Число атак шифровальщиков на городские администрации выросло на 60%​​​​​​​

Москва, 19 декабря - "Вести.Экономика" «Лаборатория Касперского» зафиксировала рост числа атак шифровальщиков на органы городских администраций. С начала 2019 г. программами-шифровальщиками было атаковано 174 муниципальных образования, что как минимум на 60% больше по сравнению с 2018 г. Сумма выкупа, которую требуют злоумышленники, в среднем составляет более $1 млн, а максимальные значения достигали и $5 млн. Совокупный ущерб от атак шифровальщиков, включая долгосрочные социально значимые последствия, мог быть еще больше, ведь остановка работы городских служб негативно сказывается на благополучии жителей. Все больше компаний осознают необходимость применения мер безопасности, но и киберпреступники научились точно определять цели, в защите которых есть изъяны. За последние три года доля пользователей, атакованных программами-вымогателями, по отношению ко всем случаям обнаружения вредоносных программ возросла с 2,8 до 3,5%. Эти цифры могут показаться незначительными, но важно помнить, что программы-вымогатели могут нанести очень серьезный ущерб зараженным системам и сетям, поэтому эту угрозу ни в коем случае не следует недооценивать. Доля целей программ-вымогателей по отношению ко всем жертвам вредоносного ПО постоянно колеблется, однако просматривается тенденция к уменьшению: 2,94% в I квартале 2019 года по сравнению с 3,53% два года назад. Общее количество ежегодно атакуемых пользователей изменилось. Согласно наблюдениям экспертов «Лаборатории Касперского», целями программ-вымогателей в каждом полугодии становятся от порядка 900 тыс. до 1,2 млн пользователей. Несмотря на то что среди шифровальщиков периодически попадаются исключительно сложные образцы, общая схема их работы весьма проста: зловред превращает файлы на компьютере жертвы в нечитаемые зашифрованные данные, после чего требует выкуп за ключи расшифровки, сообщается в блоке Securelist. Эти ключи создаются самими злоумышленниками и могут быть использованы для расшифровки файлов и возврата данных к первоначальному состоянию. Без ключа работа на зараженном устройстве невозможна. Вредоносная программа может распространяться самими создателями, либо же они могут продать ее другим злоумышленникам или своим партнерским сетям — «сторонним распространителям», которые делятся частью доходов от успешных атак с владельцами технологии. В 2019 году активность атак вымогателей в значительной степени сместилась в сторону новой цели — муниципальных служб. Пожалуй, наиболее масштабным и широко обсуждавшимся инцидентом стала атака в Балтиморе — город стал жертвой широкомасштабной вымогательской кампании, в результате которой многие службы были парализованы, а на восстановление IT-инфраструктуры города потребовались десятки миллионов долларов. Согласно общедоступной статистике и заявлениям, отслеживаемым экспертами «Лаборатории Касперского», в 2019 году целями программ-вымогателей стали по меньшей мере 174 муниципальные структуры. Таким образом, по сравнению со статистикой прошлого года количество атак программ-вымогателей на городские структуры выросло приблизительно на 60%. Хотя не все организации обнародовали вымогаемые суммы и сообщили, был ли в итоге выплачен выкуп, по известным данным можно сказать, что суммы запрашиваемого выкупа варьировались в пределах от $5000 до $5 000 000 (в среднем — около $1 032 460). При этом разброс в суммах выкупа был очень велик — так, со школьных округов в небольших населенных пунктах требовали суммы примерно в 20 раз меньшие, чем с мэрий в крупных городах. Однако фактический ущерб от этих атак, согласно оценкам независимых аналитиков, зачастую отличался от суммы, затребованной вымогателями. Во-первых, некоторые муниципальные организации и поставщики услуг застрахованы от инцидентов кибербезопасности, и страховка так или иначе компенсирует ущерб. Во-вторых, своевременная реакция на инцидент зачастую помогает избежать последствий атаки. Кроме того, не все городские учреждения выполняют требования вымогателей: в случае с атакой шифровальщика в Балтиморе должностные лица отказались платить выкуп, и в итоге город потратил $18 млн на восстановление своей IT-инфраструктуры. Хотя эти затраты намного превысили изначальную затребованную сумму выкупа ($114 000), следует понимать, что уплата выкупа может быть лишь краткосрочным решением, к тому же поощряющим вымогателей продолжать свою преступную деятельность. Также нужно иметь в виду, что после компрометации городской IT-инфраструктуры последняя потребует аудита и тщательного расследования инцидента во избежание повторения подобных случаев; кроме того, необходимо будет внедрить надежные защитные решения, что также потребует расходов. Наиболее часто атакованными структурами, несомненно, были образовательные учреждения, такие как школьные округа, — на их долю пришлось около 61% всех атак: всего за год мишенями стали более 105 школьных округов, насчитывавших в общей сложности 530 школ. По этому сектору был нанесен тяжелый удар, однако традиционализм методов сыграл учебным заведениям на руку: в то время как в некоторых колледжах занятия были отменены, многие образовательные учреждения продолжили работу, не дожидаясь восстановления IT-систем — по словам руководства этих организаций, компьютеры лишь недавно стали активно использоваться в учебном процессе и преподаватели прекрасно могут вести занятия и без них. Мэрии и муниципальные центры подверглись атакам в 29% случаев. Злоумышленники зачастую пытаются нанести удар по критически важным процессам, остановка которых может быть чревата серьезными проблемами для подавляющего большинства граждан и местных организаций. К сожалению, эти учреждения до сих пор оборудованы довольно слабой инфраструктурой и используют ненадежные защитные решения. Для рабочих процессов в этой сфере (в особенности в небольших городках и поселках) не требуются значительные вычислительные мощности, поэтому старые компьютеры и ПО в таких учреждениях подолгу не обновляются, поскольку вроде бы и так справляются со своими задачами. Возможно, нежелание приводить рабочий инструментарий в актуальное состояние связано с распространенным заблуждением, что обновления безопасности в основном включают внешние изменения или новые технические возможности ПО, в то время как на самом деле их основное предназначение — закрытие уязвимостей, обнаруженных «белыми» и «черными» хакерами и исследователями безопасности. Еще одной популярной целью оказались больницы — на их долю пришлось 7% всех атак. В то время как некоторые «черные» хакеры и киберпреступные группировки заявляют, что действуют в соответствии с определенным «кодексом чести», в большинстве случаев злоумышленниками движет элементарная жажда наживы, и поэтому они наносят удары по жизненно важным службам, длительные перебои в работе которых недопустимы, — как в случае медицинских учреждений. Далее, около 2% всех подвергшихся атакам учреждений составили муниципальные коммунальные службы или их субподрядчики. Такая популярность может быть вызвана тем, что через этих поставщиков городских услуг можно получать доступ к целым сетям устройств и организаций, поскольку каждая такая служба взаимодействует со множеством других учреждений и домашних хозяйств — в частности, выставляя им счета. В сценарии, когда атака злоумышленников на поставщика услуг оказывается успешной, скомпрометированными могут оказаться все районы, обслуживаемые атакованной организацией. Кроме того, перебои в работе коммунальных сервисов могут нарушить жизненно важные текущие процессы, такие как онлайн-оплата счетов горожанами и т. п., — в итоге жертва атаки может решить заплатить выкуп, чтобы быстро справиться с проблемой, хотя в долгосрочной перспективе этот выбор может повлечь новые трудности. Сценарии атак могут различаться. Например, успешная атака может оказаться следствием незащищенного удаленного доступа. Но, как правило, для атак на муниципалитеты используются две точки входа: социальная инженерия и уязвимости в не обновленных вовремя программах. Эксперты «Лаборатории Касперского» каждый квартал наблюдают одну и ту же ситуацию: абсолютным лидером практически во всех рейтингах наиболее часто блокируемых программ-вымогателей на пользовательских устройствах остается WannaCry. Свежая статистика, собранная «Лабораторией Касперского» в III квартале 2019 года, продемонстрировала, что спустя два с половиной года после окончания эпидемии WannaCry этим зловредом была атакована пятая часть всех пользователей, ставших целями программ-вымогателей. Более того, данные за период с 2017 года по середину 2019 года показывают, что WannaCry остается одним из самых распространенных образцов вредоносного ПО — на его долю пришлось 27% случаев всех атак со стороны программ-вымогателей за этот срок. Альтернативный сценарий подразумевает использование преступниками человеческого фактора; пожалуй, это самый недооцененный вектор атаки, поскольку тренинги персонала, направленные на повышение осведомленности о киберугрозах, в целом недостаточно универсальны. Многие производства терпят колоссальные убытки вследствие ошибок сотрудников (в некоторых областях такие эпизоды составляют половину всех инцидентов безопасности); фишинговые письма и спам с установщиками вредоносного ПО по-прежнему свободно циркулируют по Сети и находят свои жертвы. Иногда среди этих жертв оказываются те, кто управляет счетами и финансами компании, и они даже не подозревают, что открыв на своем компьютере вредоносное письмо и загрузив, казалось бы, обычный файл PDF, они могут скомпрометировать всю корпоративную сеть. В 2019 г. наиболее активными были шифровальщики Ryuk, Purga и Stop. Ryuk появился более года назад, обычно для его распространения используется бэкдор, который попадает на устройства частных и корпоративных пользователей через фишинговые письма с вредоносными вложениями под видом финансовых документов. Зловред Purga известен с 2016 г., но атаковать муниципальные службы он начал лишь в этом году. Подавляющее большинство (86%) всех атак шифровальщика Purga пришлось на Россию. Кроме того, Россия находится на пятом месте по числу пользователей, атакованных шифровальщиком Ryuk. Чтобы защитить устройства от шифровальщиков, «Лаборатория Касперского» рекомендует пользователям и компаниям: регулярно обновлять ПО, поскольку большинство атак проводится именно с помощью уязвимостей в программах; обеспечивать защиту удаленного доступа к корпоративным сетям с помощью VPN и использовать безопасные пароли для доменных аккаунтов; использовать надежное защитное решение с обновленными базами данных, а компаниям — корпоративное решение с функциями противодействия программам-шифровальщикам.