Кібератаки - шантаж світом - економіка

Актуальні новини в Süddeutsche Zeitung

шантаж

Панель приладів

економіка

Мюнхен

Культура

суспільство

Знання

Кібер-атаки: шантаж світу

Відкрити малюнок на новій сторінці

Охоронений і все ж зламаний: захисний кожух навколо реактора катастрофи на ЧАЕС. Радіоактивність довелося вимірювати вручну після недавньої кібератаки.

(Фото: Serg Glovny/imago/ZUMA Press)

Відомі компанії стають жертвами другої великої кібератаки протягом декількох тижнів. Експерти не рекомендують платити витребуваний викуп.

Янніс Брюль та Хакан Танріверді

Хаос в аеропорту Києва, біля кас супермаркетів на Чорнобильській АЕС: Нове програмне забезпечення для шантажу паралізувало комп’ютерні системи Windows у вівторок. Його творці хочуть викуп у розмірі 300 доларів за комп’ютер, перш ніж випустити його. Потерпілі заплатили більше 10 000 доларів.

Що таке програми-вимагателі?

Вимагач - це назва програм, які блокують операційну систему для свого користувача. Для цього зашифровані окремі відповідні файли або частини жорсткого диска. З поточною версією, яку експерти назвали Petna, заражені комп'ютери змушені перезавантажуватися протягом години. Потім з’явиться повідомлення: "На жаль, ваші важливі файли зашифровані." Зловмисники вимагають викуп, щоб знову звільнити файли.

хто постраждав?

Задіяно більше 10 000 комп’ютерів. У центрі нападів явно були дві держави. Згідно з аналізом компанії з ІТ-безпеки Kaspersky, 60 відсотків уражених систем знаходиться в Україні та 30 відсотків у Росії. Серед компаній, які повідомили про шантаж, є датська судноплавна компанія Maersk, російський виробник нафти "Роснефть", американська фармацевтична компанія Merck та американська харчова компанія Mondelez (марки Milka, Oreo). Після відмови комп’ютера радіоактивність довелося вимірювати вручну на руїнах Чорнобильської АЕС в Україні. Важливі технічні системи станції функціонували нормально.

Федеральне управління з інформаційної безпеки (BSI) заявило, що у Німеччині було здійснено напад на "деякі компанії", проте влада не надала жодних подробиць. Metro підтвердив, що компанія постраждала. Однак лише декілька робочих ПК в Україні були заражені без впливу на споживачів на оптових ринках там. За словами прес-секретаря, у виробництві споживчих товарів Beiersdorf в штаб-квартирі Гамбурга та у світових філіях вийшли з ладу ІТ та телефонні системи. Електронні листи до прес-служби не потрапляли. Вірус поширюється всередині світових компаній.

Як робить Петна?

На думку дослідників ІТ-безпеки, програмне забезпечення використовує декілька каналів на комп’ютері, включаючи вразливість під назвою „Eternal Blue” у так званому протоколі SMB, яку виявила американська спецслужба. SMB використовується для керування тим, які файли та каталоги спільно використовуються в мережі. Програмне забезпечення використовує цей шлях для доступу до інших комп’ютерів. Вразливість була використана під час атаки Wanna-Cry, яка паралізувала системи по всьому світу місяць тому. "Багато організацій ще не оновили свої системи", - говорить ІТ-спеціаліст Джейк Вільямс. Petna також використовує принаймні дві функції Windows для внутрішнього розповсюдження в мережах. Фабіан Восар з компанії ІТ-безпеки Emsisoft пояснює: якщо комп’ютер, який має необхідні права адміністратора в мережі, заражений Petna, зловмисне програмне забезпечення розповсюджуватиметься звідти. Незрозуміло, як відбувається розповсюдження у всьому світі. Описані шляхи використовуються для переміщення всередині мережі. Але як вона взагалі сіла на машини? В гру вступає українська компанія.

Яку роль виконую Ядок?

Кілька фірм, що займаються ІТ-безпекою, зазначають, що компанія, що займається розробкою програмного забезпечення Medoc, може нести відповідальність за поширення Petna. Це пояснювало б, чому Україна особливо постраждала. Для бухгалтерського обліку використовується програмне забезпечення компанії. Microsoft заявила, що аналітики можуть довести, що деякі інфекції походять від Medoc. На думку дослідників безпеки, процес оновлення викрав Medoc: кожна компанія, яка завантажила нову версію програмного забезпечення, контрабандно передавала пакет даних до своєї системи. Українська поліція, відповідальна за кіберзлочини, також оголосила Medoc підозрілою. Сама компанія заперечує, що для нападу використовувалася її система.

Чи можна зупинити атаку?

Якщо комп'ютер заражений, користувачі повинні запобігти перезапуску, каже експерт з ІТ-безпеки Метью Хікі. Комп’ютер шифрує файли лише після перезапуску. Натомість користувачі повинні запустити систему з компакт-диска операційної системи, щоб зберегти файли. Однак, якщо користувачі вже перезапустили комп'ютер, файли зашифровані - можливо, безповоротно. Ось чому дослідники ІТ-безпеки рекомендують регулярно робити резервні копії.

Чи варто платити викуп?

Ні. Експерти не радять платити. Існує достатньо прикладів, коли системи залишалися зашифрованими після сплати викупу. Крім того, оператори Petna використовували електронну адресу німецького провайдера Posteo. Після сплати викупу потерпілі повинні надіслати підтвердження сплати за цією адресою. Але Постео заблокував поштовий рахунок. Тому в даний час жертви не можуть спілкуватися з нападниками, навіть якщо вони заплатили. Ви, ймовірно, не отримаєте свої дані навіть після оплати.

Хто винен у вразливості?

Напад відбувається на тлі дебатів про спецслужби та їх відповідальність за ІТ-безпеку в суспільстві. Тому що отвір безпеки, який експлуатує Петна, спочатку було виявлено АНБ. У деяких випадках спецслужби тримають такі лазівки в таємниці, щоб не дозволити виробникам закрити їх. Тож вони хочуть використовувати лазівки для шпигунства чи саботажу. Однак у випадку з Eternalblue АНБ втратила контроль. Невідомі хакери зламали групу хакерів, які вважаються частиною АНБ, і оприлюднили інформацію про вразливість. Тепер злочинці також можуть здійснити напад, як у випадку з Wanna Cry. Тим не менш, занадто просто шукати відповідальності лише у американських шпигунів - вони не вбудовували слабке місце, вони лише його виявили. А компаніям із системами, які протягом багатьох років були оптимізовані для власних цілей, часто важко встановлювати нові версії операційних систем. Вони часто відкладають запобіжний захід на час та причини.