Атаки программ-вымогателей – это большой бизнес. По оценкам, к концу 2021 года атаки программ-вымогателей будут происходить каждые 11 секунд, нанося ущерб до 20 миллиардов долларов. Атаки программ-вымогателей затрагивают не только организации, такие как предприятия, правительства и медицинские учреждения, они также распространяются на клиентов и сотрудников, данные которых также часто страдают от атак такого типа.
В рамках атак программ-вымогателей для шифрования данных и файлов используется вредоносное ПО. В этом плане они отличаются от вымогательства с использованием DDoS-атак (распределенного отказа в обслуживании), цель которых – создать избыточный трафик на объекты жертвы с обещанием прекратить его после получения выкупа.
Некоторые организации предпочитают оплатить выкуп, требуемый программой-вымогателем, хотя это не рекомендуется. Во-первых, нет гарантии, что будет восстановлен доступ к зараженным системам, а во-вторых, получение выкупа стимулирует злоумышленников продолжать эти формы кибератак. Многие компании не обнародуют информацию об атаках программ-вымогателей, и даже если сообщают о них, то не раскрывают размер требований злоумышленников.
Далее будут рассмотрены основные атаки программ-вымогателей с января по декабрь 2020 года.
Год начался с атаки на валютную компанию Travelex: ее вынудили отключить все компьютерные системы и полагаться на ручку и бумагу. В результате компании пришлось отключить веб-сайты в 30 странах.
Атакой совершена группой злоумышленников Sodinokibi (также известная как REvil), которая требовала от Travelex 6 миллионов долларов. Злоумышленники утверждали, что получили доступ к компьютерной сети компании за шесть месяцев до атаки, и это позволило им получить 5 ГБ конфиденциальных данных о клиентах, включая даты рождения и номера кредитных карт. Также они заявили, что если Travelex заплатит выкуп, они удалят данные, в противном случае сумма выкупа будет удваиваться каждые два дня. Через семь дней они заявили, что продадут данные другим киберпреступникам.
Сообщается, что компания Travelex заплатила вымогателям 2,3 миллиона долларов в биткойнах и восстановила онлайн-системы после двух недель автономной работы. В августе 2020 года компания объявила о переходе во внешнее управление (британский эквивалент перехода к главе 11) в результате комбинации двух факторов: атаки вымогателей и пандемии Covid-19.
В День Святого Валентина в результате кибератаки были остановлены бизнес-операции компании INA Group – крупнейшей нефтяной компании и сети заправочных станций Хорватии. В результате атаки имело место заражение программой вымогателем внутренних серверов компании с последующим шифрованием.
Атака не повлияла на возможность предоставлять потребителям топливо, однако был нарушен процесс выставления счетов, регистрации использования карт лояльности, выдачи новых мобильных ваучеров и оплаты клиентами определенных счетов.
Сообщается, что атака была вызвана программой-вымогателем Clop. Исследователи в области безопасности считают группу Clop «охотниками на крупную добычу». Этот термин описывает преступные группы, атакующие компании с целью заражения сетей, шифрования данные и требования выкупа в особо крупном размере.
В марте выяснилось, что калифорнийская компания Communications & Power Industries (CPI), крупный производитель электроники, подверглась атаке программ-вымогателей.
Компания производит компоненты для военной техники и оборудования; одним из ее клиентов является Министерство обороны США. Атака программы-вымогателя произошла в результате того, что администратор домена компании перешел по вредоносной ссылке, и запустилось вредоносное ПО для шифрования файлов. Поскольку тысячи компьютеров в сети находились в одном несегментированном домене, программа-вымогатель быстро распространилась по всем офисам компании, включая локальные резервные копии.
Сообщается, компания заплатила 500 000 долларов в качестве выкупа. Неизвестно, какая именно программа-вымогатель была задействована при атаке.
В апреле сообщалось, что жертвой атаки стал португальский энергетический гигант Energias de Portugal (EDP). Киберпреступники зашифровали системы компании с использованием программы-вымогателя Ragnar Locker и потребовали выкуп в размере почти 10 миллионов долларов.
Злоумышленники утверждали, что украли и готовы обнародовать более 10 ТБ конфиденциальных данных компании, если не получат выкуп. В качестве доказательства они разместили скриншоты некоторых конфиденциальных данных на сайте утечки. Предположительно, эти данные включали конфиденциальную информацию о биллинге, контрактах, транзакциях, клиентах и партнерах.
EDP подтвердила факт атаки, но заявила, что доказательства компрометации конфиденциальных данных клиентов отсутствуют. Однако, исходя из того, что кража клиентских данных может обнаружиться в будущем, клиентам была предложена бесплатная защита личных данных от компании Experian в течение года.
В мае Grubman Shire Meiselas & Sacks, юридическая фирма из Нью-Йорка, клиентами которой являются мировые знаменитости, такие как Мадонна, Элтон Джон и Роберт Де Ниро, стала жертвой программы-вымогателя REVil.
Киберпреступники утверждали, что использовали программу-вымогатель REvil или Sodinokobi для кражи личных данных клиентов, включая контрактную информацию, номера телефонов, адреса электронной почты, личную переписку и соглашения о неразглашении. Злоумышленники пригрозили опубликовать эти данные в девять этапов, если не получат выкуп в размере 21 миллиона долларов. Их требование было удвоено до 42 миллионов долларов, когда юридическая фирма отказалась платить.
Сообщается, что среди пострадавших в результате атаки знаменитостей были Брюс Спрингстин, Леди Гага, Ники Минаж, Мэрайя Кэри и Мэри Джей Блайдж. Юридическая фирма заявила, что не будет вести переговоры со злоумышленниками, и обратилась в ФБР для расследования.
В июне автомобильный гигант Honda подвергся атаке программы-вымогателя Snake (также известной как Ekans), нацеленной на офисы компании в США, Европе и Японии. Как только атака была обнаружена, Honda приостановила определенные производства, чтобы устранить нарушения в компьютерной сети. Злоумышленники использовали программу-вымогатель для доступа и шифрования внутреннего сервера Honda и потребовали выкуп в обмен на предоставление ключа шифрования. Позже Honda сообщила, что никаких доказательств потери личных данных представлено не было.
В июле Orange, французская телекоммуникационная компания, четвертый по величине оператор мобильной связи в Европе, стала жертвой программы-вымогателя Nefilim. Было атаковано подразделение бизнес-услуг, и корпоративные данные компании Orange были добавлены на сайт Nefilim в даркнете, где подробно указаны все утечки данных, имевшие место 15 июля. Украденные выборки данных клиентов Orange, по словам группы Nefilim, были запакованы в архив размером 339 МБ.
Nefilim – относительно новая группа-разработчик программ-вымогателей, ставшая известной в 2020 году. По заявлению Orange, атака затронула данные около 20 корпоративных клиентов подразделения бизнес-услуг.
В августе стало известно, что Университет штата Юта заплатил киберпреступникам выкуп в размере 457 000 долларов, чтобы они не раскрыли конфиденциальные файлы, украденные во время атаки с использованием программ-вымогателей. В рамках атаки были зашифрованы серверы факультета социальных и поведенческих наук, а злоумышленники украли незашифрованные данные до того, как зашифровать компьютеры.
Поскольку украденные данные содержали информацию о студентах и сотрудниках, университет решил заплатить выкуп, чтобы избежать утечки информации. Кроме того, всем студентам и сотрудникам пострадавшего факультета было рекомендовано следить за своей кредитной историей на предмет мошенничества и изменить все пароли, используемые в интернете.
Сообщается, что в сентябре компания K-Electric, единственная распределительная электроэнергетическая компания в Карачи, Пакистан, подверглась атаке программы-вымогателя от группы Netwalker. Это привело к перебоям в работе биллинговой службы и предоставлении онлайн-услуг энергетической компании.
У компании K-Electric потребовали выкуп в размере 3,85 миллиона долларов, предупредив, что, если деньги не будут выплачены в течение семи дней, размер требований вырастет до 7,7 миллиона долларов. Группа Netwalker опубликовала архив размером 8,5 ГБ с файлами, предположительно украденными во время атаки, включая финансовые данные и сведения о клиентах.
Ранее группа Netwalker атаковала иммиграционные службы Аргентины, различные правительственные учреждения США и Калифорнийский университет в Сан-Франциско (заплативший выкуп более 1 миллиона долларов).
Компания K-Electric подтвердила, что произошел киберинцидент, но сообщила, что все критически важные клиентские службы полностью сохранили свои функции.
В октябре были взломаны серверы информационного агентства Press Trust of India (PTI), и его работа была приостановлена на несколько часов. Представитель компании охарактеризовал инцидент как массовую атаку программы-вымогателя, нарушившую работу агентства и рассылку новостей подписчикам по всей Индии.
Программа-вымогатель была идентифицирована как LockBit – вредоносная программа, блокирующая доступ к компьютерным системам и требующая выкуп за восстановление данных.
В ноябре информационная инфраструктура Верховного суда Бразилии подверглась массированной атаке программ-вымогателей, в результате чего был отключен его веб-сайт.
Злоумышленники заявили, что база данных Суда полностью зашифрована и все попытки ее восстановить будут безрезультатными, а также оставили записку с требованием выкупа и просьбой связаться с ними по адресу электронной почты на сервисе ProtonMail. Злоумышленники также пытались атаковать другие веб-сайты, связанные с правительством Бразилии.
В декабре GenRx Pharmacy, медицинская компания из Аризоны, предупредила сотни тысяч пациентов о потенциальной утечке данных в результате атаки программы-вымогателя несколькими месяцами ранее. Компания заявила, что злоумышленники удалили ряд файлов, в том числе медицинскую информацию, используемую для обработки и доставки пациентам прописанных продуктов.
Атаки программ-вымогателей становятся все более избирательными в отношении жертв и размеров выкупа. Утилита Kaspersky Anti-Ransomware обеспечивает защиту как для дома, так и для бизнеса. Однако, как и в случае с угрозами кибербезопасности, ключевым элементом защиты является бдительность.
Статьи по теме: