© ComNews
26.10.2017

Некоторые российские СМИ и банки, а также ряд транспортных компаний и государственных учреждений Украины подверглись атаке шифратора BadRabbit. По данным из открытых источников, в числе пострадавших - Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, а также редакции российских СМИ -  "Интерфакса" и "Фонтанки". Игроки рынка ИБ отметили, что "эпидемия" BadRabbit не достигла таких масштабов, как бушевавшие ранее шифраторы WannaCry или Petya. Тем не менее, по мнению экспертов, подобных кибератак со временем будет становиться только больше.

Например, об атаке BadRabbit сообщил замдиректора агентства "Интерфакс" Юрий Погорелый на своей странице в Facebook: "Коллеги! "Интерфакс" столкнулся с беспрецедентной вирусной атакой. Часть наших сервисов недоступна для клиентов. Наши инженеры восстанавливают их работоспособность. Приношу свои извинения. Стараемся вернуться к вам как можно быстрее!"

Как отметили исследователи "Лаборатории Касперского" в отчете компании на Securelist, они зафиксировали около 200 атак с применением вируса-шифровальщика BadRabbit.

Как сообщил корреспонденту ComNews руководитель поддержки продаж Eset Russia Виталий Земских, 24 октября системы телеметрии Eset фиксировали сотни атак с применением BadRabbit (другое название - Diskcoder.D). Большинство атак, отраженных антивирусными решениями Eset, пришлись на Россию (65%), Украину (12,2%), Болгарию (10,2%), Турцию (6,4%), Японию (3,8%) и другие страны (2,4%). По данным вирусной лаборатории Eset, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 г.

Глава Минкомсвязи Николай Никифоров вчера высказал мнение, что атака нового вируса-шифровальщика BadRabbit была не целенаправленной, а случайной, передает ТАСС. Такие атаки, как полагает министр, в частности, связаны с нарушением мер безопасности при подключении информационных систем к Интернету.

Это не первая кибератака, которая взбудоражила сразу целые государства. За последние полгода по миру прошли уже две волны таких атак вирусов-шифровальщиков: 12 мая произошла атака вируса-вымогателя WannaCry. Он шифрует файлы на компьютере пользователя и требует за них выкуп в Bitcoin в размере, эквивалентном нескольким сотням долларов. 27 июня вирус-вымогатель Petya поразил сети около 80 организаций в России и правительственную сеть на Украине. По данным Eset, BadRabbit - это модифицированная версия вируса Petya.

Как отметил руководитель направления оптимизации и контроля сети компании "Крок" Андрей Врублевский, с точки зрения масштаба атаки вирусов WannaCry и Petya были более глобальными. "Их отличала способность к быстрому самораспространению по корпоративной сети компании и дальнейшему заражению остальных незащищенных компьютеров пользователей. Вирус BadRabbit в целом похож на вышеуказанные зловреды, однако он проникает в сетевые папки не через уязвимости, а с помощью подбора стандартных логинов и паролей к ним. Таким образом, если сетевой доступ к папкам открыт, вирус BadRabbit проникает внутрь. Вполне возможно, что атака с помощью BadRabbit была целевой, иными словами, направленной на конкретные инфраструктурные объекты, в частности, финансовые учреждения, аэропорты и пр.", - говорит он.

Заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков напомнил, что атака WannyCry была зарегистрирована в 150 странах мира, а ущерб, нанесенный NotPetya, логистической компании FedEx и транспортно-логистической компании Moller-Maersk оценивается в $300 млн каждый. "Результаты наших исследований подтверждают распространенную проблему использования уязвимых версий ПО в корпоративной инфраструктуре. При этом, как показала эпидемия WannaCry, защищенность системы не зависит от отрасли компании, что в целом подтверждается и нашей аналитикой", - уточнил он.

Глава представительства компании Check Point Software Technologies в России и СНГ Василий Дягилев считает, что пока сложно окончательно оценивать ущерб от BadRabbit, так как атака может продолжаться.

По словам Алексея Новикова из Positive Technologies, тема вредоносного ПО, шифрующего данные пользователей и требующего выкуп за расшифровку, совсем не нова, однако именно она была самой обсуждаемой в мировом ИБ-сообществе летом 2017 г. "Результаты нашего исследования актуальных киберугроз за II квартал 2017 г. показывают, что доля атак с использованием вредоносного ПО выросла на 3%", - отметил он.

Согласно исследованиям Check Point, скорость кибератак с каждым годом увеличивается. Сегодня в мире в среднем компании скачивают одну неизвестную вредоносную программу каждые 4 секунды. Для сравнения, в прошлом году это происходило с частотой 1 раз в 34 секунды. Эта тенденция касается не только новых видов киберугроз, но и уже изученных. Кроме того, за последний год значительно выросла активность именно программ-вымогателей. По данным Check Point ThreatIndex, впервые шифровальщик Locky появился в топ-3 самых активных видов вредоносного ПО осенью 2016 г. За год он не покидал топ-10, а по последним данным за сентябрь 2017 г. вымогатель поразил 11,5% организаций во всем мире.

Повторение кибератак, к сожалению, неизбежно. Во-первых, растет количество пользовательских устройств, подключенных к сети Интернет. При этом, как отмечает Андрей Врублевский из "Крок", производители не особо озабочены задачей обеспечения их безопасности, особенно это касается низкого ценового сегмента.

Руководитель вирусной лаборатории Avast Якуб Кроустек тоже ожидает новых вспышек. "Создать код вируса-вымогателя достаточно просто по сравнению с более сложными типами вредоносных программ, такими как руткиты или банковские трояны", - пояснил он.

"Масштаб такого рода атак напрямую зависит от квалификации пользователей и используемого ПО для обеспечения безопасности. Успех атаки говорит лишь о том, что до сих пор есть масса людей, которые готовы качать приложения с любого сайта, которые не используют антивирусы. Поэтому да, такие атаки могут и будут повторяться в будущем", - отметил системный архитектор компании "Код безопасности" Евгений Ломовский.

Как считает руководитель поддержки продаж Eset Russia Виталий Земских, говорить о кибервойне - то есть о том, что за атакой стоит кибергруппировка, финансируемая государством, - пока преждевременно. "Кибервойна - слишком громкое слово для обычного кибермошенничества. Вообще, теме зловредов в последнее время уделяется излишнее внимание. Кибератаки развиваются параллельно с технологиями, они всегда были, есть и будут", - уверен Андрей Врублевский из "Крок".