ФСК ЕЭС предупредила директоров региональных филиалов о возможности в ближайшее время новой атаки с применением компьютерных вирусов-шифровальщиков.
МОСКВА, 9 августа (BigpowerNews) — В ближайшее время возможна новая
кибератака с применением компьютерных вирусов-шифровальщиков, направленных на
отказ в обслуживании элементов вычислительной инфраструктуры. Об этом
энергокомпания ФСК ЕЭС (управляет Единой национальной электросетью)
предупредила директоров региональных филиалов, сообщил Telegram-канал
«Сайберсекьюрити и Ко», сообщают «Ведомости». Представитель ФСК газете
подтвердил отправку такого письма.
За последние три месяца по миру прокатилось две волны так называемых
вирусов-шифровальщиков – WannaCry и NotPetya. Они проникали на компьютеры с
операционной системой Windows, где не были установлены обновления, шифровали
содержимое жестких дисков и требовали выкуп за расшифровку. Первая атака
затронула сотни тысяч компьютеров более чем в 150 странах, вторая – свыше 10
000 компьютеров в 65 странах. Жертвами этих атак стали, в частности, российские
«Мегафон» и «Роснефть», напоминают «Ведомости».
ФСК попросила директоров ограничить доступ пользователей корпоративной сети
к интернету с 4 по 14 августа, а также предупредить сотрудников, чтобы они не
открывали вложения от неизвестных отправителей и не переходили по посторонним
ссылкам в электронной почте. Это превентивная мера, часть обычной практики по
обеспечению безопасной работы пользователей корпоративной сети, приводят
«Ведомости» слова представителя компании. Все громкие вирусные атаки были
направлены на компьютеры административного персонала и были успешными именно
из-за низкой информированности работников. Почему ФСК предупредила менеджмент
именно сейчас и что послужило основанием для этого, компания не сообщила.
Опрошенным «Ведомостями» компаниям, специализирующимся на информационной
безопасности, не известно о возможной подготовке новой кибератаки.
Автор «Сайберсекьюрити и Ко», специалист по кибербезопасности Александр
Литреев объясняет, что следы подготовки к атаке зачастую видны: компании имеют
возможность отслеживать подозрительную активность на своих серверах. Когда
кто-то интересуется открытыми портами на этих серверах, это может
свидетельствовать о подготовке к атаке, пишут «Ведомости».
Вложенные файлы удерживают первое место среди способов проникновения в
информационные системы банков, госорганизаций и промышленных корпораций,
рассказывает заместитель директора центра компетенций Positive Technologies
Алексей Новиков. По его словам, до 30% сотрудников открывают потенциально
опасные вложения.
А внутри файла может быть как троян, организующий удаленный доступ к
рабочему компьютеру жертвы, так и вирус-шифровальщик, объясняет он.
Такие письма злоумышленники распространяют массово и без разбора,
рассказывает старший вирусный эксперт ESET Антон Черепанов. Приходят они и в
компании, которые можно отнести к объектам критической инфраструктуры. Есть
вероятность, что история с вирусами повторится и на объектах критической
инфраструктуры, не исключает замруководителя лаборатории компьютерной
криминалистики Group-IB Сергей Никитин. По его мнению, последствия могут быть
любыми – от остановки внутренних процессов до техногенных катастроф с
человеческими жертвами. Вирусу без разницы, куда проникать: например, WannaCry
был зафиксирован не только на обычных компьютерах, но и в банкоматах, указывает
представитель «Доктора Веба». Компании с критической инфраструктурой уже
сталкивались с подобными угрозами. Новиков из Positive Technologies напоминает,
что волна заражений вирусом Petya на Украине затронула IT-системы кабинета
министров, аэропорта «Борисполь», Киевского метрополитена и даже компьютеры
Чернобыльской атомной станции. А в августе 2012 г. произошла атака на
корпоративную сеть Saudi Aramco (национальная нефтяная компания Саудовской
Аравии), напоминает руководитель российского исследовательского центра
«Лаборатории Касперского» Юрий Наместников. С нескольких десятков тысяч
компьютеров была стерта информация, и они перестали загружаться. Работа
компании была приостановлена на неделю и отгружать нефть ей приходилось «под
честное слово», поскольку документы о сделках были уничтожены, рассказывает
Наместников.
Для недопущения вирусных атак нужно своевременно обновлять программы,
пользоваться белыми списками исполняемых программ и проверять почтовые вложения
в специальном окружении (так называемые «песочницы»), советуют ведущий аналитик
«Доктора Веба» Вячеслав Медведев и Никитин из Group-IB. Они также рекомендуют
периодически проводить аудит и разделять компьютерные сети компании на части,
чтобы защитить не пораженные вирусом участки. Для распознавания готовящихся
атак есть специальные сервисы Threat Intelligence, напоминает руководитель
поддержки продаж ESET Виталий Земских. А Наместников советует не забывать о
резервном копировании данных, пишут «Ведомости».