«Первое, что приходит мне в голову: слава богу, это была не вода», – сказал Меррилл. «К сожалению, меня не удивляет, что это произошло».
По словам Меррилла, к другим стареющим и критически важным объектам, потенциально подверженным риску, относятся электрические системы и атомные электростанции. И дело не только в физической инфраструктуре: взлом таких инструментов, как программное обеспечение для торговых точек, обычно используемое малым бизнесом, может нанести серьезный ущерб экономике.
Но эксперты говорят, что компаниям следует делать больше, чтобы не стать следующей целью. По данным Министерства внутренней безопасности, около 85% критически важной инфраструктуры и ресурсов США принадлежит частному сектору.
Вот что корпоративной Америке нужно знать о такого рода атаках и о том, как их предотвратить.
Кто стоял за колониальной атакой?
В течение многих лет считалось, что только злоумышленник, поддерживаемый государством, сможет взломать и парализовать критически важную инфраструктуру США – и что это маловероятно, потому что это могло быть равносильно объявлению войны.
Что такое DarkSide? Эксперты полагают, что преступная группа, скорее всего, действует из России, поскольку ее онлайн-коммуникации ведутся на русском языке и она охотится на нерусскоязычные страны. По словам Div, российские правоохранительные органы обычно оставляют киберпреступные группы, действующие внутри страны, в одиночку, если их цели находятся в другом месте.
Эксперты по кибербезопасности говорят, что группа появилась в августе 2020 года.
DarkSide занимается тем, что фактически является бизнесом «вымогатель как услуга». Он разрабатывает инструменты, которые помогают другим преступным «аффилированным лицам» проводить атаки с использованием программ-вымогателей, при которых данные организации похищаются, а ее компьютеры блокируются, поэтому жертвы должны платить, чтобы восстановить доступ к своей сети и предотвратить раскрытие конфиденциальной информации. Когда партнеры проводят атаку, DarkSide получает часть прибыли. (В случае с Colonial неясно, была ли атака исходящей от DarkSide или ее аффилированного лица.)
После закрытия Colonial, DarkSide заявила на своем веб-сайте, что это «мотивированная прибыль» организация, а не политическая организация. И несколько экспертов заявили, что не думают, что DarkSide намеревался вызвать такой фиаско.
«Их дело – молчать, получать деньги и двигаться к следующей цели», – сказал Див, добавив, что иногда хакеры часто не знают, на кого они атакуют, пока не окажутся внутри сети. «Меньше всего они хотят, чтобы о них рассказывал президент Соединенных Штатов».
Когда это происходит, когда вас атакуют программы-вымогатели?
После того, как компания была поражена программой-вымогателем, ее первый курс действий обычно заключается в отключении большей части или всей ее системы, чтобы изолировать доступ хакеров и убедиться, что они не могут перейти в другие части сети.
Эксперты обычно призывают жертв программ-вымогателей не платить выкуп: «По сути, вы финансируете эти (преступные) группы», – сказал Див.
Но способность компании вернуться в сеть, не платя хакерам, может зависеть от того, были ли у нее защищены резервные копии своих данных. В некоторых случаях хакеры могут удалить резервные копии своей цели, прежде чем заблокировать ее файлы, оставляя организацию жертвы без обращения.
По словам экспертов, аналогичные инциденты с программами-вымогателями могут варьироваться от сотен тысяч долларов до примерно 10 миллионов долларов.
Что можно сделать, чтобы это предотвратить?
Когда дело доходит до программ-вымогателей, в лучшем случае организации могут поймать хакеров, когда они собирают данные в сети, но до того, как они полностью осуществят атаку и файлы будут заблокированы. По словам ДиМаджио из Analyst1, злоумышленники обычно проникают в сеть за три недели до того, как компания получает уведомление о выкупе.
Он добавил, что инструменты искусственного интеллекта могут быть полезны компаниям при отслеживании пользователей в сети и выявлении подозрительного поведения.
Вот как работают такие инструменты, как Cybereason – когда технология определяет модель поведения, соответствующую злоумышленнику внутри сети, она немедленно закрывает доступ этого пользователя.
«В основном то, что мы делаем, – это упреждающий поиск угроз», – сказал Div из Cybereason. «(У вас должно быть) мышление, что вас могут взломать, и кто-то попытается атаковать вас с помощью программы-вымогателя, поэтому полезно иметь исследовательскую группу, которая будет преследовать этих (плохих актеров), понимая, что они делают … и может постоянно быть на шаг впереди них “.
В будущем правительство США может также сыграть большую роль в снижении угрозы атак программ-вымогателей. Например, официальные лица США могут использовать дипломатические каналы для поощрения России и других стран к судебному преследованию киберпреступных группировок, сказал Меррилл из Беркли.
По словам Шмитта из GuidePoint, правительство могло бы играть более важную роль в координации общего плана кибербезопасности для бизнеса, чем позволять каждой компании делать это в одиночку.
«В конечном счете, кибербезопасность должна рассматриваться как одна из основных проблем, когда мы говорим о критически важной инфраструктуре», – сказал он.