В марте 2018 года Атланта подверглась атаке с использованием программ-вымогателей , заразившей почти 3800 государственных компьютеров, принадлежащих городу Атланта, включая серверы. После того, как вирус был развернут, программа- вымогатель заблокировала все зараженные компьютеры, что сделало невозможным доступ к ним. Судебная система Атланты рухнула; полиция не смогла проверить номерные знаки; жители не могли оплачивать счета онлайн.
Всего за три недели до нападения на Атланту небольшой город Лидс, штат Алабама , также подвергся идентичной кибератаке. А до Лидса в январе это была региональная больница Хэнкока в пригороде Индианаполиса.
Общим для этих трех атак является то, что все они были поражены программой-вымогателем SamSam , также известной как MSIL / Samas.A. Каждая атака требовала примерно одинаковую сумму - около 50 000 долларов в криптовалюте . Выкуп уплатили региональная больница Хэнкока и Лидс, штат Алабама. Однако город Атланта этого не сделал. Вместо этого он решил заплатить миллионы, чтобы вернуть свои системы в оперативный режим.
В то время город Атланта был одним из самых известных городов, подвергшихся атакам программ-вымогателей. По словам Джона Халквиста, киберпреступники получают доступ к компьютерной сети, шифруют все данные и вымогают у компании возможность их разблокировать. Халквист - вице-президент по анализу Mandiant Threat Intelligence в FireEye , охранной компании, возглавляемой разведкой.
В программах-вымогателях нет ничего нового
Халквист говорит, что в атаках программ-вымогателей, которые по сути удерживают сеть компании в «заложниках», пока не будет выплачен требуемый выкуп, нет ничего нового. Они продолжаются несколько лет (как показывают эти три случая).
Согласно исследованию Check Point Software Technologies, в первой половине 2021 года количество организаций, пострадавших от программ-вымогателей, по всему миру более чем удвоилось по сравнению с 2020 годом. Отчет FireEye Mandiant M-Trends 2021 также выявил более 800 попыток вымогательства, в результате которых, вероятно, были украдены данные. Эти цифры основаны на исследованиях Mandiant о целевых атаках, проведенных с 1 октября 2019 г. по 30 сентября 2020 г.
Теперь цели становятся все более заметными. Только в США с апреля пострадали такие известные компании, как Colonial Pipeline , JBS Foods , NBA и Cox Media Group .
Хакеры обычно получают доступ к сетям с помощью фишинговых атак , которые представляют собой электронные письма, отправляемые сотрудникам, заставляя их отказаться от паролей или нажимать на вредоносные ссылки, которые загружают вредоносное ПО в сеть компании. Программа-вымогатель также ищет другие входы в корпоративные сети с помощью паролей, которые легко взломать, например, 123qwe.
Почему так много и почему сейчас?
Халквист объясняет это так: изначально программы-вымогатели были в основном автоматизированы и предназначались для небольших систем. Он называет это «брызги и молись».
«Программа-вымогатель выйдет и поразит любую систему, которую сможет получить», - объясняет он. Он искал уязвимые пароли, открытые сети, легкие проходы. «[Злоумышленники] были известны своей дружелюбностью; они разблокировали данные - даже иногда предлагали скидки - и продолжали жить своей жизнью». По его словам, биткойн предложил хорошую платформу для перевода этих денег. Именно это и произошло в Лидсе. Злоумышленники потребовали 60 тысяч долларов. город заплатил 8000 долларов .
Но затем все изменилось, - говорит Халквист. Программа-вымогатель превратилась из автоматизированных «спреев и молитв» в крупные целенаправленные атаки на более крупные компании с большими деньгами. И выкуп резко вырос. Согласно последнему отчету Chainanalysis , в котором анализируется блокчейн и криптовалюта, в 2020 году компании заплатили злоумышленникам более 406 миллионов долларов в виде выкупа .
«Эти новые цели должны окупаться, потому что часто они представляют собой критически важную инфраструктуру», - говорит Халквист. «Они должны вернуться в онлайн. Потребители на самом деле являются фактором, потому что они вынуждают эти компании принимать поспешные решения относительно оплаты».
Платить или не платить?
Так было в случае атаки на колониальный трубопровод. 29 апреля в результате взлома был разрушен самый большой топливопровод в США, что привело к массовым скоплениям топлива на Восточном побережье. Генеральный директор Colonial Pipeline Джозеф Блаунт сказал The Wall Street Journal, что компания заплатила выкуп в размере 4,4 миллиона долларов в биткойнах, чтобы вернуть трубопровод в строй. Но предоставленный злоумышленниками ключ дешифрования не сразу восстановил все системы конвейера.
И это только одна из проблем с выплатой выкупа. Другой важный вопрос заключается в том, вызывает ли выплата выкупа еще больше проблем. «Я думаю, что выплата выкупа явно ведет к более целевым атакам, - говорит Халквист, - но если ваша компания находится в безвыходной ситуации, вы должны делать правильные вещи для своей организации».
Хорошей новостью для Colonial является то, что 7 июня Министерство юстиции США объявило, что оно вернуло 63,7 биткойнов на сумму около 2,3 миллиона долларов, выплаченных Colonial своим хакерам. «Действия Министерства юстиции по взысканию выкупа с операторов, нарушивших работу критически важной инфраструктуры США, можно только приветствовать», - говорит Халквист. «Стало ясно, что нам нужно использовать несколько инструментов, чтобы остановить волну этой серьезной проблемы».
Конечно, неуплата выкупа может быть такой же проблемой. «Некоторые из этих компаний не хотят платить, поэтому они заставляют их платить, публично раскрывая свои данные», - говорит Халквист. «Это предложение, в котором многие организации не хотят участвовать». По его словам, утечка электронных писем и другой конфиденциальной информации может нанести гораздо больший ущерб некоторым компаниям, чем простая оплата. Это может создать для них проблемы с законом или в конечном итоге нанести ущерб их бренду.
Другие хакеры просто требуют оплаты, даже не устанавливая вымогателей . Именно это произошло во время атаки на «Хьюстон Рокетс» в апреле. В сети команды НБА не было установлено никаких программ-вымогателей, но хакерская группа Бабук пригрозила опубликовать контракты и соглашения о неразглашении, которые, как она утверждает, она украла из системы команды, если не заплатит.
Что делает правительство?
Халквист говорит, что правительство может сделать гораздо больше. «Мы знаем, что эта проблема нарастает в течение некоторого времени, и они, наконец, только сейчас относятся к ней серьезно и активизируют свои усилия», - говорит он.
Он, конечно, имеет в виду несколько новых инициатив, выдвинутых администрацией Байдена в ответ на всплеск атак программ-вымогателей. 12 мая президент Байден подписал указ, направленный на повышение кибербезопасности в сетях федерального правительства. Среди своих исполнительных действий он создаст Совет по анализу безопасности кибербезопасности по образцу Национального совета по безопасности на транспорте (NTSB). В группу, вероятно, войдут государственные и частные эксперты, которые будут изучать киберинциденты аналогично тому, как NTSB расследует аварии.
Анн Нойбергер, заместитель помощника Байдена и заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, также 2 июня опубликовала открытое письмо, адресованное «руководителям корпораций и бизнес-лидерам».
В нем она говорит, что частный сектор несет ответственность за защиту от киберугроз, и что организации «должны осознавать, что ни одна компания не застрахована от нападения программ-вымогателей, независимо от их размера и местоположения ... Мы настоятельно призываем вас серьезно относиться к преступлениям с использованием программ-вымогателей и гарантировать ваша корпоративная киберзащита соответствует угрозе ".
Как защитить свою компанию
Что вы можете сделать, чтобы обеспечить безопасность своей сети? Агентство по кибербезопасности и информационной безопасности (CISA) и ФБР 11 мая опубликовали передовые методы предотвращения нарушения работы бизнеса в результате атак программ-вымогателей. В нем они перечисляют шесть способов защиты, которые компании могут предпринять сейчас, чтобы снизить риск заражения программами-вымогателями:
- Требовать многофакторную аутентификацию для удаленного доступа к эксплуатационным технологиям (OT) и ИТ-сетям.
- Включите сильные спам-фильтры, чтобы фишинговые письма не доходили до конечных пользователей. Отфильтруйте электронные письма, содержащие исполняемые файлы, от доступа конечных пользователей.
- Внедрите программу обучения пользователей и смоделируйте атаки для целевого фишинга, чтобы отговорить пользователей от посещения вредоносных веб-сайтов или открытия вредоносных вложений и усилить соответствующие ответы пользователей на электронные письма с целевым фишингом.
- Фильтруйте сетевой трафик, чтобы запретить входящие и исходящие соединения с известными вредоносными IP-адресами. Предотвратить доступ пользователей к вредоносным веб-сайтам с помощью списков блокировки и / или разрешенных URL-адресов.
- Своевременно обновляйте программное обеспечение, включая операционные системы, приложения и микропрограммное обеспечение на ресурсах ИТ-сети. Рассмотрите возможность использования централизованной системы управления исправлениями; используйте стратегию оценки на основе рисков, чтобы определить, какие сетевые активы и зоны OT должны участвовать в программе управления исправлениями.
- Ограничьте доступ к ресурсам по сети, особенно путем ограничения протокола удаленного рабочего стола (RDP), который является безопасным протоколом сетевой связи для удаленного управления. После оценки рисков, если RDP считается оперативно необходимым, ограничьте исходные источники и потребуйте многофакторную аутентификацию.
Халквист говорит, что вся цель игры сейчас - поразить огромную цель, которая, вероятно, заплатит - и та, которая должна заплатить. И отключение критически важной инфраструктуры не исключено. По его словам, США к этому не готовы.
«Наша изощренность - наша ахиллесова пята в этом пространстве», - говорит он. «Это делает нас более уязвимыми для инцидентов. Один из уроков, который мы должны извлечь из всего этого, заключается в том, что мы не готовы к кибервойне. Мы действительно знаем, что они нацелены на здравоохранение и другие критически важные возможности. Все извлекают уроки из этого. "
Теперь это безумие
Так кто же стоит за всеми этими атаками программ-вымогателей? Помните SamSam, программу-вымогатель, уничтожившую Атланту? В 2018 году большое жюри предъявило обвинение двум иранцам, которые участвовали в этом из-за денег. Три других программы-вымогателя - NETWALKER, REvil и Darkside - известны как RaaS (Ransomware-as-a-Service), что означает, что они предлагают любому, кто распространяет их вредоносное ПО, от 10 до 25 процентов выплаты. Говорят, что за атакой на колониальный трубопровод стоял Дарксайд . Судя по всему, эти операции базируются в России.
