WannaCry: айтишники не виноваты

Напомним, что в середине мая WannaCry вполне успешно атаковал разнообразные компании по всему миру. Как сообщили участники дискуссии «Анализ современного ландшафта угроз. Борьба с WannaCry и другими мега-атаками тысячелетия», всего пострадали более 100 стран и 300 тыс. компьютеров.

Участники согласились с тем, что последний показатель – не так и много, к тому же сама программа свидетельствовала о невысокой квалификации вирусописателя – «любой троян заткнет его за пояс». Однако появление шифровальщика произвело эффект разорвавшейся бомбы и стало медийным событием. Одна из причин в том, что все заражения произошли в очень короткие сроки, другая – в том, что результаты «работы» WannaCry стали публичными. Первыми об инцидентах объявили британские медицинские учреждения: уведомлять о подобных инцидентах – их обязанность, так как ИТ в здравоохранении в этой стране очень развито.

WannaCry, по мнению участвовавших в мероприятии экспертов, стал индикатором того, как обстоят дела с защищенностью в различных странах. Так, Россия стала лидером по распространенности WannaCry, однако не по нанесенному ущербу, хотя среди пострадавших такие крупные компании, как РЖД, Сбербанк, «МегаФон» и т.д. Также в топе по охвату Украина, Индия, Тайвань. Среди наиболее пострадавших отраслей – образование, здравоохранение, телеком, госструктуры.

Как отметил Алексей Андрияшин, руководитель системных инженеров компании Fortinet, здравоохранение в России не пострадало и не могло пострадать по вполне понятной причине: в этой отрасли проникновение ИТ пока не слишком высоко, а большая часть информации до сих пор хранится на бумаге. Остальным отраслям повезло меньше.

Эксперт по безопасности Евгений Царев оценил идею WannaCry как неновую и коммерчески неуспешную. В частности, скомпрометированные кошельки получили порядка $100 тыс. Однако сгенерированный трафик, вероятнее всего, обошелся злоумышленникам дороже, т.е. они «работали в минус». Кстати, в том числе поэтому Россия оказалась в числе лидеров по распространению – здесь трафик дешевле. Между тем, есть вирусописатели, которые зарабатывают очень много, хотя их «решения» не так известны. К примеру, Methbot, который имитирует просмотр рекламы, приносит своим создателям от 2,5 до 5 млн долларов в сутки. А ZeroAccess, работавший порядка двух лет, зарабатывал порядка 1 млн долларов в день. По сравнению с ними WannaCry выглядит неудачником. Так что чем были мотивированы создатели WannaCry не понятно, однако масштаб происшествия впечатляет.

Между тем, атака WannaCry могла оказаться безрезультатной, если бы вовремя был установлен патч для Wundows: он вышел еще в марте текущего года. Так что WannaCry стал индикатором того, в каких странах хуже всего с обновлением софта и наиболее активно используют пиратские программные продукты.

Примечательно, что при этом эксперты уверены, что сотрудники ИТ-служб пострадавших от WannaCry российских компаний могут быть вовсе не виноваты в том, что корпоративная сеть оказалась беззащитной. Зачастую в таких ситуациях стоит винить финансовых директоров или руководство, которое не считает нужны продлевать лицензии или платить за поддержку. Есть и «дыры» в политиках безопасности. К примеру, Евгений Царев рассказал, что в одном из банков было прописано, что нельзя открывать вложения в электронных письмах, однако при разрешении руководства это можно было делать.

Кроме того, зоной риска является и оборудование, в котором используются устаревшие и не поддерживаемые ОС. Такое бывает часто с медоборудованием – например, в компании может быть установлен томограф или аппарат УЗИ, которые работают на ОС, которая уже не поддерживается производителем, и другую ОС на него просто не установить. В таком случае вполне можно ожидать и целевой атаки, хотя при это кто-то должен знать, что за оборудование установлено в компании.

Также, как отметили практикующие эксперты, «дырой» в контуре безопасности зачастую являются системы АСУ ТП. По отношению к ним компании часто руководствуются принципом «пока работает, лучше не трогать», так что об обновлениях речи не идет. Что касается отдельных сотрудников и человеческого фактора, то чаще всего злоумышленники попадают в корпоративную сеть через ПК бухгалтеров. В частности, на мероприятии одна из     участников дискуссии рассказала, о прецеденте, когда бухгалтер перешел по ссылке на арабском языке, из-за чего вирус попал в компьютер.

Конечно, отыскать «точку входа» в случае с WannaCry возможно, а автора – вероятнее всего, нет. В процесс атаки разные страны пытались обвинить в происшедшем друг друга. Сначала подозрение пало на россиян, мы, в свою очередь, обвинили США, те – корейцев и так далее. Это, скорее, напоминает проявления паранойи и позволяет создать медиаповод, но далеко от истины. Даже наличие в коде определенного языка может свидетельствовать не о национальности автора, а о желании запутать следователей.

Эксперты уверены, что в будущем вполне возможно повторение подобной атаки, хотя реакция на нее будет уже не столь яркой. Однако ситуация развивается таким образом, что в ближайшем будущем даже те, кто не является специалистом в области информационной безопасности, вынуждены будут заниматься ее обеспечением. В противном случае и частные пользователи, и предприятия будут страдать от сетевых злоумышленников.