Ransomware: самые громкие атаки 2023 года

Когда-то каждый публичный инцидент с применением шифровальщиков-вымогателей приводил к оживленному обсуждению в прессе. Сейчас слово ransomware в заголовке не вызывает такого интереса — ведь атаки шифровальщиков случаются с завидной регулярностью. Между тем они остаются крайне серьезной угрозой для безопасности организаций. В этом обзоре рассмотрим наиболее громкие и масштабные инциденты, которые произошли за 2023 год.

Январь 2023: атака группировки LockBit на Королевскую почту Великобритании

Год начался с того, что группировка LockBit атаковала Королевскую почту Великобритании. В результате атаки была парализована доставка международной почты, из-за чего в системе Королевской почты застряли миллионы писем и посылок. Помимо этого, из строя вышел сайт для отслеживания доставки посылок, возможность онлайн-оплаты отправлений и некоторые другие системы.

Также в распределительном центре Королевской почты в Северной Ирландии принтеры начали массово распечатывать копии записки характерного оранжевого цвета с требованием выкупа от группировки LockBit.

Записка от ransomware-группировки LockBit с требованием выкупа, которую начали распечатывать принтеры в распределительном центре Royal Mail. Источник

Как это обычно и бывает в современных ransomware-атаках, LockBit также угрожали выложить в Интернете похищенные данные, если не будет выплачен выкуп. Однако Королевская почта не стала платить, так что данные в итоге были опубликованы.

Февраль 2023: ESXiArgs атакует серверы VMware ESXi по всему миру

Февраль отметился массовой автоматизированной атакой ESXiArgs ransomware на организации, использующие уязвимые серверы VMware ESXi, через RCE-уязвимость CVE-2021-21974. Несмотря на то что патч для этой дыры VMware выпустила еще в начале 2021 года, в ходе атаки были зашифрованы более 3000 серверов VMware ESXi.

В качестве выкупа вымогатели требовали чуть больше 2 биткойнов — около $45 000 на момент атаки. А для каждой отдельной жертвы генерировали новый Bitcoin-кошелек, адрес которого указывался в записках с требованием выкупа.

Записка с требованием выкупа оригинальной версии ESXiArgs ransomware. Источник

Через несколько дней после начала атаки злоумышленники усовершенствовали шифровальщик, в результате чего восстанавливать зашифрованные виртуальные машины стало существенно сложнее. А чтобы их деятельность было труднее отслеживать, они перестали указывать адреса кошельков для выкупа, предлагая жертвам вместо этого связываться с операторами через p2p-мессенджер Tox.

Март 2023: группировка Clop массово эксплуатирует зиродей в GoAnywhere MFT

В марте 2023 года группировка Clop начала массово эксплуатировать в своих атаках уязвимость нулевого дня в ПО для управляемой передачи файлов Fortra GoAnywhere MFT. Данная группировка в целом известна своим пристрастием к использованию уязвимостей в подобных сервисах: в 2020–2021 годах вымогатели атаковали организации через дыру в Accelon FTA, а ближе к концу 2021 года переключились на эксплуатацию уязвимости в SolarWinds Serv-U.

Всего в ходе атак на уязвимые серверы GoAnywhere MFT пострадали более 100 организаций, включая компанию Procter & Gamble, муниципалитет Торонто и Community Health Systems — одну из крупнейших сетей больниц в США.

Карта серверов GoAnywhere MFT, подключенных к Интернету. Источник

Апрель 2023: отключение POS-терминалов NCR Aloha из-за атаки BlackCat

В апреле произошла атака группировки ALPHV (также известной как BlackCat, по названию используемого шифровальщика) на компанию NCR, которая занимается производством и обслуживанием банкоматов, считывателей штрихкодов, платежных терминалов и тому подобной торговой и банковской техники.

В результате атаки шифровальщика на несколько дней вышли из строя дата-центры, которые были ответственны за работу платформы Aloha POS, которая используется в ресторанах, в первую очередь быстрого питания.

Платформа NCR Aloha POS, которую вывела из строя группировка ALPHV/BlackCat. Источник

Данная платформа по сути является единым центром цифровой деятельности заведения общепита и отвечает за все ее аспекты — от обработки платежей, приема онлайн-заказов и работы программы лояльности до управления процессом приготовления блюд на кухне и начисления заработной платы. В итоге из-за атаки шифровальщика на NCR многие заведения общепита были вынуждены переключиться на использование ручки и бумаги для решения всех этих задач.

Май 2023: атака Royal ransomware на город Даллас

В начале мая произошла атака Royal ransomware на муниципальные службы техасского города Далласа — девятого по численности населения города США. В результате атаки были, в частности, выведены из строя IT-сервисы полиции Далласа. А принтеры, подключенные к сети муниципалитета Далласа, начали распечатывать записки с требованием выкупа.

Записка от Royal ransomware с требованием выкупа, которую начали распечатывать принтеры муниципалитета Далласа. Источник

Позже в том же месяце последовала еще одна атака шифровальщика на городской муниципалитет: на этот раз вымогатели из группировки BlackByte напали на город Августа в американском штате Джорджия.

Июнь 2023: массовые атаки группировки Clop через уязвимость в MOVEit Transfer

В июне группировка Clop, о которой мы уже говорили выше в связи с февральскими атаками на программное обеспечение Fortra Goanywhere MFT, начала эксплуатировать уязвимость в другом продукте для управляемой передачи файлов — Progress MOVEit Transfer. Эта дырка, CVE-2023-34362, была была обнародована и закрыта специалистами компании Progress в последний день мая, но как обычно, далеко не все клиенты вовремя накатили патчи.

Эта ransomware-атака стала одним из крупнейших инцидентов года, в результате которого пострадало множество организаций, включая нефтяную компанию Shell, департамент образования Нью-Йорка, медиакорпорацию BBC, ирландскую авиакомпанию Aer Lingus, британскую сеть аптек Boots, Университет Джорджии, немецкого производителя полиграфического оборудования Heidelberger Druckmaschinen и ряд других.

Объявление на сайте Clop, в котором вымогатели требуют, чтобы пострадавшие компании связались с ними для переговоров. Источник

Июль 2023: Гавайский университет заплатил выкуп группировке NoEscape

В июле Гавайский университет признал, что ему пришлось заплатить вымогателям выкуп. Сам инцидент произошел месяцем ранее, пока все были увлечены историей с атаками на MOVEit. В ходе него сравнительно новая группировка NoEscape успешно атаковала шифровальщиком одно из подразделений университета, Гавайский общественный колледж.

В результате атаки злоумышленники заполучили 65 Гбайт данных, публикацией которых они и угрожали университету. Судя по всему, эта информация включала личные данные 28 000 человек. Именно последний факт и убедил университет все-таки заплатить вымогателям выкуп.

Запись о взломе Гавайского университета на сайте группировки NoEscape. Источник

Также стоит обратить внимание на то, что для предотвращения распространения шифровальщика сотрудникам университета пришлось временно отключить IT-системы. И даже несмотря на то, что после уплаты выкупа группировка NoEscape предоставила декриптор, восстановление IT-инфраструктуры предположительно должно было завершиться лишь через два месяца после инцидента.

Август 2023: атаки группировки Rhysida на организации в сфере здравоохранения

Август отметился атаками ransomware-группировки Rhysida на несколько организаций в сфере здравоохранения. В частности, пострадала компания Prospect Medical Holdings (PMH), управляющая 16 больницами и 165 поликлиниками в нескольких американских штатах.

По утверждениям вымогателей, в процессе взлома им удалось заполучить 1 Тбайт принадлежащих компании документов и базу данных SQL объемом в 1,3 Тбайта, в которой содержались 500 000 номеров социального страхования, паспорта и водительские удостоверения клиентов и сотрудников, истории болезней пациентов, а также финансовые и юридические документы. В качестве выкупа злоумышленники потребовали 50 биткойнов — около $1 300 000 на тот момент.

Записка от группировки Rhysida с требованием выкупа. Источник

Сентябрь 2023: атаки BlackCat на сети казино Caesars и MGM

В начала сентября появилась информация о нападении вымогателей сразу на две крупнейшие американские сети отелей-казино — Caesars и MGM. За атаками стояла группировка ALPHV/BlackCat, о которой мы уже писали выше в связи с атакой на платформу NCR Aloha POS.

В результате этого инцидента была заблокирована вся инфраструктура компаний — от системы регистрации в отелях до игровых автоматов. Интересно, что жертвы выбрали два разных варианта решения проблемы. Caesars решили заплатить вымогателям $15 000 000 — половину от изначально затребованных злоумышленниками $30 000 000.

В MGM решили не платить выкуп и самостоятельно разбираться с выведенной из строя IT-инфраструктурой. В результате на восстановление ушло 9 дней, за которые компания по собственной оценке потеряла $100 000 000, из которых только на прямые расходы, связанные с восстановлением IT-систем, ушло до $10 000 000.

Caesars и MGM принадлежит больше половины казино Лас-Вегаса

Октябрь 2023: группировка BianLian шантажирует авиакомпанию Air Canada

Месяцем позже вымогатели из группировки BianLian шантажировали флагманского перевозчика Канады — авиакомпанию Air Canada. По утверждениям вымогателей, им удалось украсть более 210 Гбайт различной информации, включая данные сотрудников, конфиденциальные документы, данные поставщиков и так далее. В том числе злоумышленникам удалось выкрасть сведения, касающиеся технических нарушений и проблем безопасности авиакомпании.

Страница с требованием выкупа от Air Canada на сайте ransomware-группировки BianLian. Источник

Ноябрь 2023: эксплуатация уязвимости Citrix Bleed группировкой LockBit

Ноябрь запомнился использованием уязвимости Citrix Bleed группировкой LockBit, о которой мы также успели поговорить выше. Несмотря на то что патчи для этой уязвимости были опубликованы месяцем ранее, на момент массовой атаки более 10 000 публично доступных серверов оставались уязвимыми. Этим и воспользовались вымогатели из LockBit для взлома систем нескольких крупных компаний, кражи данных и шифрования файлов.

Среди известных жертв можно отметить компанию Boeing, принадлежащие которой данные злоумышленники в итоге опубликовали, не дождавшись выплаты выкупа. Также вымогатели атаковали крупнейший в мире коммерческий банк — Промышленный и коммерческий банк Китая (ICBC).

Страница с требованием выкупа от Boeing на сайте LockBit

В ходе инцидента серьезно досталось австралийскому подразделению DP World — крупной логистической компании из ОАЭ, которая управляет десятками портов и контейнерных терминалов по всему миру. В результате атаки на IT-системы DP World Australia произошло серьезное нарушение логистических операций, из-за которого в австралийских портах застряли около 30 000 контейнеров.

Декабрь 2023: захват инфраструктуры ALPHV/BlackCat правоохранительными органами

Под конец года в ходе совместной операции ФБР, Департамента юстиции США, Европола и правоохранительных органов ряда европейских стран удалось лишить ransomware-группировку ALPHV/BlackCat контроля над ее инфраструктурой. Взломав ее, правоохранители сперва несколько месяцев тихо наблюдали за действиями злоумышленников, попутно собирая ключи для расшифровки данных и помогая жертвам BlackCat.

Таким образом агентствам удалось избавить от необходимости уплаты выкупа более 500 организаций по всему миру и сберечь около $68 000 000 потенциальных выплат. За этим в декабре последовал окончательный захват серверов, который положил конец деятельности BlackCat.

Совместная операция правоохранительных органов по захвату инфраструктуры ALPHV/BlackCat. Источник

Попутно было обнародовано некоторое количество статистики об операциях этой ransomware-группировки. По словам ФБР, за два года своей деятельности вымогатели из ALPHV/BlackCat успели взломать более 1000 организаций, потребовать от своих жертв более $500 000 000 и получить порядка $300 000 000 выкупа.

Как защититься от ransomware-атак

С каждым годом атаки вымогателей становятся все сложнее и разнообразнее, поэтому какого-то одного универсального совета по предотвращению ransomware-инцидентов нет и быть не может. Защитные меры должны быть комплексными — в частности, следует сконцентрироваться на следующих задачах:

• Обучайте сотрудников основам кибербезопасности.
• Внедряйте и совершенствуйте правильные политики хранения данных и доступа сотрудников к ним.
• Регулярно делайте резервные копии данных и изолируйте их от сети.
• Используйте надежную защиту на всех корпоративных устройствах.
• Отслеживайте подозрительную активность в корпоративной сети с помощью решения класса EDR (Endpoint Detection and Response).
• Используйте услуги внешнего сервиса для поиска угроз и своевременного реагирования на них в том случае, если ресурсов внутренней ИБ-службы для этого недостаточно.