WannaCry на производстве в 2019-м: да, это реальность для устаревших систем

Опубликовано at 12:51
220 0

Исследователи кибербезопасности из Trend Micro опубликовали отчет, из которого следует, что промышленные предприятия чаще по сравнению с другими сферами используют устаревшее оборудование и операционные системы.

Хотя с целью повышения эффективности производства промышленные предприятия все чаще полагаются на сочетание цифровых и физических систем, на самом деле  повсеместное применение различных технологий и концепций, включая IoT, машинное обучение и big data, значительно УВЕЛИЧИВАЮТ поверхность атак, особенно в сочетании с устаревшим оборудованием или программным обеспечением.

Результаты подробного анализа угроз и рисков, с которыми сталкивается промышленный сектор, приведены в отчете компании.

Из доклада, в частности, можно сделать вывод, что почти 5% из 150 тыс. промышленных компьютеров работают на базе Windows XP (в других секторах показатель составляет 3%), 60,2% – под управлением Windows 7 и только 28,9% – на базе Windows 10.

Как полагают эксперты, такая ситуация, скорее всего, связана с длительными сроками службы специализированного оборудования и тем, что многие компании придерживаются принципа «не трогать работающую систему». Вместе с тем, «в связи с длительным сроком эксплуатации производитель может посчитать аппаратное обеспечение устаревшим или прекратить поддержку оборудования. В некоторых случаях оборудование может лишиться поддержки в результате слияния или приобретения его производителя другим вендором. В таких ситуациях поддержка программного обеспечения для управления оборудованием может прекратиться, в результате вынуждая операторов оборудования использовать устаревшие операционные системы для обеспечения его работы», – говорят Trend Micro.

Чаще всего промышленные организации сталкиваются с червями, хакерскими программами, майнерами криптовалюты и вымогательским ПО. В частности, одними из наиболее распространенных угроз до сих пор является WannaCry и другие вредоносы, распространяемые через USB-накопители, которые часто эксплуатируют файлы autorun.inf, используемые для автоматического запуска приложений в Windows. По числу таких файлов промышленный сектор (25%) значительно опережает другие сферы, в том числе правительственную (13%), сферу образования (12%), здравоохранения (11%) и технологический сектор (5%).

Специалисты Trend Micro также предупреждают о рисках, представленных уязвимостями в промышленных системах управления (АСУ ТП). По данным американского центра реагирования на компьютерные инциденты ICS-CERT, в минувшем году в промышленном оборудовании было найдено более 120 уязвимостей, причем для многих из них доступны рабочие эксплоиты.

Напомним, что АКБ ранее писало по теме WannaCry и его потенциальной опасности в 2019 году:

Казалось бы, легендарное творение северокорейских кулибиных, вирус-шифровальщик WannaCry, уже относится не то, что к прошлому, а к мифам и легендам (с эпидемии прошло два года, вечность по меркам сети). Однако это не так. Напомним, как это было, и почему стало резко актуально сейчас.

12 мая 2017 года полмиллиона компьютеров по всему миру подверглось атаке вирусом WannaCry, который требует перечисления денег за снятие блокировки с операционной системы. Наибольшее число кибератак (предположительно) северокорейским вирусом наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, «Мегафона» и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.

Британский программист Маркус Хатчинс получил известность после того, как случайно обнаружил способ остановить WannaCry, зарегистрировав домен с очень длинным названием. Это стало началом конца эпидемии. Как сообщало ранее АКБ, в 2018 самому Хатчинсу были предъявлены обвинения – в создании сразу двух вирусов-вымогателей, банковского трояна Kronos и вредоноса UPAS Kit. Но это уже совсем другая история.

Домен-выключатель работает до сих пор. В настоящий момент ИБ-сообщество обеспечило сайту защищенный хостинг с защитой от DDoS-атак, чтобы преступники не смогли вывести его в оффлайн (по крайней мере, обычными методами). Но если какой-либо форс-мажор сделает ресурс недоступным, зловредный код на всех зараженных компьютерах вновь перейдет в боевой режим.  Предположим, что подобное произойдет в 2019 году. Чем это грозит?

Согласно декабрьскому отчету компании Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю», исходящих от более чем 630 тысяч уникальных IP-адресов в 194 странах. По числу попыток подключения лидируют Китай, Индонезия, Вьетнам, Индия и Россия. В рабочие дни количество попыток возрастает по сравнению с выходными. И это не только персональные компьютеры, но и, например, АСУ ТП. Или канатные дороги.

Эти сотни тысяч (даже скорее миллионы) машин остались заражены первой версией вредоноса, которая продолжала обращаться к killswitch-домену за сигналом к атаке. Присутствие вымогателя на столь большом количестве компьютеров может обернуться серьезной проблемой – для его активации достаточно одного масштабного сбоя в Сети, подчеркивают специалисты. Домен-выключатель преступники оставили как лазейку, чтобы при необходимости остановить эпидемию. Положить домен – и для сети это будет эффект атомной бомбы.

…Эксперты «Лаборатории Касперского» насчитали сотни тысяч устройств, по-прежнему уязвимых перед шифровальщиком WannaCry. По данным компании, в III квартале 2018 года на него пришлось 29% (75 тысяч инцидентов) всех атак зловредов-вымогателей — на 12% больше, чем в аналогичный период прошлого года.

К настоящему моменту с эпидемии WannaCry прошло полтора года, итоговый ущерб от действий вредоноса (предположительно сделанного в Северной Корее), охвативших 500 тысяч машин в 150 странах мира, превысил $8 млрд.

Подписываемся, следим @CyberAgency

Related Post