• USD 39
  • EUR 42.4
  • GBP 49.6
Спецпроекты

Пробный Petya. Когда ждать новой вирусной атаки на Украину

В отличие от WannaCry вирус Petya имел задачей не вымогательство, а нанесение ущерба
Фото: shutterstock.com
Фото: shutterstock.com
Реклама на dsnews.ua

Сетевой червь Petya, поразивший компьютеры многих украинских учреждений и компаний 27 июня, во многом похож на сетевой вирус WannaCry, массовое распространение которого началось 12 мая. Как отмечает американская компания Symantec, специализирующаяся на производстве антивирусов и другого ПО в сфере информационной безопасности, Petya использует те же уязвимости операционной системы Microsoft Windows, что и WannaCry (к примеру, эксплойт EternalBlue и бэкдор DoublePulsar), и тоже, как и WannaCry, за восстановление доступа к данным требует отправить сумму в биткоинах, эквивалентную $300.

Но как раз эта схожесть наводит на подозрения, что вирус Petya - это вовсе не аналог вируса WannaCry, а его имитатор. Напомним, что WannaCry оказался не слишком эффективным вымогателем. По последним данным (на 29 июня), за семь недель с момента начала эпидемии WannaCry на три электронных кошелька, указанных злоумышленниками, поступило только 337 платежей на общую сумму $134,2 тыс. И ни один платеж до сих пор не снят (все деньги так и лежат в кошельках). Также нет информации, чтобы хоть кому-то из уплативших восстановили данные. Между тем общее число компьютеров, ставших жертвами WannaCry, за это время достигло по всему миру 521,8 тыс. И подавляющее большинство пострадавших (свыше 99,9%) сочли, что платить вымогателям нет никакого смысла.

Ввиду столь сомнительного опыта WannaCry попытка создателей вируса Petya повторить сеанс массового вымогательства выглядит сущей глупостью. К тому же очень быстро стало известно, что уплата требуемой суммы совершенно не поможет восстановить данные, поскольку электронный адрес, с которого злоумышленники обещают отправлять ключи для дешифровки, уже заблокирован провайдером. Американский сайт Quartz, отслеживающий ситуацию в глобальной экономике, привел любопытные цифры: за первые сутки с момента начала атаки вирус WannaCry собрал с пострадавших $29 тыс., а Petya - только $10,2 тыс., или почти втрое меньше. Ну и вообще очевидно, что это не те деньги, ради которых стоило бы затевать авантюру такого масштаба.

Гораздо более внушительные цифры получаются, если подсчитать не выгоду вымогателей, а нанесенный ими вред. Американская компания KnowBe4, работающая в сфере цифровой безопасности, оценила ущерб от WannaCry только за первые четыре дня атаки более чем в $1 млрд. И вот такой результат вполне мог вдохновить создателей вируса Petya.

По мнению Кристиана Бика, главного инженера компании McAfee, занимающейся разработкой антивирусного ПО, вирус был разработан так, чтобы распространяться максимально быстро. Подразделение Talos американской технологической компании Cisco в первый же день эпидемии Petya установило, что одним из каналов распространения вируса стало обновление программного обеспечения M.E.Doc для украинской налоговой отчетности и документооборота. О том же заявили корпорация Microsoft и департамент киберполиции Национальной полиции Украины. Конечно, это был не единственный канал, но именно через него пошло наиболее массовое заражение в Украине.

28 июня в одной из самых популярных американских газет The New York Times вышла обширная статья, посвященная вирусу Petya. В ней прямо говорится, что по мнению экспертов в области кибербезопасности, у злоумышленников был более зловещий мотив, чем вымогательство, - паралич жизненно важных компьютерных систем Украины накануне государственного праздника - Дня Конституции.

"Выбор для нападения дня перед Днем Конституции не может быть случайным", - подчеркивает старший исследователь подразделения Talos компании Cisco Крейг Уильямс. Бывший заместитель директора по разведке и компьютерным операциям Центра правительственной связи Великобритании Брайан Лорд тоже утверждает: "Дело не в деньгах. Эта атака предпринята ради того, чтобы нарушить работу крупных компаний и правительственных органов. Вы получаете двойной удар: сначала от самой кибератаки, а затем от того, что организации вынуждены прекращать свою деятельность".

Реклама на dsnews.ua

Приведя эти высказывания, газета отмечает, что главным подозреваемым считается Россия, хотя прямых доказательств еще нет. Возможно, их найдет оперативный штаб, в котором работают представители киберполиции, СБУ, Госспецсвязи и компании Cisco. Они занимаются разработкой дешифратора и в тоже время пытаются помочь пострадавшим.

В киберполицию поступило свыше 1000 сообщений о вмешательстве в работу компьютерных сетей, приведшем к сбоям в их работе. Жертвами атаки стали, в частности, Кабмин и Министерство инфраструктуры, "Укртелеком" и ряд других операторов связи, "Укрпошта" и "Нова пошта", "Укрзалізниця" и Киевский метрополитен, аэропорты "Борисполь" и "Харьков", Ощадбанк и ряд других банков, "Киевводоканал", "Киевэнерго", "Центрэнерго" и офис "Укрэнерго", Чернобыльская АЭС. Также пострадали компании "Укргазвидобування" и "ДТЭК", Rozetka и несколько торговых сетей, сеть автозаправок WOG, ряд теле-, радиоканалов и других СМИ. Заразились сайты КГГА, Львовского горсовета и даже тех органов, которые отвечают за кибербезопасность, - Госспецсвязи и киберполиции.

Хуже всего то, что атака 27 июня, скорее всего, была только пробной. И через некоторое время следует ожидать еще более серьезного и эффективного нападения. По крайней мере, к этому нужно готовиться.

Оперативно отреагировал на новую кибератаку генеральный секретарь НАТО Йенс Столтенберг. Он провел 28 июня пресс-конференцию в Брюсселе, где напомнил, что альянс "помогает Украине в киберзащите и создал целевой фонд для финансирования программ, которые помогут Украине улучшить свою киберзащиту. Мы будем продолжать это делать, и это важная часть нашего сотрудничества".

Месяц назад глава представительства НАТО в Украине Александр Винников пообещал, что в ближайшее время через трастовые фонды НАТО в Украину будет переведено оборудование для обеспечения кибербезопасности. 9-10 июля Столтенберг и члены Североатлантического совета должны совершить визит в Киев, и можно надеяться, что после этого мы получим от НАТО дополнительную помощь в этой сфере.

Но в любом случае необходимо созывать СНБО, расширять полномочия Национального координационного центра кибербезопасности при СНБО или же создавать специальный орган с функциями генштаба для отражения киберагрессии. 27 июня была, по сути, разведка боем: враг изучил наши слабые места и нашу способность реагировать.

Следующая атака может быть предпринята накануне Дня Независимости, чтобы по максимуму испортить нам праздник. Но она может произойти и раньше - например, перед ближайшими переговорами в нормандском формате или вообще безо всякого видимого повода. Похоже, украинцам следует привыкать, что война идет не только на Донбассе, но везде.

Кто еще пострадал от киберэпидемии

По данным транснациональной компании ESET, специализирующейся на разработке антивирусного программного обеспечения, на 19:00 28 июня по киевскому времени 75,24% всех компьютеров, ставших жертвами вируса Petya, находились в Украине. Среди других стран больше всего пострадали Германия (9,06%), Польша (5,81%), Сербия (2,87%), Греция (1,39%), Румыния (1,02%). Далее идут Россия и Чехия (по 0,82%), на остальные страны приходится 2,94%.

Таким образом, распространяемые кремлевскими СМИ данные о том, что "российские компании тоже стали жертвами", сильно преувеличены. В частности, компания "Роснефть" хоть и попала в список жертв, но ее добыча нефти не пострадала.

В число крупных западных компаний, затронутых эпидемией Petya, вошли немецкий производитель средств по уходу за кожей Beiersdorf, британская рекламная компания WPP, датская судоходная компания Maersk Line, американские компании Merck & Co., Mondelez и больничный оператор Heritage Valley Health System, транснациональная юридическая фирма DLA Piper, французская строительная компания Saint-Gobain и ее розничные и дочерние предприятия в Эстонии. Жертвой вируса стал и крупнейший контейнерный порт Индии JNPT, при этом все операции в порту остановились.

    Реклама на dsnews.ua