Хроники вируса, вошедшего в книгу рекордов Гинесса. Какие уроки были усвоены и как эпидемия повлияла на будущее развитие вредоносного ПО.
20 лет назад мир столкнулся с эпидемией вируса ILOVEYOU — одного из первых вирусов, который использовал социальную инженерию для своих атак. Позднее этот вирус вошел в книгу рекордов Гинесса со статусом самого разрушительного вредоносного программного кода в мире.
Вирус впервые был разослан на почтовые ящики в мае 2000 года. В теме письма содержалась строка «ILoveYou», а к письму был приложен файл «LOVE-LETTER-FOR-YOU.TXT.vbs». Кто устоит перед открытием файла с любовным посланием? После открытия вложения, вирус перезаписывал файлы в системе и рассылался далее всем контактам зараженного пользователя в Microsoft Outlook. В течение нескольких дней вирус поразил более 50 миллионов компьютеров по всему миру. Позже ФБР оценит ущерб от вируса и его разновидностей в 8 – 10 миллиардов долларов.
Луис Корронс, ИБ-евангелист Avast и Мартин Хрон, старший исследователь безопасности в Avast, рассказывают, как тогда они боролись с его последствиями и нужно ли сейчас ожидать что-то подобное.
Что было 5 мая 2000 года
Луис Корронс: Тогда я работал в команде технической поддержки в другой ИБ-компании, и я очень хорошо помню, что произошло в тот день. Я должен был работать в ночную смену с 10 вечера до 8 утра, поэтому я был дома, когда я услышал эти новости. Я не мог поверить, что известия о вредоносных атаках появляются в новостях каждый час, такого никогда раньше не было. Тогда я пошел на работу раньше, в 6 вечера, а закончил работу в 10 утра. Я помню, что всю информацию мы отправляли через факс, потому что электронная почта перестала работать, помню подготовку дисков с обновлениями для этого вируса, которые мы должны были отправить с курьерами.
Мартин Хрон: В ту компанию, в которой я тогда работал, пришло письмо якобы со счетом, и, к сожалению, бухгалтер открыл этот документ. Мне пришлось написать свой первый антивирус, который был больше похож на программу удаления. Недавно я нашел программу, которой тогда очищал файлы –– она все еще функциональна, даже сегодня. Я бы назвал этот антивирус "Я ненавижу тебя".
Эпидемии ILOVEYOU и WannaCry: могут ли они повториться
Если такие атаки еще будут повторяться, то, скорее всего, они будут больше похожи на WannaCry, а не на вирус ILOVEYOU.
Вредоносные программы сегодня могут распространяться очень быстро, гораздо быстрее, чем вирус ILOVEYOU 20 лет назад. Спустя несколько лет после эпидемии ILOVEYOU, мы увидели, что черви могут распространяться гораздо быстрее без взаимодействия с пользователем, при этом затрагивая миллионы людей по всему миру. Скорее всего, мы увидим больше атак, которые осуществляются через ботнеты. Они, как и WannaCry, станут более автоматизированными, более сложными, и будут проводиться уже в несколько этапов. Сегодня атака может быть спровоцирована пользователем, который просто откроет фишинговое письмо или нажмет на фишинговую ссылку. Мы видели случаи, когда переход по вредоносной ссылке приводил к компрометации маршрутизатора сети. Это может открыть больше бэкдоров для системы пользователя или, в конечном итоге, перенаправить сеансы просмотра пользователя на вредоносные веб-сайты, которые могут нести больше угроз. Они могут использовать вымогателей, похитителей паролей, сканировать интернет для выявления потенциальных жертв.
Цели нападений тоже значительно изменились за последние два десятилетия. Вирусы в начале 90-х были больше похожи на «доказательство умений» и были предметом гордости для своих авторов. Сейчас все по-другому. Вредоносные программы — это хорошо отлаженные инструменты для заработка денег, которые распространяют вымогателей среди компаний, банков; они могут распространять фейковые новости для пропаганды и спонсируемых государствами кибервойн.
Кроме того, тогда электронная почта была единственным инструментом цифровой связи, который использовали компании. Не было мессенджеров, например, таких как Slack, WhatsApp или Viber. Антивирусные компании были вынуждены отправлять инструкции через факс, потому что компании больше не могли получать какие-либо электронные письма: объем трафика, который генерировал вирус, заставил компании отключиться.
Какие методы используют злоумышленники в наши дни для быстрого распространения вирусов
В наши дни к интернету подключены миллиарды устройств. Для того, чтобы вредоносные программы широко и быстро распространялись, они должны использовать уязвимости, которые позволяют им заражать устройства и распространяться без взаимодействия с пользователем, подобно тому, как вел себя WannaCry. Например, червь может использовать многочисленные уязвимости IoT-устройств и благодаря им может вызвать атаку на жилые дома и предприятия по всему миру.
Плюс, значительно расширили возможности для масштабирования атак злоумышленниками IoT-устройства. Подобные устройства все время подключены к сети, а значит, они всегда доступны для атаки. Это, в сочетании с большим количеством уязвимых устройств, делает массовую атаку неизбежной. Мировое заражение, пандемия, всегда начинается с одной широко распространенной уязвимости. В последние несколько лет мы наблюдаем массовый всплеск атак на встроенное ПО умных устройств или компьютеров без взаимодействия с пользователем, таких как VPNFilter, LoJack, или различные атаки на версии встроенного ПО модуля управления Intel. Причина этой тенденции заключается в том, что эти атаки проходят незаметно и неопытным пользователям их сложно обнаружить.
Как предотвратить атаку
Ключ к предотвращению любой атаки –– обеспечение безопасности. Раньше Windows была очень уязвимой системой, сейчас она стала гораздо безопаснее. Тем не менее, злоумышленники до сих пор продолжают искать уязвимости и пытаться злоупотребить ими.
Когда мы говорим об умных устройствах, то с точки зрения кибербезопасности, большинство устройств находятся на уровне Windows 95. Производители редко учитывают безопасность при разработке IoT-устройств, а значит все очень уязвимо — начиная от программного обеспечения и до защиты портов.
Еще один важный момент — онлайн-грамотность пользователей. Когда пользователи знают о распространенных угрозах, как они выглядят и как на них реагировать, когда они используют решения безопасности — все это уже является большим вкладом для предотвращения атак.
Поставщики решений кибербезопасности, конечно, стараются максимально обезопасить пользователей, совершенствуя механизмы обнаружения в продуктах безопасности и предлагая различные решения защиты. Тем не менее, пользователи все равно должны знать базовые правила кибербезопасности, уметь распознать социальную инженерию и правильно отреагировать на нее.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.