Статья

Как оставить Bad Rabbit в уходящем году и не платить вымогателям

Безопасность Бизнес Цифровизация Экспертиза RedSys
, Текст: Павел Притула

Уходящий год ознаменовался несколькими масштабными атаками вирусов-шифровальщиков на компьютеры сразу в нескольких странах, в первую очередь, в России, Украине, Болгарии и Турции. Почему организации продолжают попадать в сети злоумышленников и как им проще всего обезопасить свой бизнес от такого рода атак? Рассуждаем на эту тему вместе с экспертами бизнес-ИT интегратора RedSys.

«Шифровальщики» оказались крайне неприятным испытанием для компаний, в которых администраторы спустя рукава выполняли свою работу. Такой вирус, проникая на сервер или рабочую станцию под управлением ОС Windows, шифрует пользовательские данные и блокирует работу компьютера. У владельцев есть всего три возможности: попытаться вылечить заражение, самим удалить все данные на диске и переустановить систему, или же заплатить выкуп вымогателям (обычно – несколько десятков тысяч рублей в биткойнах) в обмен на пароль для разблокировки. Причем выплата денег совершенно не означает, что преступники в ответ пришлют пароль и система будет разблокирована.

Вирусы-вымогатели известны еще с 2005 года, но около 10 лет они не привлекали такого пристального внимания специалистов, как сейчас. Атаки долгое время были локальными и не слишком прибыльными для организаторов. Наконец, злоумышленники достигли двух ключевых целей: нашли способы сравнительно надежного проникновения на компьютеры жертв (в частности, эксплойт EternalBlue – считается, что он был украден хакерами у АНБ США) и разработали способ анонимного вывода денег, полученных в качестве выкупа, благодаря использованию биткойновых кошельков. Помогла им и пассивная позиция производителей ПО, месяцами не выпускавших патчи для уже известных уязвимостей. Поэтому к 2017 году мало что мешало началу эпидемий шифровальщиков.

Bad Rabbit и его «братья»-зловреды опасны тем, что безвозвратно шифруют данные на дисках. Если не проводится резервное копирование критичной информации, то будет как минимум нарушена непрерывность бизнеса

Россию накрыли несколько таких атак, самые масштабные из которых были порождены вирусами WannaCry, NotPetya и Bad Rabbit. Последняя эпидемия случилась этой осенью, ее «виновник» Bad Rabbit распространялся под видом обновления плагина Adobe Flash Player: пользователю предлагалось «обновить плеер», после чего нажатием на кнопку Install он загружал зловреда на свой компьютер. Затем вирус самостоятельно распространялся по локальной сети.

Это уже третья атака, эксплуатирующая одну давно известную уязвимость ОС. Microsoft выпустила соответствующий патч MS17-010 для Windows еще в марте, в интернете было опубликовано множество сообщений об опасности и способах распространения шифровальщиков и методах защиты, поэтому от Bad Rabbit пострадали те компании, которые не сделали из этого выводы, хотя все несложные и незатратные меры защиты были известны и CIO, и администраторам.

Bad Rabbit и его «братья»-зловреды опасны тем, что безвозвратно шифруют данные на дисках. Если не проводится резервное копирование критичной информации, то будет как минимум нарушена непрерывность бизнеса. Бизнес-процессы, требующие участия операторов ПК, могут быть остановлены, серверы заблокированы. И здесь серьезную опасность зловреды представляют для АСУ ТП, так как большинство из них эксплуатируется на уязвимых ОС и использует уязвимый софт, для которого может просто не существовать заплаток, закрывающих «дыры». А последствия нештатной остановки производства могут быть драматическими, вплоть до техногенных аварий.

Обычно такие системы изолированы от интернета, и официальных сообщений об атаках шифровальщиков на производственную инфраструктуру не было (и вряд ли следует их ожидать из-за информационной политики самих пострадавших компаний), но по неофициальным каналам проходила информация о проблемах на производстве у ряда крупных предприятий во время эпидемий. Также из СМИ известно, что пострадали некоторые банки, аэропорты и силовые структуры.

Как защититься от шифровальщика?

Нужно помнить, что уязвимости эксплуатируются шифровальщиками не только на рабочих станциях, но и на серверах. Так, многие видели в сети фотографии банкоматов с заблокированными вирусом экранами. Хотя сама банковская сеть и закрыта, но ее можно скомпрометировать, например, принеся на работу зараженный ноутбук. И тогда, если сеть сконфигурирована неправильно и в ней открыты порты, используемые зловредами, к прочим потерям банка добавятся убытки от простоя сети банкоматов.

Нам в каком-то смысле повезло, поскольку эффективные базовые методы защиты от зловредов типа WannaCry, NotPetya и Bad Rabbit не требуют сверхспособностей от администраторов и внедрения средств защиты по цене самолета. «Главное – настроить обновление инфраструктуры в соответствии с регламентами, – говорит Ильяс Киреев, старший проектировщик департамента защиты информационных систем RedSys. – Доступ в интернет следует не просто регулировать, а запрещать доступ в TOR-сети, закрывать неиспользуемые порты, заниматься анализом уязвимостей, при необходимости подключая сервисы специализирующихся на информационной безопасности компаний. Кроме того, совершенно необходимо регулярно резервировать критические данные и повышать осведомленность пользователей о возможных угрозах и реагировании на них».

Конкретные меры защиты на предприятии зависят от оценки рисков и наличия специфических требований регуляторов в области информационной безопасности. Бизнес, не связанный обязательными условиями по организации мер защиты, будет считать деньги: сколько он может потерять от вирусной атаки, и в какую сумму ему обойдется защита. «Если взять сумму потенциальных потерь от атаки и потратить ее на инструменты информационной безопасности, можно внедрить комплексную защиту, которая убережет не только от шифровальщика, – говорит Ильяс Киреев. – В нее могут входить антивирусные «песочницы», антиспам-шлюзы, endpoint-решения для конечных устройств, средства защиты виртуальной среды, а также услуги Security Operations Center или Network Operations Center. Рекомендуется использовать современные решения для безопасности: межсетевой экран нового поколения NGFW, универсальные шлюзы безопасности UTM и т.д. Если реализована комплексная защита и своевременно устанавливаются обновления ПО, то риски, связанные с возможными атаками шифровальщиков, минимизируются».

Алексей Амосов, директор департамента программно-аппаратных комплексов RedSys, напоминает об одном из главных правил ИТ – резервировании данных: «Все данные в компании должны быть разделены на категории в зависимости от их ценности. При оценке нужно учитывать не только стоимость самих данных, но и ущерб, который может наступить в результате простоя систем. Современное ПО резервного копирования поддерживает работу с данными с учетом их ценности».

Допустимое время простоя систем следует включать в расчеты при выборе технологии резервного копирования. Например, если используется ленточный носитель, то при больших объемах данных срок восстановления может достигать нескольких дней. Более современные и дорогие системы позволяют сделать то же самое всего за десятки минут. Кроме времени восстановления данных из резервной копии есть и такой ключевой параметр, как время создания последней резервной копии – это момент, на который можно «откатиться». При сбое все, что было наработано после этой точки, теряется. В некоторых системах копии можно делать раз в неделю, в некоторых – ежесуточно: чем чаще делается бэкап, тем выше цена. Есть системы, в которых вообще недопустима потеря данных, и стоимость решения для защиты информации в них крайне высока, буквально стремится к бесконечности. В целом же при выборе руководствуются компромиссом между стоимостью системы с учетом ее администрирования и величиной ущерба при возможной потере определенных данных за конкретный период.

Резервное копирование – достаточно надежный способ минимизировать ущерб от щифровальщика или другого подобного зловреда: «Если рассматривать вопрос потери данных в целом, то вирус – это частный случай, – говорит Алексей Амосов. – Вмешательство злоумышленников, случайное уничтожение данных, сбои ПО и железа – все это может привести к точно такому же результату, как и атака Bad Rabbit. Такие события время от времени случаются, поэтому организация, которая не сохраняет резервные копии, обречена на вымирание».

«Резервное копирование – один из ключевых методов обеспечения непрерывности бизнеса, хотя в рамках данной проблематики у нас есть и другие способы помочь клиентам, – добавляет Ильяс Киреев. – Среди них можно назвать организационно-технические мероприятия по защите информации, анализ уязвимостей, патч-менеджмент, и т.д.».

Задачи резервного копирования касаются, как правило, серверной инфраструктуры. Рабочие станции обычно не защищают таким образом, поскольку по регламентам многих крупных компаний данные на них вообще не должны храниться, а в случае поражения зловредом переустановить ОС из эталонной копии и «накатить» необходимые программы не представляет никаких трудностей. Это – последнее средство защиты, когда другие инструменты не обеспечили сохранность данных, и время от времени только оно и спасает компании от очень больших проблем – потому что больше некому. 

Видео