W marcu 2018 r. Atlanta została trafiona atakiem ransomware, który zainfekował prawie 3800 komputerów rządowych należących do miasta Atlanta, w tym serwery. Po wdrożeniu wirusa ransomware zasadniczo zablokowało wszystkie zainfekowane komputery, uniemożliwiając dostęp do nich. System sądowniczy w Atlancie upadł; policja nie była w stanie sprawdzić tablic rejestracyjnych; mieszkańcy nie mogli płacić rachunków online.
Zaledwie trzy tygodnie przed uderzeniem w Atlantę, małe miasto Leeds w stanie Alabama również doświadczyło identycznego cyberataku. A przed Leeds w styczniu był to szpital regionalny Hancock na przedmieściach Indianapolis.
Wspólną cechą tych trzech ataków jest to, że wszystkie zostały zaatakowane przez oprogramowanie ransomware SamSam , znane również jako MSIL/Samas.A. Każdy atak wymagał mniej więcej tej samej kwoty — około 50 000 dolarów w kryptowalucie . Okup zapłacił szpital regionalny Hancock i Leeds w stanie Alabama. Jednak miasto Atlanta nie. Zamiast tego zdecydował się zapłacić miliony, aby przywrócić swoje systemy do trybu online.
W tamtym czasie miasto Atlanta było jednym z najbardziej atakowanych przez oprogramowanie ransomware. Według Johna Hulquista cyberprzestępca uzyskuje dostęp do sieci komputerów, szyfruje wszystkie dane i wymusza na firmie odblokowanie jej. Hulquist jest wiceprezesem ds. analiz, Mandiant Threat Intelligence w FireEye , firmie zajmującej się bezpieczeństwem , której podstawą są dane wywiadowcze.
Ransomware nie jest niczym nowym
Hulquist twierdzi, że ataki ransomware, które zasadniczo przetrzymują sieć firmową jako „zakładników” do momentu zapłaty żądanego okupu, nie są niczym nowym. Trwają od kilku lat (jak wskazują te trzy przypadki).
Według badań Check Point Software Technologies w pierwszej połowie 2021 r. liczba organizacji dotkniętych przez oprogramowanie ransomware na całym świecie wzrosła ponad dwukrotnie w porównaniu z 2020 r. Raport FireEye Mandiant M-Trends 2021 zidentyfikował również ponad 800 prób wymuszeń, w których prawdopodobnie skradziono dane. Liczby te opierają się na śledztwach Mandiant dotyczących ataków ukierunkowanych przeprowadzonych od 1 października 2019 r. do 30 września 2020 r.
Cele stają się teraz coraz bardziej głośne. W samych Stanach Zjednoczonych od kwietnia ucierpiały czołowe firmy, takie jak Colonial Pipeline , JBS Foods , NBA i Cox Media Group .
Hakerzy zazwyczaj uzyskują dostęp do sieci za pośrednictwem ataków phishingowych , czyli wiadomości e-mail wysyłanych do pracowników, które mają na celu nakłonienie ich do podania hasła lub kliknięcia złośliwych łączy, które pobierają złośliwe oprogramowanie do sieci firmowej. Ransomware szuka również innych wpisów do sieci firmowych za pomocą haseł, które można łatwo złamać, na przykład 123qwe.
Dlaczego tak wiele i dlaczego teraz?
Hulquist wyjaśnia to w następujący sposób: Pierwotnie oprogramowanie ransomware było w większości zautomatyzowane i ukierunkowane na małe systemy. Nazywa to „rozpylaj i módl się”.
„Oprogramowanie ransomware wyjdzie i uderzy w każdy system, jaki może uzyskać” – wyjaśnia. Poszukiwano podatnych na ataki haseł, otwartych sieci, łatwych wejść. „[Atakujący] byli znani z tego, że byli dość przyjaźni; odblokowywali dane – czasami nawet oferowali zniżki – i kontynuowali swoje życie”. Bitcoin, jak mówi, oferował dobrą platformę do przesyłania tych pieniędzy. Dokładnie to zdarzyło się w Leeds. Napastnicy zażądali 60 000 dolarów; miasto zapłaciło 8000 dolarów .
Ale potem wszystko się zmieniło, mówi Hulquist. Oprogramowanie ransomware przeszło od zautomatyzowanego „rozpylania i modlitwy” do dużych, ukierunkowanych ataków na większe firmy z większą ilością pieniędzy. A okupy poszybowały w górę. Według najnowszego raportu Chainanalysis , który analizuje blockchain i kryptowalutę , w 2020 roku firmy zapłaciły ponad 406 milionów dolarów w kryptowalutach jako okup dla atakujących .
„Te nowe cele muszą się opłacić, ponieważ często są to infrastruktura krytyczna” – mówi Hulquist. „Muszą wrócić do Internetu. Konsumenci są tak naprawdę czynnikiem, ponieważ zmuszają te firmy do podejmowania pochopnych decyzji dotyczących płatności”.
Płacić czy nie płacić?
Tak było w przypadku ataku na rurociąg kolonialny. Włamanie spowodowało zniszczenie największego rurociągu paliwowego w Stanach Zjednoczonych 29 kwietnia i spowodowało masowe gromadzenie paliwa na wschodnim wybrzeżu. CEO Colonial Pipeline Joseph Blount powiedział The Wall Street Journal, że firma zapłaciła okup – 4,4 miliona dolarów w bitcoinach – aby przywrócić rurociąg do sieci. Jednak klucz deszyfrujący, który dostarczyli przeciwnicy, nie przywrócił natychmiast wszystkich systemów potoku.
A to tylko jeden z problemów z zapłaceniem okupu. Innym ważnym pytaniem jest to, czy płacenie okupów tylko zachęca do dalszych problemów. „Myślę, że płacenie okupów wyraźnie prowadzi do bardziej ukierunkowanych ataków”, mówi Hulquist, „ale jeśli jesteś firmą w sytuacji bez wyjścia, musisz postąpić właściwie dla swojej organizacji”.
Dobrą wiadomością dla Colonial jest to, że Departament Sprawiedliwości USA ogłosił 7 czerwca, że odzyskał 63,7 bitcoinów o wartości około 2,3 miliona dolarów, które Colonial wypłacono swoim hakerom. „Posunięcie Departamentu Sprawiedliwości w celu odzyskania okupu od operatorów, którzy zakłócili amerykańską infrastrukturę krytyczną, jest mile widzianym krokiem” – mówi Hulquist. „Stało się jasne, że musimy użyć kilku narzędzi, aby powstrzymać falę tego poważnego problemu”.
Oczywiście niezapłacenie okupu może być równie problematyczne. „Niektóre z tych firm nie chcą płacić, więc zmuszają je do płacenia, ujawniając publicznie swoje dane” – mówi Hulquist. „To propozycja, w której wiele organizacji nie chce mieć udziału”. Jego zdaniem, e-maile i inne zastrzeżone informacje, które wyciekły, mogą być znacznie bardziej szkodliwe dla niektórych firm niż zwykłe płacenie. Może to narazić ich na kłopoty prawne lub zaszkodzić ich marce.
Inni hakerzy po prostu żądają zapłaty bez instalowania oprogramowania ransomware . Tak właśnie stało się podczas ataku na rakiety w Houston w kwietniu. W sieci zespołu NBA nie zainstalowano żadnego oprogramowania ransomware, ale grupa hakerska Babuk zagroziła opublikowaniem kontraktów i umów o zachowaniu poufności, które, jak twierdzi, ukradła z systemu zespołu, jeśli nie zapłaciła.
Co robi rząd?
Hulquist mówi, że rząd może zrobić o wiele więcej. „Wiemy, że ten problem narasta już od jakiegoś czasu i wreszcie teraz traktują go poważnie i intensyfikują swoje wysiłki” – mówi.
Odnosi się oczywiście do kilku nowych inicjatyw przedstawionych przez administrację Bidena w odpowiedzi na gwałtowny wzrost ataków ransomware. 12 maja prezydent Biden podpisał rozporządzenie wykonawcze mające na celu poprawę cyberbezpieczeństwa w sieciach rządu federalnego. Wśród swoich działań wykonawczych powoła Radę ds. Przeglądu Bezpieczeństwa Cyberbezpieczeństwa, wzorowaną na Narodowej Radzie Bezpieczeństwa Transportu (NTSB). W panelu prawdopodobnie znajdą się eksperci publiczni i prywatni, którzy będą badać incydenty cybernetyczne, podobnie jak NTSB bada wypadki.
Anne Neuberger, zastępca asystenta Bidena i zastępca doradcy ds. bezpieczeństwa narodowego ds. cybernetycznych i wschodzących technologii, również opublikowała 2 czerwca list otwarty skierowany do „dyrektorów korporacji i liderów biznesu”.
Mówi w nim, że sektor prywatny jest odpowiedzialny za ochronę przed zagrożeniami cybernetycznymi i że organizacje „muszą zdawać sobie sprawę, że żadna firma nie jest bezpieczna przed atakiem oprogramowania ransomware, niezależnie od wielkości lub lokalizacji… Wzywamy do poważnego potraktowania przestępstw związanych z oprogramowaniem ransomware i zapewnienia Twoja korporacyjna cyberobrona jest dopasowana do zagrożenia”.
Jak chronić swoją firmę
Co możesz zrobić, aby zapewnić bezpieczeństwo swojej sieci? Agencja Cyberbezpieczeństwa i Bezpieczeństwa Informacji (CISA) i FBI 11 maja opublikowały najlepsze praktyki zapobiegające zakłóceniom biznesowym spowodowanym atakami ransomware. Wymieniają w nim sześć środków zaradczych, które firmy mogą teraz zrobić, aby zmniejszyć ryzyko zaatakowania przez oprogramowanie ransomware:
- Wymagaj uwierzytelniania wieloskładnikowego w celu zdalnego dostępu do technologii operacyjnych (OT) i sieci IT.
- Włącz silne filtry spamu, aby zapobiec dotarciu e-maili phishingowych do użytkowników końcowych. Filtruj wiadomości e-mail zawierające pliki wykonywalne przed dotarciem do użytkowników końcowych.
- Zaimplementuj program szkolenia użytkowników i symulowane ataki w celu spearphishingu, aby zniechęcić użytkowników do odwiedzania złośliwych stron internetowych lub otwierania złośliwych załączników i wzmacniać odpowiednie reakcje użytkowników na wiadomości e-mail typu spearphishing.
- Filtruj ruch sieciowy, aby uniemożliwić komunikację przychodzącą i wychodzącą ze znanymi złośliwymi adresami IP. Uniemożliwiaj użytkownikom dostęp do złośliwych witryn internetowych, wdrażając listy blokowania adresów URL i/lub listy dozwolonych.
- Aktualizuj oprogramowanie, w tym systemy operacyjne, aplikacje i oprogramowanie sprzętowe w zasobach sieciowych IT, w odpowiednim czasie. Rozważ użycie scentralizowanego systemu zarządzania poprawkami; użyj strategii oceny opartej na ryzyku, aby określić, które aktywa i strefy sieci OT powinny uczestniczyć w programie zarządzania poprawkami.
- Ogranicz dostęp do zasobów za pośrednictwem sieci, zwłaszcza ograniczając protokół zdalnego pulpitu (RDP), który jest bezpiecznym protokołem komunikacji sieciowej do zdalnego zarządzania. Po dokonaniu oceny ryzyka, jeśli RDP zostanie uznany za konieczny z operacyjnego punktu widzenia, ogranicz źródła pochodzenia i wymagaj uwierzytelniania wieloskładnikowego.
Hulquist mówi, że teraz celem gry jest trafienie w ogromny cel, który prawdopodobnie zapłaci – i to taki, który musi zapłacić. A wyłączenie infrastruktury krytycznej nie jest wykluczone. Mówi, że Stany Zjednoczone nie są na to przygotowane.
„Nasze wyrafinowanie jest naszą piętą achillesową w tej przestrzeni” – mówi. „To sprawia, że jesteśmy bardziej podatni na incydenty. Jedną z lekcji, jaką powinniśmy wyciągnąć z tego wszystkiego, jest to, że nie jesteśmy przygotowani na cyberwojnę. Wiemy, że skupiają się na opiece zdrowotnej i innych krytycznych zdolnościach. Wszyscy się z tego wyciągają. "
Teraz to szalone
Więc kto stoi za tymi wszystkimi atakami ransomware? Pamiętasz SamSam, oprogramowanie ransomware, które zniszczyło Atlantę? W 2018 roku wielka ława przysięgłych oskarżyła dwóch Irańczyków, którzy brali w nim udział za pieniądze. Trzy inne programy ransomware — NETWALKER, REvil i Darkside — są znane jako RaaS (Ransomware-as-a-Service), co oznacza, że oferują każdemu, kto rozprzestrzeni jego złośliwe oprogramowanie, od 10 do 25 procent wypłaty. Mówi się, że Darkside stał za atakiem Colonial Pipeline. Wydaje się, że te operacje mają miejsce w Rosji.
