Реальность за завесой шифра

Мы живем в мире облачных вычислений и больших данных, поэтому неудивительно, что современный бизнес на 90% состоит из обмена огромными объемами информации. В этом компаниям помогают разнообразные цифровые инструменты, которые настолько же полезны в выполнении множества задач, насколько открыты для атак злоумышленников. 

Люди, использующие эти программы, во многих случаях не осведомлены об уязвимостях персональных компьютеров и мобильных устройств, на которые они установлены. В данном случае, актуально старое крылатое выражение: предупрежден 一 значит вооружен. 

Немного статистики 

В последние несколько лет мы наблюдали крайне печальные квартальные и годовые отчеты об атаках на коммерческие и государственные компании. Итоги 2020 года оказались еще хуже. 

Связано это, в большей степени, с массовым переходом на удаленную работу сотрудников из самых разнообразных сфер. Однако у злоумышленников есть свои предпочтения: приоритетными целями хакеров чаще всего оказывались компании в сфере IT, госучреждения, организации здравоохранения, банки и промышленные предприятия. 

Что нам говорят цифры? Согласно статистике Group IB и Positive Technologies, экспертных организаций в области информационной безопасности:

1. За 2020 год общее количество атак на компании выросло в несколько раз. 
2. Сохраняется тренд к ежеквартальному увеличению числа инцидентов.
3. В сравнении с III кварталом 2020 года, количество атак в IV квартале выросло на 3,1%, а в сравнении с аналогичным периодом в 2019 году — на 41,2%.
4. Только за последний год ущерб от вирусов-шифровальщиков составил более 1 миллиарда рублей. Причем жертвами всё чаще становятся не только промышленные гиганты, но и частные компании малой капитализации.

Не менее печальные данные представлены в отчете «Лаборатории Касперского» — несмотря на снижение доли шифровальщиков в общей массе вредоносных программ, количество целевых атак на организации в 2020 году выросло на 767%. 

Абсолютно все эксперты в сфере информационной безопасности выделяют две общие тенденции: рост количества инцидентов с вирусами-шифровальщиками и их партнерство с APT-группировками. Операторы вредоносов предоставляют свое ПО как услугу (RaaS), получая часть дохода от успешных атак. Такие коллаборации стали достаточно распространенным явлением в первой половине 2021 года и вылились в несколько резонансных событий.  

Сила темной стороны

Colonial Pipeline, один из крупнейших операторов топливной инфраструктуры Соединенных Штатов, 7 мая сообщил о том, что стал жертвой кибератаки. Компания объявила о временной приостановке всех операций: частично из-за того, что большинство конечных точек оказались зашифрованы, а частично 一 чтобы не допустить заражения остальных рабочих станций. Результат инцидента 一 полностью парализованное топливное снабжение на восточном побережье страны и огромные очереди на заправках от Техаса до Нью-Йорка.  

Начальным вектором атаки стали утекшие учетные данные, использованные хакерами для авторизации в системе. Остальные подробности произошедшего пока остаются нераскрытыми, но известно, что ответственность за инцидент несет группировка DarkSide. У провайдера шифровальщика есть даже собственный PR-отдел, служба пользовательской поддержки и пресс-центр. После атаки представители группы опубликовали заявление о том, что не преследовали никаких политических целей и выразили сожаление о наступивших последствиях.

А сожалеть есть о чем. В итоге, Colonial Pipeline заплатила хакерам выкуп в размере около 5 миллионов долларов. Однако ситуацию это не спасло: утилита для расшифровки, предоставленная DarkSide, работала настолько медленно, что специалисты нефтяной корпорации приняли решение восстановить свои данные из резервных копий. 

Бесславные и беспринципные

Часто на официальных сайтах хакерских группировок (разумеется, в Даркнете) можно увидеть сообщения о том, что в качестве целей никогда не выступают благотворительные и медицинские организации. Казалось бы, очень благородно со стороны представителей преступного мира, только это все не более, чем маркетинговый трюк злоумышленников. 

На деле же, отсутствие у них принципов и честности демонстрирует инцидент, произошедший спустя несколько дней после происшествия с Colonial Pipeline. Пострадала Национальная Система Здравоохранения Ирландии (HSE), которая была вынуждена отключить свои IT-системы. Для восстановления инфраструктуры организации злоумышленники требовали 20 миллионов долларов в криптовалюте. Тем не менее, премьер-министр Ирландии Мишель Мартин заявил, что правительство страны не собирается платить хакерам. В результате, группировка Conti предоставила инструмент для расшифровки бесплатно, и работа HSE была в скором времени возобновлена в штатном режиме. 

Продукты в опасности

Еще один громкий инцидент произошел в конце прошлого месяца. Крупнейший в мире производитель мясной продукции JBS объявил о том, что его подразделения в Северной Америке и Австралии приостанавливают свою деятельность из-за кибератаки. Так как только в Штатах корпорация отвечает за поставки 20% мяса, ожидался его серьезный дефицит, похожий на недавнюю нехватку бензина на Восточном побережье США.  

IT-системы компании подверглись атаке вируса-шифровальщика в воскресенье, 30 мая. JBS отреагировал незамедлительно: уведомил о произошедшем власти и с помощью экспертов в области информационной безопасности предпринял необходимые для реагирования на инцидент меры. Резервные копии при атаке не пострадали. Приложенные JBS усилия позволили уже 4 июня возобновить работу всех заводов и полностью восстановить цепочку поставок. 

Интересно, что производство и бизнес-операции компании полностью компьютеризированы. Преодолеть трудности с оплатой и сортировкой готовой продукции помог переход к ручным методам работы на время, пока системы были парализованы вследствие хакерской атаки.

Все описанные выше инциденты объединяет то, что жертвами стали организации, обладающие достаточными ресурсами и поддержкой, чтобы самостоятельно устранить последствия кибератак, провести расследование, выяснить, в чьи руки попали конфиденциальные данные, и оценить все риски и ущерб. К сожалению, на практике, мало кто делится опытом борьбы с шифровальщиками. Как в таком случае следует действовать компании, которая столкнулась с этой же угрозой? Узнаем в следующей части материала.