Основные атаки программ-вымогателей
Атаки программ-вымогателей – это большой бизнес. По оценкам, к концу 2021 года атаки программ-вымогателей будут происходить каждые 11 секунд, нанося ущерб до 20 миллиардов долларов. Атаки программ-вымогателей затрагивают не только организации, такие как предприятия, правительства и медицинские учреждения, они также распространяются на клиентов и сотрудников, данные которых также часто страдают от атак такого типа.
В рамках атак программ-вымогателей для шифрования данных и файлов используется вредоносное ПО. В этом плане они отличаются от вымогательства с использованием DDoS-атак (распределенного отказа в обслуживании), цель которых – создать избыточный трафик на объекты жертвы с обещанием прекратить его после получения выкупа.
Некоторые организации предпочитают оплатить выкуп, требуемый программой-вымогателем, хотя это не рекомендуется. Во-первых, нет гарантии, что будет восстановлен доступ к зараженным системам, а во-вторых, получение выкупа стимулирует злоумышленников продолжать эти формы кибератак. Многие компании не обнародуют информацию об атаках программ-вымогателей, и даже если сообщают о них, то не раскрывают размер требований злоумышленников.
Далее будут рассмотрены основные атаки программ-вымогателей с января по декабрь 2020 года.
Атаки программ-вымогателей в январе 2020 года
1. Атака на компанию Travelex
Год начался с атаки на валютную компанию Travelex: ее вынудили отключить все компьютерные системы и полагаться на ручку и бумагу. В результате компании пришлось отключить веб-сайты в 30 странах.
Атакой совершена группой злоумышленников Sodinokibi (также известная как REvil), которая требовала от Travelex 6 миллионов долларов. Злоумышленники утверждали, что получили доступ к компьютерной сети компании за шесть месяцев до атаки, и это позволило им получить 5 ГБ конфиденциальных данных о клиентах, включая даты рождения и номера кредитных карт. Также они заявили, что если Travelex заплатит выкуп, они удалят данные, в противном случае сумма выкупа будет удваиваться каждые два дня. Через семь дней они заявили, что продадут данные другим киберпреступникам.
Сообщается, что компания Travelex заплатила вымогателям 2,3 миллиона долларов в биткойнах и восстановила онлайн-системы после двух недель автономной работы. В августе 2020 года компания объявила о переходе во внешнее управление (британский эквивалент перехода к главе 11) в результате комбинации двух факторов: атаки вымогателей и пандемии Covid-19.
Другие значительные атаки месяца
- Учащиеся Объединенного школьного округа Питтсбурга, штат Пенсильвания остались без доступа в интернет после отключения сетевых систем округа во время праздничных каникул из-за атаки программы-вымогателя.
- Пациенты медицинской клиники в городе Мирамар, штат Флорида, получили от киберпреступников угрозы раскрыть их медицинские данные, если не будет уплачен выкуп.
Атаки программ-вымогателей в феврале 2020 года
2. Атака на компанию INA Group
В День Святого Валентина в результате кибератаки были остановлены бизнес-операции компании INA Group – крупнейшей нефтяной компании и сети заправочных станций Хорватии. В результате атаки имело место заражение программой вымогателем внутренних серверов компании с последующим шифрованием.
Атака не повлияла на возможность предоставлять потребителям топливо, однако был нарушен процесс выставления счетов, регистрации использования карт лояльности, выдачи новых мобильных ваучеров и оплаты клиентами определенных счетов.
Сообщается, что атака была вызвана программой-вымогателем Clop. Исследователи в области безопасности считают группу Clop «охотниками на крупную добычу». Этот термин описывает преступные группы, атакующие компании с целью заражения сетей, шифрования данные и требования выкупа в особо крупном размере.
Другие значительные атаки месяца
- Атаке подверглась медицинская компания NRC Health, работающая с 75% из 200 крупнейших больниц США. В ответ компания отключила системы, в том числе клиентские порталы, чтобы предотвратить утечку данных, включающих информацию о заработной плате сотрудников и о возмещении расходов из таких программ, как Medicare.
Атаки программ-вымогателей в марте 2020 года
3. Атака на компанию Communications & Power Industries
В марте выяснилось, что калифорнийская компания Communications & Power Industries (CPI), крупный производитель электроники, подверглась атаке программ-вымогателей.
Компания производит компоненты для военной техники и оборудования; одним из ее клиентов является Министерство обороны США. Атака программы-вымогателя произошла в результате того, что администратор домена компании перешел по вредоносной ссылке, и запустилось вредоносное ПО для шифрования файлов. Поскольку тысячи компьютеров в сети находились в одном несегментированном домене, программа-вымогатель быстро распространилась по всем офисам компании, включая локальные резервные копии.
Сообщается, компания заплатила 500 000 долларов в качестве выкупа. Неизвестно, какая именно программа-вымогатель была задействована при атаке.
Другие значительные атаки месяца
- В Великобритании лондонский Медицинский центр Хаммерсмит (Hammersmith) был атакован группой вымогателей Maze. В Медицинском центре проводятся ранние клинические испытания лекарств и вакцин. Атака произошла всего через несколько дней после того, как группа Maze пообещала не атаковать медицинские исследовательские организации во время пандемии Covid-19. После того, как Медицинский центр отказался выплатить выкуп, группа опубликовала личные данные тысяч его бывших пациентов. В средствах массовой информации цитировали директора Центра Малькольма Бойса, утверждавшего, что он скорее уйдет из бизнеса, чем заплатит выкуп.
Атаки программ-вымогателей в апреле 2020 года
4. Атака на компанию Energias de Portugal
В апреле сообщалось, что жертвой атаки стал португальский энергетический гигант Energias de Portugal (EDP). Киберпреступники зашифровали системы компании с использованием программы-вымогателя Ragnar Locker и потребовали выкуп в размере почти 10 миллионов долларов.
Злоумышленники утверждали, что украли и готовы обнародовать более 10 ТБ конфиденциальных данных компании, если не получат выкуп. В качестве доказательства они разместили скриншоты некоторых конфиденциальных данных на сайте утечки. Предположительно, эти данные включали конфиденциальную информацию о биллинге, контрактах, транзакциях, клиентах и партнерах.
EDP подтвердила факт атаки, но заявила, что доказательства компрометации конфиденциальных данных клиентов отсутствуют. Однако, исходя из того, что кража клиентских данных может обнаружиться в будущем, клиентам была предложена бесплатная защита личных данных от компании Experian в течение года.
Другие значительные атаки месяца
- Cognizant – компания, входящая в список Fortune 500, одна из крупнейших поставщиков ИТ-услуг в различных отраслях, сообщила, что подверглась атаке программ-вымогателей. Атака затронула внутренние системы компании и привела к удалению внутренней директории, что вызвало нарушение в обслуживании клиентов. В отчете о финансовых результатах за второй квартал 2020 года, вышедшем в конце июля, Cognizant сообщила, что выручка в бизнес-сегментах снизилась на 3,4% до 4 миллиардов долларов. Частично это произошло из-за апрельской атаки вымогателей.
Атаки программ-вымогателей в мае 2020 года
5. Атака на компанию Grubman Shire Meiselas & Sacks
В мае Grubman Shire Meiselas & Sacks, юридическая фирма из Нью-Йорка, клиентами которой являются мировые знаменитости, такие как Мадонна, Элтон Джон и Роберт Де Ниро, стала жертвой программы-вымогателя REVil.
Киберпреступники утверждали, что использовали программу-вымогатель REvil или Sodinokobi для кражи личных данных клиентов, включая контрактную информацию, номера телефонов, адреса электронной почты, личную переписку и соглашения о неразглашении. Злоумышленники пригрозили опубликовать эти данные в девять этапов, если не получат выкуп в размере 21 миллиона долларов. Их требование было удвоено до 42 миллионов долларов, когда юридическая фирма отказалась платить.
Сообщается, что среди пострадавших в результате атаки знаменитостей были Брюс Спрингстин, Леди Гага, Ники Минаж, Мэрайя Кэри и Мэри Джей Блайдж. Юридическая фирма заявила, что не будет вести переговоры со злоумышленниками, и обратилась в ФБР для расследования.
Другие значительные атаки месяца
- Университет штата Мичиган подвергся атаке программы-вымогателя NetWalker. NetWalker, также известная как Mailto – это программа-вымогатель, криминальный дебют которой состоялся в августе 2019 года. Злоумышленники заявили, что дают университету неделю, чтобы заплатить выкуп в обмен на доступ к зашифрованным файлам. В противном случае они угрожали утечкой личных и банковских данных студентов университета. В университете отказались платить выкуп, заявив, что прислушиваются к советам правоохранительных органов.
Атаки программ-вымогателей в июне 2020 года
6. Атака на компанию Honda
В июне автомобильный гигант Honda подвергся атаке программы-вымогателя Snake (также известной как Ekans), нацеленной на офисы компании в США, Европе и Японии. Как только атака была обнаружена, Honda приостановила определенные производства, чтобы устранить нарушения в компьютерной сети. Злоумышленники использовали программу-вымогатель для доступа и шифрования внутреннего сервера Honda и потребовали выкуп в обмен на предоставление ключа шифрования. Позже Honda сообщила, что никаких доказательств потери личных данных представлено не было.
Другие значительные атаки месяца
- Колумбийский колледж в Чикаго был атакован группой вымогателей NetWalker, которая грозила продать данные студентов в даркнете, если в течение шести дней не будет оплачен выкуп. Колледж признал, что в ходе атаки был получен доступ к личной информации некоторых пользователей, но не уточнил, был ли заплачен выкуп и велись ли переговоры со злоумышленниками.
Атаки программ-вымогателей в июле 2020 года
7. Атака на компанию Orange
В июле Orange, французская телекоммуникационная компания, четвертый по величине оператор мобильной связи в Европе, стала жертвой программы-вымогателя Nefilim. Было атаковано подразделение бизнес-услуг, и корпоративные данные компании Orange были добавлены на сайт Nefilim в даркнете, где подробно указаны все утечки данных, имевшие место 15 июля. Украденные выборки данных клиентов Orange, по словам группы Nefilim, были запакованы в архив размером 339 МБ.
Nefilim – относительно новая группа-разработчик программ-вымогателей, ставшая известной в 2020 году. По заявлению Orange, атака затронула данные около 20 корпоративных клиентов подразделения бизнес-услуг.
Другие значительные атаки месяца
- Правительство города Лафайет в штате Колорадо объявило в августе, что заплатило злоумышленникам 45 000 долларов после того, как устройства и данные были зашифрованы с помощью программ-вымогателей. Плата была произведена за получение ключа дешифрования после того, как не удалось восстановить системы из резервных копий. Правительство решило заплатить выкуп, чтобы свести к минимуму длительные перебои в обслуживании жителей. Тип использованной программы-вымогателя указан не был, однако в сообщении о сбоях говорилось, что были выведены из строя сетевые системы города. Атака повлияла на все, от систем онлайн-платежей до электронной почты и телефонных служб. Считается, что причиной стало фишинговое мошенничество или атака методом подбора пароля.
Атаки программ-вымогателей в августе 2020 года
8. Атака на университет штата Юта
В августе стало известно, что Университет штата Юта заплатил киберпреступникам выкуп в размере 457 000 долларов, чтобы они не раскрыли конфиденциальные файлы, украденные во время атаки с использованием программ-вымогателей. В рамках атаки были зашифрованы серверы факультета социальных и поведенческих наук, а злоумышленники украли незашифрованные данные до того, как зашифровать компьютеры.
Поскольку украденные данные содержали информацию о студентах и сотрудниках, университет решил заплатить выкуп, чтобы избежать утечки информации. Кроме того, всем студентам и сотрудникам пострадавшего факультета было рекомендовано следить за своей кредитной историей на предмет мошенничества и изменить все пароли, используемые в интернете.
Другие значительные атаки месяца
- Компания R1 RCM Inc. подверглась атаке программы-вымогателя. Эта компания, ранее называвшаяся Accretive Health Inc., является одной из крупнейших компаний США по взысканию медицинских долгов, имеет контракты с более чем 750 медицинскими организациями США и обрабатывает личные и медицинские данные десятков миллионов пациентов. В R1 RCM Inc. решили не раскрывать подробности о взломе и о том, какие системы и данные могли пострадать. Однако сообщалось, что при атаке использовалась программа-вымогатель Defray – целевая программа-вымогатель, обычно распространяемая через фишинговые сообщения электронной почты.
Атаки программ-вымогателей в сентябре 2020 года
9. Атака на компанию K-Electric
Сообщается, что в сентябре компания K-Electric, единственная распределительная электроэнергетическая компания в Карачи, Пакистан, подверглась атаке программы-вымогателя от группы Netwalker. Это привело к перебоям в работе биллинговой службы и предоставлении онлайн-услуг энергетической компании.
У компании K-Electric потребовали выкуп в размере 3,85 миллиона долларов, предупредив, что, если деньги не будут выплачены в течение семи дней, размер требований вырастет до 7,7 миллиона долларов. Группа Netwalker опубликовала архив размером 8,5 ГБ с файлами, предположительно украденными во время атаки, включая финансовые данные и сведения о клиентах.
Ранее группа Netwalker атаковала иммиграционные службы Аргентины, различные правительственные учреждения США и Калифорнийский университет в Сан-Франциско (заплативший выкуп более 1 миллиона долларов).
Компания K-Electric подтвердила, что произошел киберинцидент, но сообщила, что все критически важные клиентские службы полностью сохранили свои функции.
Другие значительные атаки месяца
- В результате атаки программы-вымогателя был взломан веб-сайт четвертого окружного суда Луизианы и опубликованы в интернете конфиденциальные документы. Атак была выполнена с использованием программы Conti –относительно новой программы-вымогателя. Документы, опубликованные злоумышленниками в даркнете, касаются свидетелей, присяжных и обвиняемых по текущим делам.
Атаки программ-вымогателей в октябре 2020 года
10. Атака на информационное агентство Press Trust of India
В октябре были взломаны серверы информационного агентства Press Trust of India (PTI), и его работа была приостановлена на несколько часов. Представитель компании охарактеризовал инцидент как массовую атаку программы-вымогателя, нарушившую работу агентства и рассылку новостей подписчикам по всей Индии.
Программа-вымогатель была идентифицирована как LockBit – вредоносная программа, блокирующая доступ к компьютерным системам и требующая выкуп за восстановление данных.
Другие значительные атаки месяца
- Software AG, одна из крупнейших компаний-разработчиков программного обеспечения, подверглась атаке со стороны группы вымогателей Clop, потребовавшей более 20 миллионов долларов. После того, как переговоры не увенчались успехом, злоумышленники опубликовали в даркнете скриншоты данных компании с изображениями отсканированных паспортов и удостоверений личности сотрудников, электронных писем сотрудников, финансовых документов и каталогов внутренней сети компании.
Атаки программ-вымогателей в ноябре 2020 года
11. Атака на Верховный суд Бразилии
В ноябре информационная инфраструктура Верховного суда Бразилии подверглась массированной атаке программ-вымогателей, в результате чего был отключен его веб-сайт.
Злоумышленники заявили, что база данных Суда полностью зашифрована и все попытки ее восстановить будут безрезультатными, а также оставили записку с требованием выкупа и просьбой связаться с ними по адресу электронной почты на сервисе ProtonMail. Злоумышленники также пытались атаковать другие веб-сайты, связанные с правительством Бразилии.
Другие значительные атаки месяца
- Футбольный клуб «Манчестер Юнайтед» попал в заголовки газет, когда выяснилось, что он подвергся кибератаке. Позже клуб подтвердил, что это была атака программы-вымогателя. Однако, несмотря на всю изощренность атаки, у клуба были развернутые протоколы и процедуры на случай такого события. В клубе смогли обеспечить надлежащую киберзащиту, идентифицировать атаку и отключить затронутые системы, чтобы ограничить ущерб и защитить данные.
Атаки программ-вымогателей в декабре 2020 года
12. Атака на компанию GenRx Pharmacy
В декабре GenRx Pharmacy, медицинская компания из Аризоны, предупредила сотни тысяч пациентов о потенциальной утечке данных в результате атаки программы-вымогателя несколькими месяцами ранее. Компания заявила, что злоумышленники удалили ряд файлов, в том числе медицинскую информацию, используемую для обработки и доставки пациентам прописанных продуктов.
Другие значительные атаки месяца
- Whirlpool, крупнейшая компания по производству бытовой техники, подверглась атаке программы-вымогателя со стороны группы Netfilim. В результате атаки сначала были украдены данные, а потом зашифрованы устройства. Позже украденные данные были опубликовали. Они включали документы, касающиеся выплат сотрудникам, запросы медицинской информации и проверки биографических данных.
Атаки программ-вымогателей становятся все более избирательными в отношении жертв и размеров выкупа. Утилита Kaspersky Anti-Ransomware обеспечивает защиту как для дома, так и для бизнеса. Однако, как и в случае с угрозами кибербезопасности, ключевым элементом защиты является бдительность.
Статьи по теме:
Основные атаки программ-вымогателей
Kaspersky
