27 июня 2017 в Украине была зафиксирована масштабная кибератака, которая одновременно поразила и блокировала деятельность десятков, а впоследствии и тысяч государственных и коммерческих структур страны.
За первые трое суток в Национальную полицию Украины обратилось более 2 тысяч юридических и физических лиц с сообщениями о блокировании работы компьютерной техники в результате распространения вируса. С официальными заявлениями, по состоянию на 30 июня, в полицию обратились 309 организаций частного сектора и 111 организаций государственного сектора страны. Хакерская атака осуществлялась с использованием злоумышленниками вредоносной программы-разрушителя под названием Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особенность действия вируса заключается в поражении компьютеров и серверов под управлением ОС Microsoft Windows и предусматривает перезапись информации на жестких дисках.
В результате заражения компьютерного оборудования вирусом появлялось сообщение от кибермошенникам с предложением выплаты «выкупа» за разблокировку пораженных данных (приобретение ключа дешифрования) в размере 300 долларов в цифровой валюте – биткоины. Однако эксперты отмечают, что вредоносное программное обеспечение (ПО) Diskcoder.C не является «шифровальщиком» и не относится к категории «ransomware» (программ-вымогателей). Таким образом, поврежденные данные невозможно «расшифровать» и восстановить. Есть только возможность восстановить другие файлы, которые не попали под действие Diskcoder.C. Ключевая цель программы-уничтожителя заключалась в выведении компьютерного оборудования из строя и блокировании работы компаний. Поэтому, Diskcoder.C является наглядным примером того, что платить выкуп преступникам ни в коем случае нельзя. Попадание к кибермошенникам «на крючок» может обернуться не только потерей файлов, но и потерей средств.
Экспертами установлено, что поражение информационных систем украинских компаний преимущественно происходило через обновление программного обеспечения «M.E.Doc», предназначенного для отчетности и документооборота. По полученным киберполицией данным, которые подтверждены правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения.
Специалисты отмечают, что атака Diskcoder.C, начатая 27 июня, имела предшественников. Начало системных нападений на «украинские компьютеры» – это первые атаки, которые были осуществлены в марте-апреле 2017 года (когда происходило как заражение компьютеров вирусом-шифровальщиком с помощью писем, якобы, от Государственной налоговой службы, или от банка). Специалисты отмечают ряд схожих признаков, которые связывают весенние атаки, атаку Diskcoder.C, а также кибернападения на объекты критической инфраструктуры в Украине, совершенные за последние несколько лет.
С каждым годом вопрос безопасности данных становится все более весомым как для организаций различных масштабов и отраслей, так и для каждого отдельного пользователя. Эксперты Украинской межбанковской Ассоциации членов платежных систем ЕМА подчеркивают важность донесения информации о необходимости принятия превентивных мер и последствиях уплаты «выкупа» киберпреступникам, принимая во внимание опыт последних массовых кибератак в Украине и мире, связанных с применением злоумышленниками вирусов-разрушителей и вирусов-вымогателей.
Для защиты компьютерного оборудования от программ-уничтожителей (в частности вредоносного ПО Diskcoder.C) специалисты советуют:
Все то, что может быть причастно к фазе инициации атаки вирусом (как правило это: сервер/ПК, «M.E.Doc», контроллер домена), необходимо отключить, сделать копии жестких дисков, переустановить. Перед этим подключаться к Интернету и локальной сети нельзя.
Изменить свои пароли к административным учетным записям на компьютерах и файерволах (при формировании пароля используйте как минимум 10 символов – 2 большие буквы, 2 маленькие буквы, 2 цифры, 2 символа. Не следует использовать обычные слова из словаря).
Изменить пароли к электронной почте и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.
Воспользуйтесь рекомендациями по восстановлению доступа к пораженной вирусом операционной системе, которые приведены на сайте Департамента киберполиции Национальной полиции Украины.
Сегодня вирусы-разрушители и программы-вымогатели являются проблемой международного масштаба, которая требует безотлагательного разрешения. По результатам первого квартала 2017 года, 6 из 10 вредоносных ПО составляли именно вирусы-вымогатели, По данным специалистов «Лаборатории Касперского», каждые 40 секунд коммерческие и государственные учреждения по всему миру подвергаются атакам вирусами-вымогателями, при этом индивидуальные атаки происходят каждые 10 секунд. Согласно прогнозам исследовательской компании Cybersecurity Ventures, ожидается, что в 2017 году глобальные потери в результате действий кибервымогателей будут превышать 5 млрд. долларов, по сравнению с суммой убытков в размере 325 млн. долларов в 2015 году.