Логично закончилась эпопея крупномасштабного сетевого саботажа в компании UBS PaineWebber (сейчас она называется UBS Financial Services), начавшаяся еще в 2002 году. Системный администратор этого финансового гиганта был уличен в умышленном вредительстве: заложенная им «логическая бомба» в назначенный день вывела из строя корпоративную сеть. Отягчающим обстоятельством стало желание инсайдера подхалтурить на ценных бумагах работодателя: пользуясь обвалом котировок, вызванным сбоем в компьютерной системе, он ловко слил свои опционы.

Обвинение утверждает, что шестидесятитрехлетний Роджер Дюронио (Roger Duronio) создал вредоносную программу и распространил ее на двух тысячах Unix-серверов в центральном офисе UBS PaineWebber, а также примерно в 370 филиалах. «Логическая бомба» состояла из 50—70 строк кода и была запрограммирована на удаление всех данных в 9.30 утра в первый понедельник марта 2002 года (как раз в это время после выходных открывается биржа). За несколько недель до того, как «бомба» сработала, Дюронио предусмотрительно уволился.

Атака прошла по запланированному сценарию. Утром 4 марта 2002 года системные администраторы начали получать звонки и жалобы на неработающие машины. Вскоре стало очевидно, что беда обрушилась на всю компанию. Дополнительно инсайдер установил закладку в систему резервного копирования, так что вся информация на магнитных лентах была уничтожена (кстати, часть данных впоследствии так и не удалось восстановить). Деятельность фирмы в некоторых филиалах замерла на несколько недель, а полная ликвидация последствий атаки заняла несколько лет. Инцидент обошелся UBS PaineWebber в 3,2 млн. долларов. В эту сумму вошли только оценка и устранение компьютерных неприятностей. Между тем корпорация не предоставила обвинению сведений об ущербе в результате простоя и падения биржевых котировок.

Обвинение утверждает, что Роджер Дюронио был «доверенным инсайдером», то есть имел самые широкие полномочия. Кошка между ним и компанией пробежала, когда сисадмину заплатили на 18 тысяч долларов годового бонуса меньше, чем он ожидал. Пришлось «возместить» разницу, отправив акции фирмы в крутое пике.

Для расследования инцидента пришлось привлечь специалистов Секретной службы США. Как оказалось, логическая бомба была установлена удаленно, причем «кто-то» подсоединялся к тем компьютерам, где была внедрена бомба, используя логин и пароль Роджера Дюронио. Более того, полиция провела обыск в доме подозреваемого и обнаружила там жесткий диск с исходным кодом вредоносной программы. Также логическую бомбу удалось отыскать на двух из четырех домашних компьютеров Дюронио — улики практически неопровержимы. Теперь злоумышленнику грозит лишение свободы на срок до 30 лет, штраф до миллиона долларов и перспектива возмещения трехмиллионных убытков фирмы. — Д.З.

Похоже, мрачные прогнозы о лавинообразной коммерциализации компьютерного вирусописательства (см. «КТ» #625) начинают сбываться. Конец весны — начало лета выдались необычайно богатыми на эпидемии давно известного, но по-прежнему плохо знакомого среднему пользователю класса вредоносных программ, именуемого ransomware (от ransom — выкуп). Схема действия типичного «вируса-шантажиста» проста: попав на компьютер, он шифрует все доступные ему документы, для расшифровки же необходимо вознаградить авторов программы материально.

С теми или иными вариациями эту схему используют уже около десятка гуляющих по Сети «зловредов», но в июне в центре внимания оказались два из них. Первый — троян Arhiveus — прославился благодаря британской домохозяйке Хелен Барроу (Helen Barrow), чью персоналку он заразил. Arhiveus перемещает все файлы из папки My Documents в зашифрованный архив, распаковать который можно лишь совершив покупку на сумму около ста долларов в полулегальной онлайновой аптеке (по-видимому, авторы Arhiveus получают проценты с продаж «своим» покупателям). Хелен ничего покупать не стала, а сразу же обратилась в полицию, которая не без помощи вирусологов вернула женщине утерянное (как оказалось, секретный пароль, необходимый для расшифровки, хранится в теле трояна в открытом виде).

Российским же пользователям следует больше опасаться новых «зверей» из семейства GPCode (первые его представители, зарегистрированные полтора года назад, считаются родоначальниками ransomware), в начале июня заразивших, по прикидкам «Лаборатории Касперского», несколько тысяч машин.