Интернет-ресурсы сразу нескольких российских СМИ подверглись кибератаке во вторник, 24 октября. Закономерности в момент выбора жертв выявить сложно: в их числе как и оппозиционные, так и лояльные властям издания: «Новая газета», «Фонтанка», «Интерфакс», «Федеральное агентство новостей», «Интерфакс» и ряд иных. Некоторые из них уже восстановили свою работу, иным (например, «Интерфаксу») сделать это до сих пор не удалось.
В данный раз идет речь не о DDoS-атаке, которые, как правило, в один момент времени обрушиваются на какой-то один сервер, а о вирусе-шифровальщик BadRabbit.
Как сообщают представители компании Group-IB, специализирующейся на информационной безопасности, вирус который атаковал также аэропорт "Одесса" и киевское метро. Он блокирует сервера и рабочие станции, шифруя данные. Доставка вируса происходит с применением фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической помощи компании Microsoft.
После блокировки пользователя адресуют на сайт в децентрализованной сети Tor, на котором предлагается внести выкуп в биткоинах для возрождения данных.
Благодаря этому хакеры остаются полностью анонимными: их невозможно «взять с поличным» при получении денег. Расчет идет на то, что сумма выкупа окажется меньше, чем потери из-за простоя IT-инфраструктуры, и жертва предпочтет платить, чтобы продолжить нормальную работу.
Разумеется, оплата выкупа не гарантирует возвращения дееспособности зараженных компьютеров, и при разблокировке не охраняет от аналогичных атак впредь: и наоборот, хакеры будут знать, что жертва потенциально готова откупаться, из этого видно, ее можно попробовать «подоить» снова.
При этом на сайте работает таймер, отсчитывающий время до увеличения стоимости разблокировки, что стимулирует поторопиться с оплатой. Стартовая стоимость составляет 0,05 биткоина: это 287 долларов США. Для приватного пользователя сумма великовата, и проще переустановить Windows; а вот для бизнеса потери от утраты данных на порядки выше.
Для защиты от шифровальщика рекомендуется воспретить в Windows использование сервиса WMI, а также заблокировать исполнение файлов c:\windows\infpub.dat, C:\Windows\cscc.dat., рекомендуют эксперты «Лаборатории Касперского».
На самом деле вряд ли стоит панически опасаться злобных хакеров. Во-первых, критически важные данные необходимо держать в нескольких резервных копиях, причем как в защищенном облаке, так и на носителях, не подключенных к какому-либо из компьютеров. Во-вторых, элементарная информационная гигиена решает большинство проблем с вирусами: в большинстве случаев вирус не приходит сам по себе из интернета, а заносится с помощью методов социальной инженерии: неопытного пользователя просят куда-либо кликнуть, перейти по какой-то ссылке, открыть вложенный файл и т.п. Если этого оборваться а при этом пользоваться даже базовым антивирусом, вероятность заражения шифровальщиком крепко убавляется, хотя в данном случае нельзя исключать и целенаправленной атаки на корпоративные сети с применением обнаруженных уязвимостей.