Центральное отделение библиотеки Сент-Луиса
Западные коммерческие компании и государственные учреждения продолжают страдать от программ-криптовымогателей. В 2016 году зафиксирован многократный рост популярности таких программ у представителей криминального мира. Современный транснациональный рэкет гораздо безопаснее, чище и прибыльнее, чем аналогичный бизнес 90-х годов в России.
Злоумышленникам гораздо выгоднее инфицировать компьютеры коммерческих компаний, потому что с них можно получить более крупные суммы выкупа. Но иногда жертвами заражений (случайно?) становятся некоммерческие организации и частные лица. Им не позавидуешь.
Неприятная история на днях произошла с библиотекой Сент-Луиса, которая столкнулась с заражением ransomware. В результате жители Сент-Луиса не могли ни взять, ни вернуть книги ни в одном из 16 городских отделений библиотеки.
Инцидент произошёл в четверг 19 января 2017 года. В этот день одновременно вредоносная программа поразила обширный парк библиотечных компьютеров, который в 16 городских отделениях насчитывает 700 штук. Они работают под Windows — целевой платформе криптовымогателя.
Технические эксперты потратили на решение проблемы весь рабочий день и весь вечер, а к пятнице им удалось восстановить контроль над центральным сервером. Функция обслуживания клиентов с выпиской квитанций выполнялась сторонним вендором, и этот рабочий модуль к пятнице восстановить не удалось, так что читатели по-прежнему не имели возможности пользоваться библиотечным фондом.
Библиотека отказалась перечислять выкуп на адрес, указанный в криптовымогателе. Требовалась сумма, эквивалентная $35 тыс. Вместо этого библиотека сообщила об инциденте в ФБР и попыталась справиться своими силами.
Руководство библиотеки говорит, что компьютерные системы будут полностью переустановлены с нуля, и восстановление полной работоспособности библиотеки может занять несколько недель. Сейчас очистка и включение компьютеров происходит постепенно. По состоянию на 24 января 14:20 МСК полная работоспособность всех компьютеров не восстановлена.
16 городских отделений продолжили принимать посетителей. Люди могут смотреть книги на полках, читать их в читальном зале, а также пользоваться WiFi со своих собственных ноутбуков и смартфонов, но не брать книги на абонемент. Остался открытым и цифровой библиотечный фонд, поскольку электронные книги и музыка загружались с серверов сторонних вендоров.
Директор библиотеки Уоллер Макгуайр (Waller McGuire) принёс извинения всем посетителям. В обычный день тысячи читателей приходят в библиотечные отделения, чтобы найти информацию в фондах с 4 млн книг, журналов и видеоматериалов, выполнить домашнюю работу или использовать компьютер с интернетом. Большинство посетителей приходили в библиотеку именно ради интернета — для этих людей библиотека является зачастую единственным местом, где можно поработать в Сети. Теперь люди лишились такой возможности. «У некоторых есть смартфоны, но нет тарифа для передачи данных. Они приходят и используют WiFi», — описала сотрудник библиотеки Джен Хаттон (Jen Hatton) основную аудиторию. Для самых бедных граждан — детей из малоимущих семей из бедных кварталов — это единственный способ выйти в интернет.
«Реальными жертвами этого преступного нападения являются читатели библиотеки, — сказал директор. — Сотрудники библиотеки много работали, чтобы открыть безопасный, но широко доступный цифровой мир гражданам Сент-Луиса, и я приношу свои извинения за то, что это прекратилось. Попытка [преступников] забрать информацию и доступ к миру в обмен на требование выкупа глубоко пугает и оскорбительна для любой публичной библиотеки, и мы предпримем усилия, чтобы сохранить доступ к миру для наших читателей».
Успешное восстановление работоспособности компьютеров без оплаты выкупа — относительно редкая ситуация в США. По статистике, 70% американских компаний после заражения криптовымогателем предпочитают заплатить выкуп. Простой бизнеса обходится слишком дорого. В опросе IBM участвовали представители 600 компаний с разным количеством сотрудников, как малый бизнес, так и представители крупных компаний. Оказалось, что 46% опрошенных фирм уже сталкивались с криптовымогателями, а 70% из них реально заплатили выкуп. Многие платят крупные суммы. Специалистам по информационной безопасности попадались варианты зловредов, специально нацеленных на юридических лиц, которые требуют выплаты четырёх- и пятизначных сумм, а в некоторых случаях — даже миллионы долларов. Известны случаи, когда жертвы действительно выплачивали крупные суммы. По статистике, 20% американских компаний, ставших жертвами криптовымогателей, заплатили более $40 тыс., 25% заплатили от $20 тыс. до 40 тыс., 11% заплатили от $10 тыс. до 20 тыс.
Проведённое исследование IBM выявило, что большинство потенциальных жертв атаки по-прежнему не имеют понятия, что такое криптовымогатели. Только 31% пользователей что-то слышали о криптовымогателях. Неосведомлённость об угрозе на руку злоумышленникам.
В отличие от коммерческих компаний, негосударственные организации вроде библиотек могут позволить себе несколько дней или недель частичного простоя. Поэтому им нет особого смысла платить выкуп. Можно попробовать восстановить информацию из резервного хранилища.
По оценке ФБР, за три месяца 2016 года американские компании выплатили вымогателям более $209 млн. ФБР расценивает криптовымогатели как одну из основных киберугроз государственному и частному сектору США, но авторов криптовымогателей редко удаётся идентифицировать и почти никогда не удаётся арестовать.
Вообще говоря, только самые бесчестные преступники могли умышленно атаковать публичную библиотеку, а не какую-нибудь богатую компанию из списка Fortune 500. Возможно, библиотека Сент-Луиса пострадала по ошибке.
Комментарии (14)
genbo
24.01.2017 18:02-2Всегда было интересно — чем думаю люди, когда в таких местах поднимают инфраструктуру на windows?
amarao
24.01.2017 18:29-2Не понятно. Недавно наблюдал, как в Икеевских киосках (кипр) можно свернуть Firefox на виндовый десктоп с помощью Ctrl-Shift-W, где есть всё для запуска малвари.
И это в терминале, где люди вводят приватные данные. Только кипрская беспечность мешает назвать это дырой в безопасности.
Hellsy22
25.01.2017 04:56+2О том, что это — библиотека. Исторически в таких местах администрированием занимается приходящий админ сомнительной квалификации (позже — сторонняя компания), а руководству ничего не нужно, кроме устранения совсем уж явных косяков. С ростом парка машин уменьшаются и шансы на решение проблем, а специфический софт никто переписывать конечно же не будет. Не удивлюсь, если там стояла Win XP, софт требовал административных прав и все машины были видны друг другу в сети.
Alexey2005
24.01.2017 22:32+1почти никогда не удаётся арестовать.
Вообще никогда не удаётся арестовать.
Вы только вдумайтесь: 46% фирм сталкивались с этой заразой и 70% из них заплатили злоумышленникам. Практически каждая четвёртая организация только в США уже хотя бы раз платила преступникам, и что же? Где хоть один громкий арест, где посадки? Тут ФБР демонстрирует просто потрясающую беспомощность.
Это им не программистов по курортам отлавливать и не биткоин-биржи закрывать. Конечно, с таким отношением к проблеме через пару лет регулярно платить будут уже под 90% организаций, да и суммы выкупа подрастут заметно.
impetus
24.01.2017 23:07+1Прикол начнётся когда криптить будут уже целиком ЦОДы, для особой пикантности — как раз «US.com-надзоровские».
46% фирм сталкивались с этой заразой и 70% из них заплатили злоумышленникам. Практически каждая четвёртая организация только в США уже хотя бы раз платила преступникам
Вот-вот, примерно после таких цифр и начинаешь невольно конспироложить на тему «не можешь одолеть — возглавь» и прочие («налог на беспечность», «самоокупаемые учения ГО», «как заставить всех делать бэкапы» и т.п.)
lubezniy
25.01.2017 00:56-2ИМХО надёжнее сажать тех, кто платит вымогателям. Такой подход сразу выбьет почву у вымогателей из-под ног.
Hellsy22
25.01.2017 07:24— конфисковать имущество у обворованных — это выбьет почву из под ног у воров
— рубить руки ограбленным — пусть все сопротивляются грабителям до последнего
— казнить изнасилованных — незачем им шляться где попало и соблазнять преступников
Непонятно только что делать с убитыми — они же еще и налоги платить перестают, так что наказание должно быть крайне суровым.lubezniy
25.01.2017 10:24-1Не передёргивайте. Если нет возможности восстановить важные данные после шифровальщика, то это профак организации хранения данных и повод к самостоятельному исправлению ошибок, чтобы быть готовыми в будущем не только к такому сценарию, но и к другим нештатным ситуациям вроде аварий или взломов. А уплата (заметьте, добровольная) сравнительно небольшой суммы вымогателям даёт нехорошую надежду (причём без гарантий) и повод это исправление отложить. И да, это таки добровольное финансирование преступного сообщества; за что тут по голове гладить?
Hellsy22
25.01.2017 15:49Если гражданин вышел на улицу без оружия или телохранителя и не смог дать отпор грабителям, то это промах организации безопасности и повод к самостоятельному исправлению ошибок, чтобы быть готовыми в будущем не только к такому сценарию, но и к другим нештатным ситуациям. А передача своего имущества грабителям дает нехорошую надежду, причем без гарантий, что может быть все обойдется незначительными потерями. И да, это таки добровольное финансирование преступного сообщества.
Если чуть серьезнее, то обеспечение безопасности в общем случае не является обязанностью как отдельных граждан, так и целых организаций — это задача полиции. Криптолокеры не уникальны. Люди платят за возврат номерных знаков автомобилей и за возврат документов из украденных кошельков. Но как-то странно упрекать жертву в желании минимизировать потери, возникшие не по ее вине.
teecat
25.01.2017 11:51+1> Вообще говоря, только самые бесчестные преступники могли умышленно атаковать публичную библиотеку, а не какую-нибудь богатую компанию из списка Fortune 500. Возможно, библиотека Сент-Луиса пострадала по ошибке.
Странная фраза. Троян обычно или получается с какого зараженного сайта или из рассылки (наиболее вероятные случаи). В обоих случаях кто кликнет по ссылке не имеет никакого значения. «Это только бизнес, детка». Количество целевых атак для шифровальщиков пренебрежимо мало.
Насчет бесчестья — очень хочется привести этих бизнесменов к пенсионерам, у которых они банкерами с карточек уводят деньги
amarao
Оффлайновый офис Флибусты. Можно прийти и почитать любую книгу, как в обычной библиотеке.
Ой, нет, подождите, Флибуста — страшные пираты, которые запрещены к распространению на территории РФ. Их трудно отличить от обычной библиотеки, но мы же знаем, что неограниченный доступ к библиотечному фонду — особо тяжкое уголовное преступление…
Alcor
Да не, всё правильно. Флибуста — страшные пираты. Книги читать нельзя — от них всё зло. Просто у нас в стране правительство, к счастью, это уже поняло, а в других — пока нет.
kAIST
Вы считаете что в других странах с пиратством никак не борятся и всякие условные флибусты работают открыто и процветают?
При всем уважении к флибусте, с точки зрения закона этой и большинства стран, они как раз таки пираты.