ПО ПОВОДУ КИБЕР-АТАКИ WCRYPT – простым языком, на примере порно и терминатора:)


Вчера вечером в СМИ пошла волна новостей о новой кибер-атаке, поразившей множественные цели, большинство из которых в России. Несколько СМИ попросили комментарии. Я был за рулем, простите;( Но теперь могу прокомментировать событие.

На данный момент по данным Malwaretech заражено 113243 машины по всему миру. Каждый день антивирусные компании регистрируют миллионы срабатываний защитных технологий. Иногда десятки миллионов. Поэтому паника по поводу WCRYPT – раздута. Ситуация интересная потому, что угроза довольно нестандартная (пока что) и для СМИ – новая. Тип вируса, поразившего все эти цели, включая рабочие станции отечественного МВД (на РОЕМ была статья об этом) называется «криптолокер».

Как выглядит результат его работы? Кто-то получает или персонализированную спам-рассылку в почту или соцсети, или используется уязвимость операционной системы (грубо говоря, дырочка в Windows, известная хакерам) – не важно как – находится канал, по которому условный Вася Пупкин, находящийся в локальной сети какой-нибудь организации, получает вирус в виде ссылки и кликает на него, позволяя тому очутиться у себя на компьютере. 
Далее, этот вирус «смотрит вокруг», анализирует папочки, фоточки, документики – у него есть алгоритмы оценки ценности контента. После чего делает простую вещь – он шифрует это все и делает недоступным никому. И требует выкуп. Представьте, что вы ребенок и у вас есть папка с бесценным порно. Потом пришел папа, нашел папку и поставил на нее сложный пароль, который знает только он. А чтобы сказать вам пароль и вернуть порно, он требует, чтобы в четверти были только пятерки. Вот суть случившегося на пальцах.

Проблема ситуации в том, что вирус, оказавшись в локальной сети, может распространяться по ней довольно просто и в ряде случаев кликать ни на что новым жертвам уже не надо – криптолокер умеет шифровать многие сетевые папки без участия владельца, а в ряде случаев, и запускаться самостоятельно (опущу технические детали – как он это делает). В итоге – сотни тысяч жертв, у которых хакеры требуют выкуп в криптовалюте биткойн. 
Вчера ночью меня спросил один из журналистов «Что эта атака значит для мира?! Новая эпоха кибератак?! Правда, что сервера МВД недоступны?» Насчет серверов МВД лучше спросить у них – не знаю. Но такой шанс есть. Потому, что текущая традиционная инфраструктура IT – это почти всегда периметр. Я много раз говорил, что это тупик – любой периметр ломается и как только ты оказываешься внутри как хакер – делаешь все, что угодно. В случае криптолокера – в теории, можешь все машины сети заразить. Поэтому от периметров надо уходить в сторону умных систем, построенных на тренируемом машинном интеллекте (ТМИ) и совершенно новой архитектуре сети и топологии пользователей (где у пользователя есть цифровойДНК(tm)). Это то, чем мы в том числе занимаемся в Biolink.Tech – мы, как Джон Коннор из Терминатора 2 – создаем доброго киборга-терминатора, который защищает своего хозяина (к которому он привязан своей цифровой ДНК) и это его единственная миссия в жизни. Он скорее умрет, чем бросит его. Если у каждого из нас будет такой защитник 24/7, который понимает логику работы криптолокеров и защищает от них до атаки – ограждает все каналы заражения, даже гипотетические, – Сеть станет безопаснее.

Сейчас, к сожалению, это не так. Ведущие компании на рынке кибербезопасности имеют шикарные технологии. Без дураков – они реальном молодцы. Но проблема в том, что все они до сих пор рассчитывают на то, что пользователь – IT-geek – то есть, человек, который понимает, как работает Сеть, ее угрозы и правила работы (условно – цифровую гигиену). А это не так. Мы с вами – живые люди и не все должны изучать программирование и реверс-инжениринг – у нас своя жизнь есть вообще-то.

Атака WCRYPT подтверждает, что, пользуясь нашей разобщенностью, конфликтами и разногласиями государств в области свободы в Сети (продолжают создаваться периметры и крупные базы данных о жизни пользователей, – лакомые кусочки для хакеров), – ломать могут все и всех. Ломали и будут ломать. Ничего выдающегося в WCRYPT не вижу – это просто еще один криптолокер, не первый и не последний.

Если вы не хотите стать жертвой, советы простые:

1) Не открывайте ничего (никаких ссылок) – если вы не знаете, от кого они.

2) Если ссылка странная или поведение нестандартное (например, друг прислал в ФБ ссылку, хотя вы с ним пол года не разговаривали) – см пункт 1: лучше уточнить у друга – он ли это. Вероятность 99% – что рассылка идет руками вируса от его имени.

3) Используйте оборудование Apple и ChromeBook – их доли на рынке меньше, а программистов для создания программ (в том числе вирусов) – найти сложнее. Поэтому шансы стать жертвой на этих системах – сильно меньше, чем на Windows. Это вопрос вероятностей. На Mac можно не пользоваться антивирусом при условии, что вы понимаете правила цифрвой гигеены – если интересно, я сделаю пост на эту тему.

4) Возьмите за правило делать бэкап системы. В Apple это делает за вас TimeCapsule – в случае чего, всегда можно будет вернуться к системе, скажем, недельной давности. На Windows можно воспользоваться одним из массовых сервисов бэкапа. Или, хотя бы, Dropbox/GoogleDrive.

5) Антивирусное ПО на Windows – это must have. Я рекомендую Kaspersky Internet Security – ибо долго работал в компании, могу сказать, что эксперты знают толк. Альтернатива – Avast – ибо бесплатно. Но встроенному Defender от Microsoft доверять не стоит. Потому, что он пока сильно хромает по сравнению с лидерами – пропускает очень много.

6) Следите за обновлениями Biolink.Tech – скоро постараемся порадовать вас решением. Работа идет полным ходом, просто, менять мир – не так просто и быстро, как хотелось бы.

7) Обязательно (!) устанавливайте свежие патчи сразу по мере выхода. Отсутствие патчей и ведет к уязвимостям, вроде WCRYPT – как мне сказал Aleks Gostev – ведущий эксперт Kaspersky Lab – “причина эпидемии – в уязвимости пропатченной два месяца назад” – значит, виноваты в ущербе, если честно, в том числе сами компании-жертвы. А Гостев знает, о чем говорит. В моем рейтинге топ-экспертов, он – номер один. Я ему верю.

8) Кого интересует детальный ресерч – настоятельно рекомендую https://securelist.com/…/wannacry-ransomware-used-in-wides…/ – на языке экспертов для экспертов. Ребята знают, о чем говорят. Особенно рекомендую прочитать всем, кто работает в СМИ. Большинство вопросов отпадет.

Если вы корпорация, бизнес или государственная компания, – вам надо смотреть на проблему кибератак системно и начать с ответа на простой вопрос – «Сколько сотрудников реально понимают базовые правила цифровой безопасности? Например, что найденную флэшку не надо совать в свой ноутбук, а ссылку от незнакомца открывать не надо?» И начать с создания программы обучения персонала. Мы в Biolink.Tech недавно для своего проекта (не связанного с этой новостью) проводили исследование – разбрасывали флэшки с безвредным кодом в офисных центрах – «белый вирус» просто сообщал нам что флэшку воткнули в систему, проверял, что мы можем получить доступ к компьютеру в скрытом режиме, после чего деактивировался. Мы делали это по согласованию с руководством компаний-жертв, чтобы понять уровень их незащищенности от человеческого фактора.

Так сколько вы думаете людей сделали это? Из 100 разбросанных флэшек в компьютеры были воткнуты 97. То есть, вероятность взлома защищенного периметра, как минимум, в теории – 97%. 
Поэтому, стоит ли удивляться успеху WCRYPT? Нет. 100 тысяч жертв – это капля в море. Но страшно в этом всем то, что если завтра, условно, будет найден способ взлома средств коммуникации того же Facebook – жертв могут быть сотни миллионов. А это уже страшно.

Если есть вопросы по теме – обращайтесь.