На Урале зафиксирован всплеск активности вирусов-"шифровальщиков", атакующих малый бизнес

– Александр, многие из нас уже не понаслышке знакомы с шифровальщиками, которые пишут сообщения с требованием перечислить несколько сотен рублей на чей-то телефон, и с исчезнувшими фотографиями, и с похищенными через онлайн-банкинг деньгами, и так далее. Есть ли своя специфика в угрозах для малого бизнеса или они примерно те же, что и у обычного пользователя?

– Специфика, безусловно, есть. Дело в том, что малый бизнес – явление популярное: таких компаний действительно много, и они генерируют серьёзную прибыль. И, как следствие популярности, они становятся целью кибератак. Причём иногда они не являются конечной целью этих атак.

Не секрет, что многие малые компании работают с какой-либо корпорацией или холдингом: это может быть дочернее малое предприятие, входящее в холдинг, или простой подрядчик, контрагент. Но если крупные компании намного лучше подготовлены к защите от разнообразных угроз, то малые часто уделяют этому вопросу недостаточно внимания. И киберпреступники могут атаковать небольшую компанию как более слабую, чтобы через ее инфраструктуру атаковать уже крупную компанию.

Этот пример – разновидность всё чаще встречающихся таргетированных (или целевых) кибератак, то есть таких, когда их организатор точно знает, какое предприятие его цель, что и где он должен сделать, куда проникнуть, что убрать, чтобы навредить именно этой компании. Зачастую такие атаки являются оружием в конкурентной борьбе. Но за счёт сложности и высокой стоимости организации такой атаки, они пока не получили действительно масштабного распространения. В отличие от ещё одной угрозы, которую мы фиксируем как настоящую эпидемию: речь о так называемых программах-"шифровальщиках", которые направлены на блокировку конкретных файлов – например, в формате .docx, .xls, .jpeg.

– Это похоже на вирус-"пенетратор", который повреждает все изображения на жёстком диске?

– Не совсем – шифровальщики не повреждают файлы, а лишь шифруют информацию, делая её недоступной для владельца без специального ключа. Такие вирусы могут зашифровать не только изображения, но и базы 1С, базы заказов, клиентские базы, все документы и договоры – и тогда любая компания перенесёт это очень тяжело. В расширение файлов зловред дописывает дополнительную строку, и, например, меняет обои рабочего стола – на изображение с требованием заплатить за расшифровку файлов – это такой вид виртуального шантажа. И пока компания решает, платить ли злоумышленнику, предприятие теряет деньги из-за простоя – невозможно принимать и исполнять заказы, а если у вас есть интернет-магазин или интернет-портал, теряется база лояльных пользователей, невозможно обеспечить выполнение обязательств перед рекламодателями – и таких ситуаций можно представить себе множество. В последнее время, где-то с начала 2013 года, такой вид бизнес-шифрования получил активное распространение.

– А как шифровальщиками обычно заражаются?

– Например, с помощью рассылки. Был случай массовой корпоративной рассылки на ящики с названиями "info", какие есть у множества компаний: приходил файл формата PDF с названием "Судебное решение по…" и дальше следовало имя компании. 99 секретарей из 100 непременно такой откроют, потому что пугаются: судебное решение – и наша компания! На самом же деле под этим документом скрывалась троянская программа, которая зашифровывала данные на локальных дисках, а затем и на сетевых ресурсах компании и на серверах. Ещё был яркий случай, когда одно из местных изданий, ежедневная газета, потеряла за один день всю свою фотобазу – она оказалась зашифрована из-за вируса, принесенного одним из сотрудников на флешке.

– Наверное, самая большая опасность здесь – то, что бизнес останавливается и теряет деньги…

– Совершенно верно. Суммы могут разниться, но в 2013 году мы провели опрос среди российских компаний, и представители СМБ-сегмента назвали нам "средний чек" по урону от успешной вирусной атаки. Получилось около 16 тысяч долларов только лишь за один инцидент информационной безопасности, а таких инцидентов в год происходит не один, и не два.

– Это ущерб от простоя. А специфика хищений средств со счетов у малого бизнеса тоже есть?

– Да, потому что большинство компаний сегодня используют электронные системы дистанционного банковского обслуживания (ДБО), и атаки на них тоже переживают всплеск – это, пожалуй, второе по массовости явление. Так называемые вирусы-шпионы отслеживают состояние счета компании – это, например, банковский троян Zeus, программы SpyEye, Lark. Они долгое время могут находиться в системе, изучать её, но никак не проявлять себя, и поэтому антивирусное ПО может обнаружить их далеко не всегда. Самые продвинутые из них могут "самообучаться", и в какой-то момент, подстроившись под обход системы аутентификации – например, sms-уведомлений о транзакциях, паролей и так далее, – выполняют неавторизованные транзакции уже без ведома пользователя.

Например, после того, как вы авторизовались в системе ДБО, вирус показывает на экране картинку, на которой точно скопировано изображение стандартной ошибки Windows – BSOD (blue screen of death, "синий экран смерти"). В этот момент устройства ввода-вывода информации заблокированы, и пока бухгалтер пытается вызвать администратора, злоумышленник уводит деньги со счёта компании. Отследить эти транзакции очень трудно, потому что владелец или участник активно работающего бизнеса не может назвать точную сумму, до копейки, на счету в данный момент. И о том, что деньги переведены (с учётом заблокированных подтверждений через sms) тоже никто не узнает до ближайшей квартальной отчетности.

Но и это не единственный способ кражи денег со счетов компании – на экране может, например, возникнуть поддельное сообщение, копирующее стилистику банка, с сообщением как раз об ошибочной транзакции и просьбой ввести аутентификационный номер. И если бухгалтер введёт номер – именно тогда произойдет кража, после перехвата этого номера. Помимо этого злоумышленники часто подделывают странички интернет-банкинга популярных банков – поэтому так важно при авторизации всегда проверять адрес страницы в адресной строке браузера.

Мы видим, что количество угроз, связанных с финансовым сектором, стабильно растет. По данным исследования, проведенного компанией B2B International и "Лабораторией Касперского", за предшествующий год с киберугрозами, нацеленными на получение доступа к онлайн-счетам, в мире столкнулись 62% пользователей, а в России – 74%. Любопытна и стоимость "инструмента" для киберграбителей: согласно статистике, которую опубликовал в прошлом году сайт Wired.com, стоимость исходника известных банковских троянов составляет около 200 тысяч долларов.

– А эффективные способы защиты против таких программ уже разработаны?

– Да, здесь достаточно эффективны даже "стартовые" пакеты защитных решений для бизнеса. Но всё же на рынке необходимо развивать комплексный подход к безопасности, чтобы была защита онлайн-операции и на конечном устройстве пользователя, и на стороне банка (на случай если у пользователя не установлено защитного решения). Не стоит забывать и про человеческий фактор: при работе с платёжными системами ответственные сотрудники должны быть особенно внимательными и должны хорошо знать правила безопасной работы с финансовыми приложениями.

– "Человеческий фактор" сейчас серьёзно влияет на уязвимость бизнеса?

– С ним связана одна из самых последних тенденций, получившая название BYOD (bring your own device, "принеси собственное устройство"): когда к каким-либо системам компании, тому же дистанционному банковскому обслуживанию, электронной почте, аналитическим базам и так далее, работники подключаются через личные смартфоны и планшеты. И человек, который находит их забытыми, скажем, в аэропорту, может получить доступ ко всей базе заказов или иной конфиденциальной информации.

– Наверное, это легко объяснимо: многим так удобнее – чтобы не носить с собой и оборудование компании, и своё.

– Меры защиты для этого тоже есть – это MDM-cистемы (Mobile Device Management), которые при грамотной настройке обеспечивают как безопасность корпоративной информации, так и удобство использования. При этом после обнаружения пропажи устройства система даёт возможность оперативно удалить всю важную информацию, и сделать это даже в том случае, если сим-карту из устройства уже извлекли.

– Что за последние годы принципиально изменилось в антивирусной защите малого и среднего бизнеса?

– Руководители бизнеса начали оценивать риски, касающиеся использования нелицензионного (а также условно-бесплатного) защитного программного обеспечения. Среди рисков, во-первых, опасения юридические, связанные с соответствующими проверками и санкциями при использовании нелицензионного ПО. Во-вторых, появилось понимание, что компании, распространяющие бесплатный софт, не могут обеспечить достаточный уровень защиты для противостояния современным угрозам. Следует помнить: если вы не платите за продукт или услугу, то вы не клиент, а товар. В-третьих, для того, чтобы надежно и законно защищать ИТ-инфраструктуру своей компании, даже малому бизнесу с 5 рабочими местами уже не подходит пользовательский продукт: за сопоставимую стоимость сейчас существуют специальные защитные решения для малого бизнеса, которые учитывают возможности и задачи небольших компаний.

Например, ещё пять лет назад, устанавливая программное обеспечение, скажем, на 20 рабочих мест, специалист должен был настраивать каждую машину по отдельности, отрывая, соответственно, сотрудников от работы, тратя не только своя время, но и время компании. Современное защитное программное обеспечение предполагает наличие централизованной системы управления.

– И напоследок самое важное: расскажите, какие правила нужно соблюдать, чтобы минимизировать риски по киберугрозам?

– Они на самом деле не так сложны. Следует регулярно обновлять программное обеспечение (операционные системы, Flash, Acrobat), использовать сложные пароли, устанавливать лицензионный антивирус на все компьютеры и устройства корпоративной сети. Политика безопасности компании должна касаться не только стационарных компьютеров и ноутбуков, но и мобильных устройств, и важно не забывать регулярно обучать пользователей безопасной работе в Интернете.