Журнал "Information Security/ Информационная безопасность" #5, 2018

злоумышленников, использую- щих IoT-устройства для атак на компьютерные системы и сети. Атаки программ-вымогателей Несмотря на глобальное уменьшение количества поль- зователей, атакованных про- граммами-вымогателями, про- цент компьютеров АСУ, на кото- ром были заблокированы атаки вымогателей, вырос с 1,2 до 1,6%. Хотя этот показатель и кажется не очень значитель- ным, опасность такого рода вре- доносных программ для про- мышленных предприятий труд- но недооценивать после Wan- naCry и ExPetr. В первом полугодии вымога- тели напомнили о себе опасной ситуацией, возникшей в меди- цинском учреждении в резуль- тате заражения вредоносным шифровальщиком. Согласно сообщениям СМИ, злоумыш- ленники атаковали Федераль- ный центр нейрохирургии в Тюмени. В ходе атаки злоумыш- ленникам удалось получить доступ к серверам, на которых располагались компоненты медицинской информационной системы "МЕДИАЛОГ", исполь- зуемой в качестве базы данных для снимков, результатов ана- лизов и другой информации, необходимой в процессе лече- ния пациентов. В результате в тот момент, когда необходимо было начать экстренную операцию на голов- ном мозге 13-летней пациентки, обнаружилось, что система "МЕДИАЛОГ" недоступна, как позже выяснилось, из-за того, что файлы, необходимые для работы сервисов, были зашиф- рованы вредоносной програм- мой. К счастью, медикам уда- лось успешно провести опера- цию, несмотря на потерю досту- па к значимой информации о результатах диагностики. Центр нейрохирургии в Тюме- ни оказался не единственной жертвой данной серии атак. Установлено, что злоумышлен- ники целенаправленно атако- вали именно медицинские учреждения, при этом шифро- ванию подверглись исключи- тельно файлы, находящиеся на серверах, которые обеспечи- вают работу сервисов, крити- чески важных для работы орга- низации. Это говорит о наме- рении причинить как можно больший ущерб рабочим про- цессам медицинской организа- ции. Эта серия атак является ярким примером того, что зло- умышленники могут не просто выводить из строя компьютер- ные системы медицинских учреждений, но и оказывать непосредственное влияние на процесс лечения пациентов. Атаки на промышленные предприятия с использованием RAT Продуктами "Лаборатории Касперского" были предотвра- щены множественные попытки атак, направленные на техно- логическую сеть автомобиле- строительной/сервисной компа- нии, в частности на компьюте- ры, предназначенные для диаг- ностики двигателей и бортовых систем грузовиков и тяжелой техники. По меньшей мере на одном из компьютеров в технологи- ческой сети компании был уста- новлен и периодически исполь- зовался RAT. В течение нескольких месяцев на этом компьютере было заблокиро- вано множество попыток запус- ка различных вредоносных про- грамм, запускаемых через RAT. Среди прочих были заблоки- рованы модификации вредо- носного ПО, детектируемого как Net-Worm.Win32.Agent.pm. Примечательно, что в случае запуска данный червь неза- медлительно начинает распро- странение по локальной сети, используя эксплойты для уязвимостей MS17-010 – те самые, которые были опубли- кованы ShadowBrokers весной 2017 г. и применялись в атаках нашумевших шифровальщиков WannaCry и ExPetr. Помимо этого было заблоки- ровано вредоносное ПО семей- ства Nymaim. Представители этого семейства часто являются загрузчиками модификаций ботнет-агента семейства Necus, который, в свою очередь, часто используется для заражения компьютеров вымогателями семейства Locky. Основываясь на периодично- сти попыток запуска вредонос- ного ПО через RAT и других данных, мы полагаем, что эти аутентификации RAT были скомпрометированы и исполь- зовались злоумышленниками для атаки из Интернета на ком- пьютеры данной организации. Наличие программ для уда- ленного администрирования (RAT) на компьютерах АСУ ино- гда является производственной необходимостью, однако они становятся очень опасными, если используются злоумыш- ленниками или попадают под их контроль. География Сравнение показателей раз- личных регионов мира (рис. 4) демонстрирует, что: l страны Африки, Азии и Латинской Америки являются гораздо менее благополучными по проценту атакованных ком- пьютеров АСУ, чем страны Европы, Северной Америки и Австралии; l показатели Восточной Евро- пы заметно выше, чем Запад- ной; l процент атакованных ком- пьютеров АСУ в Южной Европе выше, чем в Северной и Запад- ной Европе. Можно предположить, что такая ситуация связана с объе- мами средств, вкладываемых организациями в решения для защиты инфраструктуры. По оценкам аналитической компа- нии IDC, в 2017 г. крупнейшими рынками ИБ с географической точки зрения являлись США и Западная Европа. 14 • СПЕЦРАЗДЕЛ Рис. 3. География атак на системы промышленной автоматизации, первое полугодие 2018 г., процент атакованных компьютеров АСУ в стране Рис. 4. Доля атакованных систем АСУ в различных регионах мира, второе полугодие 2017 г. и первое полугодие 2018 г. Центр реагирования на инциденты информационной безопасности промышлен- ных инфраструктур "Лабора- тории Касперского" (Kasper- sky Lab ICS CERT) – гло- бальный проект "Лаборато- рии Касперского", нацелен- ный на координацию дей- ствий производителей систем автоматизации, вла- дельцев и операторов про- мышленных объектов, исследователей информа- ционной безопасности при решении задач защиты про- мышленных предприятий и объектов критически важ- ных инфраструктур.