Эксперт по кибербезопасности ESET Ондрей Кубович: Мы советуем людям, пострадавшим от нового вируса-шифровальщика Tycoon, не платить выкуп хакерам - нет никаких гарантий того, что они будут расшифровыв
Интервью
Недавно специалисты по кибербезопасности выявили новый, опасный для операционных систем Windows и Linux, вирус-шифровальщик, который способен долго оставаться незамеченным на компьютере. Специалист словацкой компании - разработчика антивирусного программного обеспечения ESET Ондрей Кубович рассказал УНИАН об особенностях этой атаки и других новых видах хакерских угроз, операционных системах, которые чаще других подвергаются заражению, а также дал советы пользователям, как максимально защитить свои данные от злоумышленников.
Неделю назад мир всколыхнула опасная хакерская атака - специалисты компании Blackberry обнаружили новый вирус-шифровальщик Tycoon, который может долго оставаться незаметным для антивирусов, и несет угрозу для операционных систем Windows и Linux, при том, что последняя - длительное время считалась одной из самых защищенных платформ. Основными жертвами вируса стали организации в сфере образования, разработчики программного обеспечения и компании среднего и малого бизнеса. И хотя вредоносная программа еще не добралась до Украины, ее обнаружение свидетельствует о том, что действия хакеров с каждым разом становятся более изощренными, и опасным угрозам могут быть подвержены любые операционные системы в любой точке мира.
В связи с этим, УНИАН пообщался с экспертом по кибербезопасности международного разработчика антивирусного программного обеспечения ESET и разузнал о том, насколько опасен нововыявленный вирус, какие другие виды атак становятся популярны среди хакеров, и что делать пользователям для того, чтобы чувствовать себя в безопасности в сети.
Недавно специалисты по кибербезопасности сообщили о новом вирусе-шифровальщике Tycoon, который опасен для операционных систем Windows и Linux и незаметен для антивирусов. Можете ли вы рассказать, как совершается подобная атака?
Злоумышленники, как правило, проникают в сеть через плохо защищенный протокол удаленного рабочего стола (RDP), используя метод перебора всех возможных вариантов комбинаций. Как правило, успех хакерской атаки возможен благодаря слабым паролям и отсутствию дополнительных факторов защиты - двухфакторной или многофакторной аутентификации. После преодоления этого первого препятствия киберпреступники получают права администратора, выключают решение по безопасности, поскольку подобные изменения часто не защищены паролем, а затем распространяют основной компонент в сети (непосредственно программу-вымогатель). После шифрования злоумышленники, как правило, оставляют сообщение с требованием выкупа или с адресом страницы в сети TOR, где можно договориться о точной цене за возвращение данных.
Возможно ли восстановить утерянные данные в результате подобной атаки, и каким образом?
Многие известные семейства программ-вымогателей имеют достаточно совершенные и правильно реализованные механизмы шифрования. Как правило, это означает, что оригинальные данные недоступны для восстановления жертвой при отсутствии резервных копий, которые не были повреждены во время атаки. Наличие возможности расшифровки файлов зависит от семейства и версии программ-вымогателей. Чтобы узнать о конкретной версии или семействе, стоит обратиться в службу поддержки поставщика решений по безопасности.
Есть ли смысл платить деньги киберпреступникам? То есть, каковы гарантии того, что выполнение требований хакеров сможет защитить от негативных последствий?
Мы советуем людям, пострадавшим от нового вируса-шифровальщика Tycoon или любых других угроз, не платить выкуп киберпреступникам. В некоторых случаях возможна расшифровка данных, в других - поможет резервное копирование. Оплачивая выкуп, жертва также способствует дальнейшим атакам программ-вымогателей и развитию этого преступного бизнеса. При этом, нет никаких гарантий того, что злоумышленники могут или будут расшифровывать файлы.
Стоит отметить, что такие известные семейства кибепреступников, как Sodinokibi, Maze, DoppelPaymer, как правило, осуществляют расшифровку (за очень большую цену), чтобы сохранить свою «репутацию».
Ранее операционная система Linux считалась одной из самых надежных и неуязвимых для вирусов. Однако, в последнее время мы все чаще замечаем различные угрозы именно для этой системы. С чем это связано? И считается ли она по-прежнему такой же защищенной, как и раньше?
Linux всегда была целью злоумышленников, в том числе авторов программ-вымогателей. Однако, в связи с высоким уровнем популярности система Windows больше привлекает хакеров. При этом, последние несколько лет растет интерес киберпреступников к другим платформам, таким как Linux, Mac и Android.
Какая динамика появления новых вирусов в мире?
Специалисты и системы ESET ежедневно обрабатывают 300 тысяч новых образцов потенциально опасных файлов. Уровень распространения конкретного вредоносного программного обеспечения зависит от многих факторов - тенденций среди пользователей (например, работа из дома), популярности технологий и платформ, а также стихийных бедствий или глобальных проблем, например, пандемии.
О каких других интересных угрозах, которые появились в последнее время, вы можете рассказать?
Недавно киберпреступники в дополнение к шифрованию данных начали похищать конфиденциальную информацию жертв и угрожать ее публикацией в интернете. В таких случаях давление на жертву увеличивается из-за потенциальных финансовых потерь, ущерба репутации, потери конкурентных преимуществ и возможных штрафов (согласно GDPR, CCPA) за утечку данных в интернет.
Кроме того, по итогам первого квартала 2020 года, примерно на треть выросло количество выявленного программного обеспечения для преследования. Этот вид является необычной категорией угроз, поскольку часто для преследования используют легитимные инструменты, например, приложения для родительского контроля или управления продуктивностью сотрудников. Однако, по результатам исследований, их часто используют не по назначению.
Какие устройства наиболее уязвимы перед хакерами? Какие операционные системы?
Чаще всего целью хакерских атак становится платформа Windows, включая приложения и другое программное обеспечение. Кроме того, специалистам ESET даже удалось зафиксировать атаки на интерфейс UEFI, который предшествует запуску операционной системы, с использованием вредоносного программного обеспечения Lojax.
Злоумышленники сосредотачиваются на операционной системе Microsoft в связи с широким использованием и популярностью, универсальностью, а также сложной архитектурой - миллионы строк кода содержат практически неограниченное количество уязвимостей. Однако, это не означает, что платформа Microsoft содержит наибольшее количество уязвимостей, просто она является самой популярной целью атак.
Но ситуация может измениться в любой момент (как это проиллюстрировано повышением интереса к Android и Linux). Кроме того, существуют кроссплатформенные угрозы, например, майнеры криптовалют, которые могут атаковать пользователей независимо от операционной системы.
Что делать пользователям для того, чтобы максимально защитить себя? Если говорить о том же вирусе Tycoon, поскольку, как сообщали специалисты Blackberry, он незаметен для антивирусов, вероятность «подцепить» его становится выше. Как пользователи могут быть уверены в сохранности своих данных?
Tycoon не является незаметным для систем безопасности. Злоумышленники просто используют технику, которая эффективно удаляет решение по безопасности. Чаще всего это возможно из-за неправильной конфигурации систем.
Для того, чтобы эффективно защитить свои данные, пользователям необходимо настроить и обеспечить защиту RDP - с помощью надежного пароля, двухфакторной аутентификации, - а также использовать RDP только для тех пользователей, которые в этом действительно нуждаются. Стоит обновлять операционную систему и другое программное обеспечение для исправления известных уязвимостей, и использовать актуальную версию антивирусного ПО, поскольку механизм выявления требует регулярного обновления. Также необходимо защитить с помощью пароля любые изменения в настройках системы безопасности. Важно регулярно повышать уровень осведомленности сотрудников об актуальных угрозах, осуществлять резервное копирование всех важных данных и хранить их в надежном месте вне основной сети (таким образом, к ним нельзя будет получить доступ в случае инцидента). Большим компаниям следует также рассмотреть возможность использования современных инструментов для отслеживания угроз (EDR) и решений для анализа в облачной песочнице, а также позаботиться о квалифицированном персонале по кибербезопасности, чтобы иметь потенциал и возможности быстрого реагирования на инциденты.
Очевидно, действия хакеров становятся более изощренными, и они постоянно придумывают новые методы обхода различных защитных механизмов. Что делают специалисты по кибербезопасности для эффективного противодействия?
Специалисты по кибербезопасности следят за развитием вредоносных программ и постоянно создают новые уровни и технологии, которые позволяют выявлять вредоносную активность. Например, за последние несколько лет во многие антивирусные решения была добавлена современная технология машинного обучения. Также в связи с распространением RDP-атак компания ESET разработала новую технологию, которая способна обнаруживать и блокировать их.
Кроме того, в продуктах ESET используется несколько уровней для защиты от программ-вымогателей (антиспам, антифишинг, защита от сетевых атак, родовые выявления). В действии работу этих уровней можно увидеть на примере атаки WannaCryptor, во время которой с помощью защиты от сетевых атак удалось заблокировать эксплойт (EternalBlue) и, таким образом, защитить пользователя от шифрования данных. Также специалисты по безопасности повышают осведомленность о киберугрозах, помогая бизнесу усилить безопасность и улучшить уровень подготовки сотрудников в случае возникновения инцидента.
Надежда Бурбела