.E.Doc распространяла вирус только по Украине, а из офисов глобальных компаний, заражение распространилось от них по сетям в другие страны.
Атаки WannaCry, NotPetya и Bad Rabbit показали, что технологические сети могут быть даже более уязвимыми, чем корпоративные. В будущем году промышленные системы станут привлекательными мишенями для атак вымогателей. Ущерб можно нанести больший, чем в случае атаки на корпоративные сети, а действия персонала промышленных предприятий часто неэффективны.В будущем году случится экспоненциальный рост числа программ-шифраторов. Весьма вероятно, что работать они будут эффективнее за счет качества написания кода и криптографической стойкости алгоритмов шифрования. Но средний ущерб от атак, наоборот, уменьшится благодаря тому, что пользователи пересмотрели отношение к базовым мерам защиты и средствам резервного копирования.
Сейчас антивирусные базы ежедневно пополняются в среднем 20 шифровальщиками, но злоумышленникам несложно нарастить количество образцов, которые не распознаются средствами защиты многих компаний. Впрочем, пока усложнять атаки бессмысленно – в очень многих организациях пользователи наделены правами, позволяющими запускать шифровальщики. Сейчас шифровальщики авторства ведущих преступных группировок стали достаточно совершенными.
