Атака Colonial Pipeline: тревожный звонок об угрозе программ-вымогателей

От

16.05.2021

«Первое, что приходит мне в голову: слава богу, это была не вода», – сказал Меррилл. «К сожалению, меня не удивляет, что это произошло».

По словам Меррилла, к другим стареющим и критически важным объектам, потенциально подверженным риску, относятся электрические системы и атомные электростанции. И дело не только в физической инфраструктуре: взлом таких инструментов, как программное обеспечение для торговых точек, обычно используемое малым бизнесом, может нанести серьезный ущерб экономике.

Эксперты надеются, что взлом Colonial Pipeline – и реальное влияние, которое он оказал на обычных американцев – наконец станет тревожным сигналом для компаний и правительств, чтобы они признали эти уязвимости и предприняли меры по их устранению. Ожидается, что подобные целевые атаки станут более частыми и потенциально более опасными.

Есть некоторые признаки того, что это уже происходит. На этой неделе, вскоре после закрытия трубопровода, президент США Джо Байден подписал указ, направленный на усиление киберзащиты правительства.

Но эксперты говорят, что компаниям следует делать больше, чтобы не стать следующей целью. По данным Министерства внутренней безопасности, около 85% критически важной инфраструктуры и ресурсов США принадлежит частному сектору.

Вот что корпоративной Америке нужно знать о такого рода атаках и о том, как их предотвратить.

Кто стоял за колониальной атакой?

В течение многих лет считалось, что только злоумышленник, поддерживаемый государством, сможет взломать и парализовать критически важную инфраструктуру США – и что это маловероятно, потому что это могло быть равносильно объявлению войны.

Но это уже не так. DarkSide, преступная группировка, которая, как подтвердило ФБР, стояла за колониальной атакой, не считается поддерживаемой государством.

Теперь «частная группа, которая была создана в 2020 году, внезапно получила возможность прекратить поставки газа», – сказал Лиор Див, генеральный директор компании Cybereason, занимающейся кибербезопасностью.

Что такое DarkSide? Эксперты полагают, что преступная группа, скорее всего, действует из России, поскольку ее онлайн-коммуникации ведутся на русском языке и она охотится на нерусскоязычные страны. По словам Div, российские правоохранительные органы обычно оставляют киберпреступные группы, действующие внутри страны, в одиночку, если их цели находятся в другом месте.

Хакеры парализовали конвейер. Банки и фондовые биржи - еще большие цели

Эксперты по кибербезопасности говорят, что группа появилась в августе 2020 года.

DarkSide занимается тем, что фактически является бизнесом «вымогатель как услуга». Он разрабатывает инструменты, которые помогают другим преступным «аффилированным лицам» проводить атаки с использованием программ-вымогателей, при которых данные организации похищаются, а ее компьютеры блокируются, поэтому жертвы должны платить, чтобы восстановить доступ к своей сети и предотвратить раскрытие конфиденциальной информации. Когда партнеры проводят атаку, DarkSide получает часть прибыли. (В случае с Colonial неясно, была ли атака исходящей от DarkSide или ее аффилированного лица.)

«Это очень похоже на бизнес, и, в конечном счете, так оно и есть», – сказал Дрю Шмитт, главный аналитик по анализу угроз в GuidePoint Security. «У многих из этих групп программ-вымогателей есть служба поддержки клиентов, у них есть поддержка в чате … все эти различные механизмы, которые вы можете увидеть в обычном бизнесе».

После закрытия Colonial, DarkSide заявила на своем веб-сайте, что это «мотивированная прибыль» организация, а не политическая организация. И несколько экспертов заявили, что не думают, что DarkSide намеревался вызвать такой фиаско.

«Их дело – молчать, получать деньги и двигаться к следующей цели», – сказал Див, добавив, что иногда хакеры часто не знают, на кого они атакуют, пока не окажутся внутри сети. «Меньше всего они хотят, чтобы о них рассказывал президент Соединенных Штатов».

К четвергу веб-сайт DarkSide был закрыт, по словам Джона Ди Маджио, директора по безопасности платформы анализа угроз Analyst1. По его словам, правоохранительные органы США могли быть вовлечены в его удаление, потому что обычно группы вымогателей обычно размещают уведомление на своем сайте и оставляют некоторые украденные данные на некоторое время, прежде чем исчезнуть, в надежде вымогать у жертв дополнительные деньги.

Когда это происходит, когда вас атакуют программы-вымогатели?

После того, как компания была поражена программой-вымогателем, ее первый курс действий обычно заключается в отключении большей части или всей ее системы, чтобы изолировать доступ хакеров и убедиться, что они не могут перейти в другие части сети.

Это может быть одной из причин, по которой Colonial закрыла свой трубопровод – чтобы отключить машины, работающие с топливопроводом. Люди, проинформированные по этому поводу, сказали CNN, что компания остановила свою деятельность, потому что ее биллинговая система также была скомпрометирована, и опасались, что они не смогут определить, сколько выставлять клиентам счет за топливо, которое они получили.

Эксперты обычно призывают жертв программ-вымогателей не платить выкуп: «По сути, вы финансируете эти (преступные) группы», – сказал Див.

Но способность компании вернуться в сеть, не платя хакерам, может зависеть от того, были ли у нее защищены резервные копии своих данных. В некоторых случаях хакеры могут удалить резервные копии своей цели, прежде чем заблокировать ее файлы, оставляя организацию жертвы без обращения.

Источники CNN сообщили, что на этой неделе Colonial Pipeline заплатила DarkSide за то, что она пыталась снова заработать. Группа потребовала почти 5 миллионов долларов, но источники не сообщили, сколько заплатила компания.

По словам экспертов, аналогичные инциденты с программами-вымогателями могут варьироваться от сотен тысяч долларов до примерно 10 миллионов долларов.

Что можно сделать, чтобы это предотвратить?

К настоящему времени организации любого размера должны использовать хорошую «гигиену кибербезопасности» – например, требуя регулярной смены паролей своими сотрудниками и двухфакторной аутентификации. Но даже эти передовые методы не всегда могут быть достаточными, чтобы уберечь злоумышленника от сети.

Когда дело доходит до программ-вымогателей, в лучшем случае организации могут поймать хакеров, когда они собирают данные в сети, но до того, как они полностью осуществят атаку и файлы будут заблокированы. По словам ДиМаджио из Analyst1, злоумышленники обычно проникают в сеть за три недели до того, как компания получает уведомление о выкупе.

Источники сообщают, что Colonial Pipeline действительно заплатила хакерам выкуп

Он добавил, что инструменты искусственного интеллекта могут быть полезны компаниям при отслеживании пользователей в сети и выявлении подозрительного поведения.

Вот как работают такие инструменты, как Cybereason – когда технология определяет модель поведения, соответствующую злоумышленнику внутри сети, она немедленно закрывает доступ этого пользователя.

«В основном то, что мы делаем, – это упреждающий поиск угроз», – сказал Div из Cybereason. «(У вас должно быть) мышление, что вас могут взломать, и кто-то попытается атаковать вас с помощью программы-вымогателя, поэтому полезно иметь исследовательскую группу, которая будет преследовать этих (плохих актеров), понимая, что они делают … и может постоянно быть на шаг впереди них “.

В будущем правительство США может также сыграть большую роль в снижении угрозы атак программ-вымогателей. Например, официальные лица США могут использовать дипломатические каналы для поощрения России и других стран к судебному преследованию киберпреступных группировок, сказал Меррилл из Беркли.

На этой неделе, IBM (IBM) Генеральный директор Арвинд Кришна предложил правительству США создать «программу в стиле НАСА» для содействия инвестициям и государственно-частному партнерству в области кибербезопасности.

По словам Шмитта из GuidePoint, правительство могло бы играть более важную роль в координации общего плана кибербезопасности для бизнеса, чем позволять каждой компании делать это в одиночку.

«В конечном счете, кибербезопасность должна рассматриваться как одна из основных проблем, когда мы говорим о критически важной инфраструктуре», – сказал он.