Рост числа атак с использованием программ-вымогателей выявляет киберустойчивости.

В марте 2018 года Атланта подверглась атаке программ-вымогателей, которая заразила почти 3800 правительственных компьютеров, принадлежащих городу Атланта, включая серверы. После развертывания вируса программа-вымогатель фактически заблокировала все зараженные компьютеры, сделав к ним невозможным доступ. Судебная система Атланты вышла из строя; полиция не смогла проверить номерные знаки; жители не могли оплачивать счета онлайн. https://limonsu.ru/

Всего за три недели до нападения на Атланту небольшой город Лидс, штат Алабама, также подвергся идентичной кибератаке. А до Лидса в январе это была региональная больница Хэнкока в пригороде Индианаполиса.

Общим для этих трех атак является то, что все они были атакованы программой-вымогателем SamSam, также известной как MSIL / Samas.A. Каждая атака потребовала примерно одинаковую сумму — около 50 000 долларов в криптовалюте. Выкуп заплатили региональная больница Хэнкока и Лидс, штат Алабама. Однако город Атланта этого не сделал. Вместо этого он решил заплатить миллионы, чтобы вернуть свои системы в оперативный режим.

В то время город Атланта был одним из наиболее известных городов, подвергшихся атакам программ-вымогателей. По словам Джона Халквиста, киберпреступник получает доступ к компьютерной сети, шифрует все данные и вымогает у компании их разблокировку. Халквист - вице-президент по анализу, Mandiant Threat Intelligence в FireEye, компании по обеспечению безопасности, основанной на разведке.

Отчет FireEye Mandiant M-Trends 2021 показывает резкое увеличение числа атак программ-вымогателей с декабря 2019 по сентябрь 2020 года.

Программы-вымогатели не являются чем-то новым
Халквист говорит, что атаки программ-вымогателей, которые, по сути, держат сеть компании "в заложниках" до тех пор, пока не будет выплачен требуемый выкуп, не являются чем-то новым. Они продолжаются уже несколько лет (как показывают эти три случая).

Согласно исследованию Check Point Software Technologies, в первой половине 2021 года число организаций, пострадавших от программ-вымогателей по всему миру, более чем удвоилось по сравнению с 2020 годом. В отчете Mandiant M-Trends 2021 от FireEye также было выявлено более 800 попыток вымогательства, в результате которых, вероятно, были украдены данные. Эти цифры основаны на расследованиях Mandiant активности целевых атак, проведенных с 1 октября 2019 года по 30 сентября 2020 года.

Цели теперь становятся гораздо более заметными. Только в США с апреля пострадали такие известные компании, как Colonial Pipeline, JBS Foods, NBA и Cox Media Group.

Хакеры обычно получают доступ к сетям с помощью фишинговых атак, которые представляют собой электронные письма, отправляемые сотрудникам с целью обмана с целью получения паролей или перехода по вредоносным ссылкам, которые загружают вредоносное ПО в сеть компании. Программа-вымогатель также ищет другие входы в сети компании с помощью паролей, которые легко взломать, например, 123qwe.

Опасения нехватки бензина из-за остановки трубопровода Colonial в мае привели к паническим покупкам и накоплениям среди водителей США вдоль Восточного побережья. Colonial заплатил 4,4 миллиона долларов в биткоинах, чтобы снова подключить трубопровод.

Почему их так много и почему именно сейчас?
Халквист объясняет это так: Изначально программы-вымогатели были в основном автоматизированы и нацелены на небольшие системы. Он называет это "распылять и молиться".

"Программа-вымогатель выходила и поражала любую систему, до которой могла добраться", - объясняет он. Она искала уязвимые пароли, открытые сети, удобные входы, как известно, были довольно дружелюбны; они разблокировали данные — иногда даже предлагали скидки — и продолжали жить своей жизнью". Биткойн, по его словам, предлагал хорошую платформу для перевода этих денег. Именно это произошло в Лидсе. Злоумышленники потребовали 60 000 долларов; город заплатил 8 000 долларов.

Но затем все изменилось, говорит Халквист. Программа-вымогатель перешла от автоматического "распыления и молитвы" к крупным, направленным атакам на более крупные компании с большим количеством денег. И количество выкупов резко возросло. Согласно последнему отчету Chainanalysis, который анализирует блокчейн и криптовалюту, в 2020 году компании заплатили злоумышленникам более 406 миллионов долларов в криптовалюте в качестве выкупа.

"Эти новые цели должны окупаться, потому что часто они являются критически важной инфраструктурой", - говорит Халквист. "Они должны вернуться в сеть. Потребители на самом деле являются фактором, потому что они вынуждают эти компании принимать поспешные решения относительно оплаты ".

Платить или не платить?
Так было в случае атаки на трубопровод Colonial. 29 апреля в результате взлома был выведен из строя крупнейший топливопровод в США и вызвал массовое накопление топлива по всему Восточному побережью. Генеральный директор Colonial Pipeline Джозеф Блаунт сообщил The Wall Street Journal, что компания заплатила выкуп — 4,4 миллиона долларов в биткоинах — чтобы вернуть конвейер в онлайн-режим. Но предоставленный злоумышленниками ключ дешифрования не сразу восстановил все системы конвейера.

И это лишь одна из проблем, связанных с выплатой выкупа. Другой важный вопрос заключается в том, не порождает ли выплата выкупов еще больше проблем. "Я думаю, что выплата выкупов явно ведет к более целенаправленным атакам, - говорит Халквист, - но если ваша компания оказалась в безвыходной ситуации, вы должны поступить правильно для своей организации".

Хорошей новостью для Colonial является то, что Министерство юстиции США объявило 7 июня, что восстановило 63,7 биткойна стоимостью около 2,3 миллиона долларов, которые Colonial заплатила своим хакерам. "Решение Министерства юстиции о взыскании выкупа с операторов, которые нарушили работу критически важной инфраструктуры США, является отрадным событием", - говорит Халквист. "Стало ясно, что нам нужно использовать несколько инструментов, чтобы остановить распространение этой серьезной проблемы".

Конечно, неуплата выкупа может быть столь же проблематичной. "Некоторые из этих компаний не хотят платить, поэтому они заставляют их платить, публикуя их данные публично", - говорит Халквист. "Это предложение, в котором многие организации не хотят участвовать". По его словам, утечка электронных писем и другой конфиденциальной информации может нанести гораздо больший ущерб некоторым компаниям, чем простая оплата. Это может привести к судебным проблемам или нанести ущерб их бренду.

Другие хакеры просто требуют оплаты, даже не устанавливая программу-вымогатель. Именно это произошло во время атаки на Хьюстон Рокетс в апреле. В сети команды НБА не было установлено ни одного вымогателя, но хакерская группа Babuk пригрозила опубликовать контракты и соглашения о неразглашении, которые, по ее утверждению, она украла из системы команды, если та не заплатит.

Перерабатывающий завод JBS 
JBS Foods, которая является одной из крупнейших в мире компаний по производству продуктов питания, также подверглась атаке вымогателей 31 мая. Вредоносное ПО затронуло некоторые серверы компании, поддерживающие ИТ-системы в Северной Америке и Австралии, что вынудило компанию приостановить свою деятельность 1 июня.

Что делает правительство?
Халквист говорит, что правительство может сделать гораздо больше. "Мы знали, что эта проблема растет уже некоторое время, и они, наконец, только сейчас относятся к ней серьезно и активизируют свои усилия", - говорит он.

Он, конечно же, имеет в виду несколько новых инициатив, выдвинутых администрацией Байдена в ответ на всплеск атак программ-вымогателей. 12 мая президент Байден подписал распоряжение, направленное на улучшение кибербезопасности в сетях федерального правительства. Среди своих исполнительных действий он создаст Совет по проверке кибербезопасности по образцу Национального совета по безопасности на транспорте (NTSB). В состав комиссии, скорее всего, войдут государственные и частные эксперты, которые будут изучать киберинциденты аналогично тому, как NTSB расследует несчастные случаи.

Энн Нойбергер, заместитель помощника Байдена и заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, также опубликовала открытое письмо от 2 июня, адресованное "руководителям корпораций и лидерам бизнеса".

В нем она говорит, что частный сектор несет ответственность за защиту от киберугроз и что организации "должны признать, что ни одна компания не застрахована от нападения программ-вымогателей, независимо от размера или местоположения... Мы настоятельно призываем вас серьезно отнестись к преступлениям с использованием программ-вымогателей и убедиться, что ваша корпоративная киберзащита соответствует угрозе ".

Как защитить свою компанию
Что вы можете сделать, чтобы обеспечить безопасность вашей сети? Агентство кибербезопасности и информационной безопасности (CISA) и ФБР 11 мая опубликовали рекомендации по предотвращению сбоев в работе бизнеса из-за атак программ-вымогателей. В нем они перечисляют шесть мер по смягчению последствий, которые компании могут предпринять сейчас, чтобы снизить риск быть скомпрометированными программами-вымогателями:

Требуется многофакторная аутентификация для удаленного доступа к операционным технологиям (OT) и ИТ-сетям.
Включите надежные фильтры нежелательной почты, чтобы предотвратить попадание фишинговых писем конечным пользователям. Отфильтруйте электронные письма, содержащие исполняемые файлы, от попадания к конечным пользователям.
Внедрите программу обучения пользователей и имитацию атак с целью вымогательства, чтобы отбить у пользователей охоту посещать вредоносные веб-сайты или открывать вредоносные вложения, а также повторно примените соответствующие ответы пользователей на электронные письма с вымогательством.
Фильтруйте сетевой трафик, чтобы запретить входящие и исходящие сообщения с известными вредоносными IP-адресами. Предотвращайте доступ пользователей к вредоносным веб-сайтам, внедряя списки блокировки URL и / или allowlists.
Своевременно обновляйте программное обеспечение, включая операционные системы, приложения и встроенное программное обеспечение на ИТ-сетевых ресурсах. Рассмотрите возможность использования централизованной системы управления исправлениями; используйте стратегию оценки на основе рисков, чтобы определить, какие сетевые активы и зоны OT должны участвовать в программе управления исправлениями.
Ограничьте доступ к ресурсам по сетям, особенно путем ограничения протокола удаленного рабочего стола (RDP), который является защищенным протоколом сетевых коммуникаций для удаленного управления. После оценки рисков, если RDP сочтут необходимым для работы, ограничьте исходящие источники и потребуйте многофакторную аутентификацию.
Халквист говорит, что вся цель игры сейчас — поразить огромную цель, которая, вероятно, заплатит - и которая должна заплатить. И перевод критически важной инфраструктуры в автономный режим не исключен. К этому, по его словам, США не готовы.

"Наша изощренность - это наша ахиллесова пята в этой сфере", - говорит он. "Это делает нас более уязвимыми к инцидентам. Один из уроков, который мы должны извлечь из всего этого, заключается в том, что мы не готовы к кибервойне. Мы знаем, что они нацелены на здравоохранение и другие критически важные возможности. Все извлекают уроки из этого".