«Ваши данные зашифрованы»

Программы-вымогатели (Ransomware) – одна главных киберугроз для компаний по всему миру. С их помощью злоумышленники блокируют доступ к системе или шифруют отдельные данные, а затем требуют выкуп. Пострадать от хакеров может любая компания, но в основном они целятся в крупных игроков, для которых приостановка работы имеет критическое значение. Вспомним несколько громких атак, которые произошли в 2023 году.

Атака на Королевскую почту Великобритании

В январе 2023 года Королевскую почту Великобритании атаковала одна из самых активных хакерских группировок в мире – LockBit. Как правило, ее целью становятся крупные компании и правительственные учреждения. В результате атаки нарушилась работа программного обеспечения компании, в итоге была заблокирована доставка международной почты, перестал работать сайт для отслеживания посылок, онлайн-­оплата посылок и другие важные сервисы. Злоумышленники также зашифровали данные, которые могут иметь важное значение для компании. При этом в распределительном центре Королевской почты в Северной Ирландии принтеры массово распечатывали обращение злоумышленников. Хакеры из LockBit угрожали, что могут выложить похищенные ими данные в интернет, за что компания получит штраф, и потребовали выкуп в размере $80 миллионов. Однако Королевская почта Великобритании назвала требование абсурдным и не стала платить выкуп.

Атака на NCR – производителя торговой техники

Весной, в апреле 2023 года, американскую компанию NCR атаковала группировка ALPHV (также известна как BlackCat – по названию используемой программы-вымогателя). Эта фирма предоставляет решения для цифрового банкинга, POS-системы (программно-аппаратные комплексы для организации торговли), сервисы для обработки платежей. Атака шифровальщика привела к сбою в работе дата-центров, ответственных за работу платформы Aloha POS. Ее используют рестораны для проведения основных торговых операций, например приема онлайн-заказов, для обработки платежей, работы с программами лояльности, для организации процесса приготовления блюд, начисления заработной платы. В результате сотрудникам некоторых заведений пришлось заниматься этим вручную: некоторые клиенты отмечали, что им пришлось по старинке буквально использовать ручку и бумагу.

Атака на город Даллас

Нередко мишенью злоумышленников становятся государственные учреждения. В мае прошлого года от шифровальщиков пострадали муниципальные службы Далласа (штат Техас), девятого по численности города в США. Атаку совершила группировка Royal ransomware. В результате инцидента была нарушена работа некоторых внутренних систем, в том числе ИТ-сервисов местной полиции. Диспетчеры, которые обрабатывали информацию об экстренных вызовах, не могли заносить полученную информацию в компьютеры, также временно не работал сайт полицейского управления. Помимо этого, из-за неполадок в ИТ-системах пришлось отложить суды присяжных. СМИ также сообщали, что, как и в случае с Королевской почтой Великобритании, на принтерах распечатывались записки с требованием выкупа. Подобные случаи – не редкость. Например, в том же месяце хакеры из группировки BlackByte атаковали ИТ-системы другого американского города – Огаста в штате Джорджия.

Атака на Гавайский университет

Бывают случаи, когда организации решают заплатить злоумышленникам выкуп. Такой инцидент произошел с Гавайским общественным колледжем (одно из подразделений Гавайского университета), на который совершила атаку относительно новая группировка NoEscape в июне 2023 года. Хакеры угрожали опубликовать 65 Гбайт данных, в которых могли содержаться личные сведения 28 тысяч человек. Чтобы защитить конфиденциальную информацию этих людей, руководство университета после сложных обсуждений решило пойти на переговоры и заплатить выкуп. Договоренностей удалось достичь, однако на восстановление ИТ-инфраструктуры все равно пришлось потратить около пары месяцев.

Важно отметить, что специалисты в области кибербезопасности не рекомендуют организациям платить выкуп. Во-первых, в случае со злоумышленниками никогда нет абсолютных гарантий: они, например, могут не уничтожить данные, которые обещали не публиковать. Может случиться и так, что зашифрованные сведения не удастся восстановить из-за ошибки. Что еще более важно – это показывает хакерам, что их методы работают эффективно, а значит, подобные инциденты будут только множиться. Таким образом, перечисляя выкуп, организации финансируют деятельность злоумышленников.

Атака на авиакомпанию Air Canada

В октябре 2023 года злоумышленники из группировки BianLian атаковали авиакомпанию Air Canada – крупнейшего перевозчика Канады. Они утверждали, что им удалось получить 210 Гбайт данных, в которых содержится чувствительная информация – например, данные о сотрудниках компании и поставщиках, конфиденциальные документы, сведения о технических проблемах. В качестве доказательства злоумышленники опубликовали несколько скриншотов. В самой компании заявляли, что им известно об угрозах, однако подробно комментировать анонимные заявления хакеров отказались. При этом авиаперевозчик разослал некоторым своим клиентам электронные письма, в которых призвал соблюдать основные меры безопасности – использовать двухфакторную аутентификацию и защищать свой аккаунт с помощью сложных паролей.

Как защититься от шифровальщиков

Чтобы эффективно противостоять злоумышленникам, важно комплексно подходить к кибербезопасности организации – одинаково важны как защитные технические средства, так и высокий уровень цифровой грамотности сотрудников. Для этого рекомендуется:

1. Обучать сотрудников основам кибербезопасности. Часто атаки становятся возможными по причине человеческого фактора: из-за невнимательности или недостаточной осведомленности сотрудника. Поэтому необходимо организовывать обучающие курсы и тренинги, проводить учебные «атаки», чтобы работники лучше понимали, как действовать в случае реальных инцидентов.
2. Выработать четкий план действий на случай инцидентов. В частности, чтобы сотрудники знали, к кому обратиться в случае возможной атаки, и не усугубляли ситуацию, пытаясь самостоятельно решить проблему.
3. Регулярно обновлять программное обеспечение на всех рабочих устройствах. Часто в них содержатся важные исправления в области безопасности – например, исправления критических уязвимостей, которыми могут воспользоваться злоумышленники при атаках.
4. Регулярно создавать резервные копии данных, до которых не смогут добраться злоумышленники.
5. Использовать надежные защитные решения, к примеру от «Лаборатории Касперского», которые распознают угрозы разного типа, в их числе попытки атак программ-шифровальщиков. Это поможет своевременно обнаружить инцидент и оперативно принять необходимые меры.

Для борьбы с программами-шифровальщиками также была создана международная инициатива – No More Ransom. На этом сайте можно найти ключи и утилиты, с помощью которых в некоторых случаях можно расшифровать данные, заблокированные вредоносными программами. Также на этом ресурсе можно узнать ответы на распространенные вопросы об атаках шифровальщиков.