20 лет назад мир столкнулся с эпидемией вируса ILOVEYOU –– одного из первых вирусов, который использовал социальную инженерию для своих атак. Позднее этот вирус вошел в книгу рекордов Гинесса со статусом самого разрушительного вредоносного кода. Компания Avast распространила пресс-релиз с воспоминаниями своих ведущих экспертов о том, как тогда они боролись с его последствиями, и рассказом о том, нужно ли сейчас ожидать что-то подобное.
Что было 5 мая 2000 года
Луис Корронс, евангелист в области информационной безопасности компании Avast: «Тогда я работал в команде технической поддержки в другой компании, и я очень хорошо помню, что произошло в тот день. Я должен был работать в ночную смену с 10 вечера до 8 утра, поэтому я был дома, когда я услышал эти новости. Я не мог поверить, что известия о вредоносных атаках появляются в новостях каждый час, такого никогда раньше не было. Тогда я пошел на работу раньше, в 6 вечера, а закончил работу в 10 утра. Я помню, что всю информацию мы отправляли через факс, потому что электронная почта перестала работать, помню подготовку дисков с обновлениями для этого вируса, которые мы должны были отправить с курьерами».
Мартин Хрон, старший исследователь безопасности в Avast: «В компанию, в которой я тогда работал, пришло письмо якобы со счетом, и, к сожалению, бухгалтер открыл этот документ. Мне пришлось написать свой первый антивирус, который был больше похож на программу удаления. Недавно я нашел программу, которой тогда очищал файлы –– она все еще функциональна, даже сегодня».
Эпидемии ILOVEYOU и WannaCry: могут ли они повториться
Если такие атаки еще будут повторяться, то, скорее всего, они будут больше похожи на WannaCry, а не на вирус ILOVEYOU.
Вредоносные программы сегодня могут распространяться очень быстро, гораздо быстрее, чем вирус ILOVEYOU 20 лет назад. Спустя несколько лет после того, как вирус ILOVEYOU начал распространяться, мы увидели, что черви могут распространяться гораздо быстрее без взаимодействия с пользователем, при этом затрагивая миллионы людей по всему миру. Скорее всего, мы увидим больше атак, которые осуществляются через ботнеты. Они, как и WannaCry, станут более автоматизированными, более сложными, и будут проводиться уже в несколько этапов. Сегодня атака может быть спровоцирована пользователем, который просто откроет фишинговое письмо или нажмет на фишинговую ссылку. Мы видели случаи, когда переход по вредоносной ссылке приводил к компрометации маршрутизатора сети. Это может открыть больше бэкдоров для системы пользователя или, в конечном итоге, перенаправить сеансы просмотра пользователя на вредоносные веб-сайты, которые могут нести больше угроз. Они могут использовать вымогателей, похитителей паролей, сканировать интернет для выявления потенциальных жертв.
Цели нападений тоже значительно изменились за последние два десятилетия. Вирусы в начале 1990-х были больше похожи на доказательство умений и были предметом гордости для своих авторов. Сейчас все по-другому. Вредоносные программы –– это хорошо отлаженные инструменты для заработка денег, которые распространяют вымогателей среди компаний, банков; они могут распространять фейковые новости для пропаганды и спонсируемых государствами кибервойн.
Кроме того, тогда электронная почта была единственным инструментом цифровой связи, который использовали компании. Не было чата в приложениях, например, таких как Slack. Антивирусные компании были вынуждены отправлять инструкции через факс, потому что компании больше не могли получать какие-либо электронные письма: объем трафика, который генерировал вирус, заставил компании отключиться.
Какие методы используют злоумышленники в наши дни
В наши дни к Bнтернету подключены миллиарды устройств. Для того, чтобы вредоносные программы широко и быстро распространялись, они должны использовать уязвимости, которые позволяют им заражать устройства и распространяться без взаимодействия с пользователем, подобно тому, как вел себя WannaCry. Например, червь может использовать многочисленные уязвимости устройств Интернета вещей и благодаря им может вызвать атаку на жилые дома и предприятия по всему миру.
Плюс, значительно расширили возможности для масштабирования атак злоумышленниками устройства Интернета вещей. Подобные устройства все время подключены к Cети, а значит, они всегда доступны для атаки. Это, в сочетании с большим количеством уязвимых устройств, делает массовую атаку неизбежной. Мировое заражение, пандемия, всегда начинается с одной широко распространенной уязвимости. В последние несколько лет мы наблюдаем массовый всплеск атак на встроенное ПО умных устройств или компьютеров без взаимодействия с пользователем. Причина этой тенденции заключается в том, что эти атаки проходят незаметно и неопытным пользователям их сложно обнаружить.