W cieniu NotPetya - komu grozi cyfrowy overkill?

Chociaż kijowskie metro znowu jeździ, a Narodowy Bank Ukrainy odzyskał 3 lipca pełną operacyjność to medialny kurz po uderzeniu Petyi będzie opadał jeszcze długo. Śledząc doniesienia o głośnym cyberataku nie wolno zapominać, że w jego długim cieniu ewoluują kolejne niebezpieczne zagrożenia.

Gdy James Clapper, szef wywiadu USA na styczniowym przesłuchaniu w kongresie wprowadzał zebranych w meandry pełzającej cyberwojny, liczbę krajów intensywnie rozbudowujących swój arsenał cyberataków szacowano na ponad 30. Pięć miesięcy później wszyscy oglądaliśmy bojowy test takiego zagrożenia w "środowisku produkcyjnym" obcego państwa - infrastrukturze Ukrainy. Bo teoretycznie wszystko już wiadomo: Petya/NotPetya (znana też jako Diskcoder.C) nie była atakiem szyfrującym, a planowanym uderzeniem w systemy naszego wschodniego sąsiada. Uderzeniem tak mocnym, że jego finalny zasięg - z Australią włącznie - zaskoczył chyba samych autorów zagrożenia, przy czym wielu ekspertów tonowało lokalne napięcia nazywając infekcje poza Ukrainą "odpryskiem" czy "ledwie odłamkiem" eksplozji wirusa. Przestrzegamy przed pułapką myślenia "zaatakowano nas tylko przypadkiem": chwilowo przywraca nadszarpnięte poczucie bezpieczeństwa, ale poprzestanie na nim będzie zgubne dla wielu osób i biznesów - i to szybciej, niż myślą.

- Zauważmy, że między epidemiami WannaCry i NotPetya minęło tylko kilka tygodni. Wiele osób chce wierzyć, że to pechowy zbieg okoliczności... ale bardziej prawdopodobne jest, że na naszych oczach formuje się nowy krajobraz globalnego cyberkonfliktu: z częstszymi i groźniejszymi atakami, których autorami coraz częściej będą państwa. Z kolei cyberprzestępcy będą w dalszym ciągu specjalizować infekcje pod kątem wybranych grup ofiar.

Krystian Smętek

inżynier systemowy rozwiązań ShadowProtect SPX

Dowodzi tego m.in. najnowszy wykryty wariant wirusa Hidden Tear - wymierzony w graczy ransomware Battlefiled.exe, symulujący na pulpicie ofiary ikonę startową gry Battlefield 3. Jego twórcy niemal na pewno inspirowali się sukcesem podobnych szantażystów, których szyfrujące roszczenia w czerwcu wykończyły południowokoreański serwis hostingowy Nayana. Po zablokowaniu jego danych były już właściciel serwisu sprzedał firmę i majątek, by zapłacić cyberprzestępcom 1 mln dolarów okupu za przywrócenie danych swoich klientów. To jeden z największych odnotowanych sukcesów branży ransomware - zarówno pod względem finansowym, jak i wizerunkowym. Wszystko wskazuje na to, że będzie ich więcej.

Gdy państwa rozwijają swoje cyberataki na równi z cyberprzestępcami (często korzystając z tych samych technologii) można dywagować, czy przy konfrontacji infekcji podobnych NotPetyi dojdzie kiedyś do sytuacji wielokrotnego zaszyfrowania lub nadpisania tych samych danych ofiary przez różnych agresorów. Przypomina się tutaj pojęcie "overkill", którym w latach 40-tych XX wieku określono niszczący potencjał puchnącego arsenału nuklearnego supermocarstw. Siła gromadzonych ładunków miała być tak wielka, że odpalenie wszystkich naraz wywołałoby tzw. overkill, czyli każdy mieszkaniec Ziemi zostałby zabity wiele razy. Jak uchronić swoje dane przed cyfrowym wariantem tego ponurego zjawiska?

- Jeśli zadbamy o regularne tworzenie backupu naszych danych to z każdej cyfrowej katastrofy wyjdziemy właściwie bez szwanku. A wyprzedzając potencjalne problemy warto też pomyśleć o dedykowanym module UPS jako zasilaniu dla naszego komputera i serwerowni. Już w 2015 wirus Black Energy pokazał, że odcięcie elektrowni nie jest wcale nierealnym scenariuszem.

Krystian Smętek

inżynier systemowy rozwiązań ShadowProtect SPX