Новости / август 2017
Рубрики: Информационная безопасность

Российские энергетики ждут новой кибератаки

Павел Кантышев
Елизавета Серьгина
Иван Песчинский
Ведомости
09.08.2017

В ближайшее время возможна новая кибератака с применением компьютерных вирусов-шифровальщиков, направленных на отказ в обслуживании элементов вычислительной инфраструктуры.

Об этом энергокомпания ФСК ЕЭС (управляет Единой национальной электросетью) предупредила директоров региональных филиалов, сообщил Telegram-канал "Сайберсекьюрити и Ко". Представитель ФСК подтвердил отправку такого письма.

За последние три месяца по миру прокатилось две волны так называемых вирусов-шифровальщиков – WannaCry и NotPetya. Они проникали на компьютеры с операционной системой Windows, где не были установлены обновления, шифровали содержимое жестких дисков и требовали выкуп за расшифровку. Первая атака затронула сотни тысяч компьютеров более чем в 150 странах, вторая – свыше 10 000 компьютеров в 65 странах. Жертвами этих атак стали, в частности, российские "Мегафон" и "Роснефть".

ФСК попросила директоров ограничить доступ пользователей корпоративной сети к интернету с 4 по 14 августа, а также предупредить сотрудников, чтобы они не открывали вложения от неизвестных отправителей и не переходили по посторонним ссылкам в электронной почте. Это превентивная мера, часть обычной практики по обеспечению безопасной работы пользователей корпоративной сети, говорит представитель компании. Все громкие вирусные атаки были направлены на компьютеры административного персонала и были успешными именно из-за низкой информированности работников. Почему ФСК предупредила менеджмент именно сейчас и что послужило основанием для этого, компания не сообщила. Опрошенным "Ведомостями" компаниям, специализирующимся на информационной безопасности, не известно о возможной подготовке новой кибератаки.

Автор "Сайберсекьюрити и Ко", специалист по кибербезопасности Александр Литреев объясняет, что следы подготовки к атаке зачастую видны: компании имеют возможность отслеживать подозрительную активность на своих серверах. Когда кто-то интересуется открытыми портами на этих серверах, это может свидетельствовать о подготовке к атаке.

Вложенные файлы удерживают первое место среди способов проникновения в информационные системы банков, госорганизаций и промышленных корпораций, рассказывает заместитель директора центра компетенций Positive Technologies Алексей Новиков. По его словам, до 30% сотрудников открывают потенциально опасные вложения.

А внутри файла может быть как троян, организующий удаленный доступ к рабочему компьютеру жертвы, так и вирус-шифровальщик, объясняет он.

Такие письма злоумышленники распространяют массово и без разбора, рассказывает старший вирусный эксперт ESET Антон Черепанов. Приходят они и в компании, которые можно отнести к объектам критической инфраструктуры. Есть вероятность, что история с вирусами повторится и на объектах критической инфраструктуры, не исключает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. По его мнению, последствия могут быть любыми – от остановки внутренних процессов до техногенных катастроф с человеческими жертвами. Вирусу без разницы, куда проникать: например, WannaCry был зафиксирован не только на обычных компьютерах, но и в банкоматах, указывает представитель "Доктора Веба". Компании с критической инфраструктурой уже сталкивались с подобными угрозами. Новиков из Positive Technologies напоминает, что волна заражений вирусом Petya на Украине затронула IT-системы кабинета министров, аэропорта "Борисполь", Киевского метрополитена и даже компьютеры Чернобыльской атомной станции. А в августе 2012 г. произошла атака на корпоративную сеть Saudi Aramco (национальная нефтяная компания Саудовской Аравии), напоминает руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников. С нескольких десятков тысяч компьютеров была стерта информация, и они перестали загружаться. Работа компании была приостановлена на неделю и отгружать нефть ей приходилось "под честное слово", поскольку документы о сделках были уничтожены, рассказывает Наместников.

Для недопущения вирусных атак нужно своевременно обновлять программы, пользоваться белыми списками исполняемых программ и проверять почтовые вложения в специальном окружении (так называемые "песочницы"), советуют ведущий аналитик "Доктора Веба" Вячеслав Медведев и Никитин из Group-IB.