Пробний Petya. Коли чекати нової вірусної атаки на Україну

Мережевий черв'як Petya, вразив комп'ютери багатьох українських установ і компаній 27 червня, в чому схожий на мережевий вірус WannaCry, масове поширення якого почалося 12 травня. Як зазначає американська компанія Symantec, що спеціалізується на виробництві антивірусів і іншого в сфері інформаційної безпеки, Petya використовує ті ж уразливості операційної системи Microsoft Windows, що і WannaCry (наприклад, експлойт EternalBlue і бекдор DoublePulsar), і теж, як і WannaCry, за відновлення доступу до даних вимагає відправити суму в биткоинах, еквівалентну $300.

Але якраз ця схожість наводить на підозри, що вірус Petya - це зовсім не аналог вірусу WannaCry, а його імітатор. Нагадаємо, що WannaCry виявився не дуже ефективним здирником. За останніми даними (на 29 червня), за сім тижнів з моменту початку епідемії WannaCry на три електронних гаманця, зазначених зловмисниками, надійшло тільки 337 платежів на загальну суму $134,2 тис. Та жоден платіж до сих пір не знято (всі гроші так і лежать в гаманцях). Також немає інформації, щоб хоч комусь з сплатили відновили дані. Між тим загальне число комп'ютерів, які стали жертвами WannaCry, за цей час досягло по всьому світу 521,8 тис. І переважна більшість постраждалих (понад 99,9%) визнали, що платити здирникам немає ніякого сенсу.

Зважаючи настільки сумнівної досвіду WannaCry спроба творців вірусу Petya повторити сеанс масового вимагання виглядає справжньою дурістю. До того ж дуже швидко стало відомо, що сплата необхідної суми абсолютно не допоможе відновити дані, оскільки електронну адресу, з якого зловмисники обіцяють відправляти ключі дешифрування, вже заблокований провайдером. Американський сайт Quartz, що відслідковує ситуацію в глобальній економіці, навів цікаві цифри: за першу добу з моменту початку атаки вірус WannaCry зібрав з постраждалих $29 тис., а Petya - тільки $10,2 тис., або майже втричі менше. Ну і взагалі очевидно, що це не ті гроші, заради яких варто було б затівати авантюру такого масштабу.

Набагато більш значні цифри виходять, якщо підрахувати вигоду здирників, а завдану ними шкоду. Американська компанія KnowBe4, що працює в сфері цифровий безпеки, оцінила збиток від WannaCry тільки за перші чотири дні атаки більш ніж в $1 млрд. І ось такий результат цілком міг надихнути творців вірусу Petya.

На думку Крістіана Біка, головного інженера компанії McAfee, яка займається розробкою антивірусного ПО, вірус був розроблений так, щоб максимально швидко поширюватися. Підрозділ Talos американської технологічної компанії Cisco в перший же день епідемії Petya встановило, що одним з каналів поширення вірусу стало оновлення програмного забезпечення M.E.Doc для української податкової звітності та документообігу. Про те ж заявили корпорація Microsoft і департамент кіберполіції Національної поліції України. Звичайно, це був не єдиний канал, але саме через нього пішло найбільш масове зараження в Україні.

28 червня в одній з найпопулярніших американських газет The New York Times вийшла велика стаття, присвячена вірусу Petya. У ній прямо говориться, що на думку експертів в області кібербезпеки, у зловмисників був більш зловісний мотив, ніж вимагання, - параліч життєво важливих комп'ютерних систем України напередодні державного свята - Дня Конституції.

"Вибір для нападу дня перед Днем Конституції не може бути випадковим", - підкреслює старший дослідник підрозділу Talos компанії Cisco Крейг Вільямс. Колишній заступник директора з розвідки та комп'ютерним операціями Центру урядового зв'язку Великобританії Брайан Лорд теж стверджує: "Справа не в грошах. Ця атака зроблена заради того, щоб порушити роботу великих компаній і урядових органів. Ви отримуєте подвійний удар: спочатку від самої кібератаки, а потім від того, що організації змушені припиняти свою діяльність".

Навівши ці висловлювання, газета зазначає, що головним підозрюваним вважається Росія, хоча прямих доказів ще немає. Можливо, їх знайде оперативний штаб, в якому працюють представники кіберполіції, СБУ, Держспецзв'язку та компанії Cisco. Вони займаються розробкою дешифратора і в теж час намагаються допомогти постраждалим.

У киберполицию надійшло понад 1000 повідомлень про втручання в роботу комп'ютерних мереж, що призвела до збоїв у їх роботі. Жертвами атаки стали, зокрема, Кабмін та Міністерство інфраструктури, "Укртелеком" і ряд інших операторів зв'язку "Укрпошта" та "Нова пошта", "Укрзалізниця" і Київський метрополітен, аеропорти "Бориспіль" та "Харків", Ощадбанк і ряд інших банків, "Київводоканал", "Київенерго", "Центренерго" і офіс "Укренерго", Чорнобильська АЕС. Також постраждали компанії "Укргазвидобування" і "ДТЕК", Rozetka і кілька торгових мереж, мережа автозаправок WOG, ряд теле-, радіоканалів та інших ЗМІ. Заразилися сайти КМДА, Львівської міськради та навіть тих органів, які відповідають за кібербезпека, - Держспецзв'язку і кіберполіції.

Найгірше те, що атака 27 червня, швидше за все, була тільки пробної. І через деякий час слід очікувати ще більш серйозного і ефективного нападу. Принаймні, до цього потрібно готуватися.

Оперативно відреагував на нову кібератаку генеральний секретар НАТО Йенс Столтенберг. Він провів 28 червня прес-конференцію в Брюсселі, де нагадав, що альянс допомагає Україні в кіберзахисту і створив цільовий фонд для фінансування програм, які допоможуть Україні поліпшити свою киберзащиту. Ми будемо продовжувати це робити, і це важлива частина нашого співробітництва".

Місяць тому голова представництва НАТО в Україні Олександр Вінніков пообіцяв, що найближчим часом через трастові фонди НАТО в Україну буде переведено обладнання для забезпечення кібербезпеки. 9-10 липня Столтенберг і члени Північноатлантичної ради повинні здійснити візит в Київ, і можна сподіватися, що після цього ми отримаємо від НАТО додаткову допомогу в цій сфері.

Але в будь-якому випадку необхідно скликати РНБО, розширювати повноваження Національного координаційного центру кібербезпеки при РНБО або ж створювати спеціальний орган з функціями генштабу для відображення кіберагресії. 27 червня була, по суті, розвідка боєм: ворог вивчив наші слабкі місця і нашу здатність реагувати.

Наступна атака може бути зроблена напередодні Дня Незалежності, щоб по максимуму зіпсувати нам свято. Але вона може відбутися і раніше - наприклад, перед найближчими переговорами в нормандському форматі або взагалі без всякого видимого приводу. Схоже, українцям слід звикати, що війна йде не тільки на Донбасі, але скрізь.

Хто ще постраждав від киберэпидемии

За даними транснаціональної компанії ESET, що спеціалізується на розробці антивірусного програмного забезпечення, на 19:00 28 червня за київським часом 75,24% всіх комп'ютерів, які стали жертвами вірусу Petya, перебували в Україні. Серед інших країн найбільше постраждали Німеччина (9,06%), Польща (5,81%), Сербія (2,87%), Греція (1,39%), Румунія (1,02%). Далі йдуть Росія та Чехія (на 0,82%), на інші країни припадає 2,94%.

Таким чином, поширювані кремлівськими ЗМІ дані про те, що "російські компанії теж стали жертвами", сильно перебільшені. Зокрема, компанія "Роснефть" хоч і потрапила в список жертв, але її видобуток нафти не постраждала.

У число великих західних компаній, яких торкнулась епідемія Petya, увійшли німецький виробник засобів по догляду за шкірою Beiersdorf, британська рекламна компанія WPP, датська судноплавна компанія Maersk Line, американські компанії Merck & Co., Mondelez і лікарняний оператор Heritage Valley Health System, транснаціональна юридична фірма DLA Piper, французька будівельна компанія Saint-Gobain і її роздрібні і дочірні підприємства в Естонії. Жертвою вірусу став і найбільший контейнерний порт Індії JNPT, при цьому всі операції в порту зупинилися.