Растут и аппетиты взломщиков — возврат похищенных данных с каждым разом обходится все дороже. Эксперты по кибербезопасности призывают компании не поддаваться на шантаж хакеров, но своими силами восстановить работоспособность систем удается далеко не всем.
«Мы начали атаку на поставщика услуг внешнего управления, — так начинается очередной пост хакеров в Happy Blog. — Было заражено более миллиона систем». Речь идет о системах международного производителя программного обеспечения Kaseya. В начале июля кибермошенники потребовали рекордный из всех известных выкупов — $70 млн в биткоинах в обмен на «универсальный дешифратор». Хакеры утверждают, что он поможет вновь получить доступ к файлам.
Такие истории за последние несколько лет стали делом привычным. Минфин США заявлял об активности кибервымогателей именно в 2021 году. По подсчетам Белого дома, хакеры смогли заработать на американском бизнесе около $400 млн, из которых $81 млн — только в I квартале 2021 года. И в ближайшие пять лет число кибератак ради выкупа не сократится, считают в Агентстве национальной безопасности США.
Начало
Первая подобная атака была зафиксирована еще до появления интернета — в 1982 году. По крайней мере, так утверждают военный эксперт Томас Рид и американский писатель-политолог Питер Швейцер в книге «Над бездной. История холодной войны, рассказанная ее участником». По их версии, группа хакеров встроила вирус в SCADA-систему, контролировавшую работу газопровода Уренгой — Сургут — Челябинск. Сбой в системе привел к самому мощному взрыву, который «когда-либо был виден из космоса». Авторы заявляют, что эту диверсию одобрил сам Рональд Рейган. Российская сторона эту информацию не комментирует.
Следующая резонансная атака произошла в 1992 году. Уволенный сотрудник американской Chevron взломал в офисах в Сан-Хосе и Нью-Йорке компьютерную систему, отвечавшую за предупреждение в случае аварии. И когда произошла утечка ядовитого вещества в Редмонде (штат Калифорния), система не сработала и не дала предупреждения об аварии. К счастью, никто не пострадал, но сбой системы подверг риску здоровье тысяч сотрудников Chevron.
$695 тыс.
потерял российский крупный бизнес в 2021 году из-за целенаправленных атак, малый и средний — $32 тыс., подсчитали специалисты «Лаборатории Касперского». Они заметили, что с таргетированными атаками в 2021 году столкнулись 35 % организаций по всей стране.
На 200 %
увеличилось количество атак на российские компании в 2021 году, согласно сведениям Group-IB.
Почему им платят
Хоть заголовки об очередной кибератаке и покорном внесении выкупа появляются все чаще, но это никак не связано со слабостью и податливостью бизнеса. «Основная проблема кроется в важности данных и сложности в восстановлении систем в случае отказа от выплаты. Каждая минута простоя крупных корпораций обходится слишком дорого, поэтому зачастую выплата выкупа становится более разумным с точки зрения денег решением», — заявила «Компании» директор по консалтингу ГК InfoWatch Ирина Зиновкина.
С ней согласен руководитель направления информационной безопасности IТ-компании КРОК Андрей Заикин. По его словам, в последние годы качество вирусов-шифровальщиков выросло, поэтому компании стали чаще идти на уступки, чтобы избежать больших потерь.
Российские хакеры в деле отличаются от своих «коллег» за рубежом. Так, ни одна из российских группировок не публикует информацию на сайтах жертв, отказавшихся платить, рассказали «Компании» в Group-IB. Но данные все-таки выгружаются — обычно кибермошенники предоставляют доказательства только в ходе переговоров.
Как это делается
Еще недавно хакеры пользовались лишь невнимательностью сотрудников. Они получали доступ к серверам с помощью фишингового письма, в котором был «зашит» вирус или находилась ссылка. Рассылка была массовой, а кибергруппировки чаще всего сами не знали, какая именно компания попадет в ловушку. Как только сотрудник нажимал на ссылку, он активировал программу-вымогатель, шифрующую серверы с данными компании. Теперь освободить данные можно было только с помощью специальных ключей. Их-то и предлагали хакеры в обмен на выкуп, который всегда должен быть обязательно в криптовалюте, — стандартная сумма выкупа составляла десятки, реже сотни тысяч долларов.
Но за последние два года их методы изменились. Фишинговая спам-рассылка осталась в прошлом, хакеры действуют точечно, компанию-жертву выбирают осмысленно, шантаж стал жестче, а выкуп стали оценивать в несколько миллионов долларов.
После удачного фишинга данные компании шифруются и блокируются. В текстовом файле хакеры оставляют сообщение в стиле «платите или сломаем/сольем все». В файле почти всегда есть пометка, в которой кибермошенники обещают выгрузить в даркнет на «стену позора» все похищенное вместе с данными других компаний, не заплативших выкуп после взлома. За этими объявлениями следят в том числе и журналисты, не давая компаниям шанса скрыть кибератаку.
Теперь жертве придется выбирать: заплатить несколько миллионов хакерам или увидеть свои секретные данные в открытом доступе. Если организация все же решила начать диалог с кибермошенниками, то лучше предоставить это дело профессионалам, считает руководитель лаборатории компьютерной криминалистики Group-IB Олег Скулкин. Выплаты мотивируют хакеров продолжать шантаж, поэтому стоит выбрать путь восстановления информации без «помощи» хакеров. «Нет никаких гарантий, что после выплаты данными не продолжат шантажировать, да и вообще их удастся восстановить. Безусловно, многие операторы вымогательского программного обеспечения стараются держать марку, но, как и везде, есть исключения», — объяснил «Компании» эксперт.
Заикин же убежден, что «вести переговоры с хакерами — дело неблагодарное». С этим согласны российский бизнес и госструктуры, которые практически никогда не ведут «торг» с кибермошенниками, отметил зам. генерального директора по науке и развитию компании ИВК, кандидат физико-математических наук Валерий Андреев. «Эта жесткая тактика, надо признать, снижает эффективность черного "бизнеса", построенного на хакерских атаках и вымогательстве», — добавил он.
Крупнейшие выкупы
CNA Financial — $40 млн
Одна из крупнейших американских страховых компаний CNA Financial заплатила $40 млн за восстановление доступа к системам после кибератаки. Это произошло в мае 2021 года. Хакеры забрали с собой некие конфиденциальные данные, однако неизвестно, что именно было украдено. Сначала компания старалась собственными силами вернуть все в рабочее состояние, но попытки были безуспешными, поэтому пришлось обратиться «за помощью» к взломщикам. В компании заверили клиентов, что системы с данными регистрации, урегулирования претензий и андеррайтинга не пострадали.
JBS — $11 млн
Кибератака на серверы заводов крупнейшей в мире мясоперерабатывающей компании JBS произошла 30 мая. Это заморозило работу предприятий компании в Канаде, Австралии и США. Долгий простой грозил страшными потерями, поэтому JBS решила выкупить все доступы. Гендиректор JBS USA Андре Ногейра рассказывал, что выплата стала «очень трудным решением для компании» и для него лично. Масштабы последствий кибератаки почувствовали бы по всем штатам США, поскольку действия хакеров могли разорвать цепочки поставок продуктов питания и привести к росту цен на них, писал BBC. Ряд СМИ винил в атаке уже известную группировку REvil.
Garmin — $10 млн
Владельцы умных часов Garmin начали жаловаться на сбои в конце июля 2020 года. Пока они пытались синхронизировать данные через смартфоны, взломавшие серверы Garmin хакеры уже требовали от компании выкуп в $10 млн. Сама Garmin до последнего скрывала кибератаку, объясняя сбои очередным техобслуживанием серверов. Для решения вопроса Garmin привлекла компанию-переговорщика Arete IR. Однако ключ для расшифровки был получен только после отправки выкупа. СМИ обвиняли в атаке хакеров группировки Evil Corp, которые могли взломать серверы Garmin с помощью вируса-вымогателя WastedLocker.
CWT Global — $4,5 млн
Почти сразу за Garmin хакеры из Ragnar Locker атаковали крупное европейское турагентство Carlson Wagonlit Travel (CWT). В конце июля 2020-го они потребовали $4,5 млн и, конечно, в биткоинах. Изначально сумма выкупа была выше — $10 млн. Хакеры снизили ее после диалога с представителем CWT, который рассказал о крупных потерях турагентства во время пандемии коронавируса.
Colonial Pipeline — $4,4 млн
За последствиями кибератаки на один из крупнейших трубопроводных операторов США следил, наверное, весь мир. Атака произошла 6 мая, на следующий день Colonial Pipeline остановила работу трубопровода. Поскольку оператор обеспечивает 45 % топливных поставок на Востоке США, кибератака могла взвинтить цены на бензин в стране до самого высокого с 2014 года уровня, предупреждал Bloomberg. Хакеры грозились слить внутренние данные и продолжить блокировку систем, если Colonial Pipeline не заплатит выкуп в 75 биткоинов (около $4,4 млн) в обмен на ключи дешифрования. Компания до последнего отказывалась платить выкуп, но все же уступила. СМИ и ФБР винили в атаке ребят из DarkSide и пытались вернуть деньги. В начале июня Минюст США все-таки смог вытащить с криптокошельков 63,7 биткоина (около $2,3 млн), что вызвало очередную волну обсуждений реальной анонимности цифровых валют.
FatFace — $2 млн
В марте 2021-го британский ритейлер одежды FatFace разослал своим покупателям письма, в которых рассказал о кибератаке и просил «сохранить конфиденциальность». Позже СМИ стало известно, что хакеры смогли похитить имена и фамилии клиентов, адреса их электронных почт, а также данные последних четырех цифр номера банковских карт и срок их действия. В разосланном клиентам письме FatFace все это решила не уточнять. По данным Computer Weekly, за взломом и хищением 200 ГБ данных стояла группировка Conti. Хакеры требовали выкуп в размере $8 млн. Переговорщик от ритейлера пытался снизить цену выкупа, педалируя тему низкой выручки после закрытия магазинов на фоне пандемии. Но шантажисты проявили осведомленность, указав, что страховой полис ритейлера покрывает вымогательство как страховой случай на £7,5 млн (более $10,6 млн). В итоге стороны сошлись на $2 млн.
Калифорнийский университет в Сан-Франциско — $1,14 млн
Он стал жертвой хакеров в начале июня 2020 года. Так, кибермошенники заразили хранилище университета, в котором хранились важнейшие исследования Калифорнийского университета. Хакеры действовали стандартно для таких ситуаций, обещая дешифровщик в обмен на криптовалюту. Единственное, что смогли сделать в университете для остановки распространения вируса, — это выключить компьютеры из сети. Разговор с хакерами был неизбежен. Сотрудники университета пытались снизить сумму до $780 тыс. Но хакеров это не устроило, ведь они «не работают бесплатно». Университет двое суток продолжал виртуальные торги. Стороны договорились о сумме в 116 биткоинов, что стало «трудным решением» для университета.
Nayana — $1 млн
Атака на южнокорейскую хостинговую компанию Nayana в июне 2017 года «отключила» более 3,4 тыс. сайтов разных компаний. Linux-сервера Nayana были заражены вирусом-шифровальщиком Erebus 153. На этих же серверах компания хранила и копии своих данных, но их тоже заразили. Переговоры с хакерами привели к тому, что Nayana начала «готовить деньги на покупку биткоинов» для выкупа. Глава компании Nayana Хван Чилхон заявлял, что другого выхода не было, ведь под ударом находились сотни тысяч конечных пользователей.
Sapiens International — $250 тыс.
Израильская корпорация Sapiens International пережила кибератаку в марте-апреле прошлого года. И снова заражение серверов вирусами-вымогателями и требования о выкупе. Конечно, в биткоинах. Неизвестно, кто стоял за атакой. Компания не стала комментировать выкуп, о котором сообщили СМИ. Известно, что в день атаки компания переводила своих сотрудников на удаленку. Не исключено, что хакеры могли втиснуться в уязвимость, образовавшуюся при подключении удаленного доступа.
Uber — $100 тыс.
«Самый лучший секрет — это тот, который оставляешь при себе». Скорее всего, именно так подумал бывший начальник службы безопасности Uber Джозеф Салливан, ничего не сказав о кибератаке, которая унесла в сеть данные 57 млн водителей и пользователей сервиса. Атака произошла в октябре 2016 года. В компании не оповестили об этом власти, а решили проблему самостоятельно — Салливан заплатил хакерам $100 тыс. в биткоинах и попросил молчать. Однако через год, когда увольняли начальника службы безопасности и меняли главу Uber, все секреты вскрылись. Тогда Салливан, а позже и сами хакеры были арестованы. При этом Салливан в суде заявлял, что делал все с одобрения юридического отдела Uber. Слушания по делу Салливана продолжаются до сих пор, ему грозит до восьми лет тюрьмы.
Первые киберлица
Эксперты Group-IB и ESET выделяют пять наиболее опасных кибергруппировок.
REvil или Sodinokibi
REvil попала в заголовки СМИ после атаки на крупнейшего в мире производителя мяса JBS. Также на совести группировки взлом Quanta — тайваньского поставщика Apple, Acer, Honeywell, Sol Oriens и июльская масштабная кибератака, затронувшая более тысячи компаний. Американские эксперты по кибербезопасности утверждают, что хакеры из REvil говорят и пишут на русском языке. Не исключается, что они «находятся под защитой российской разведки или российского правительства», говорил Марк Блейхер, топ-менеджер компании Arete Incident Response, которая ведет переговоры с хакерами.
После успешных и прибыльных атак в июле 2021 года REvil ушла в офлайн, не объяснив причин. Их уход связывали с телефонным разговором президентов Владимира Путина и Джо Байдена 9 июля. Последний требовал от главы РФ пресечь деятельность хакеров-вымогателей, базирующихся в России. Были и другие версии: от давления властей до попытки залечь на дно из-за большой известности. Но уже в начале сентября стало известно о новом образце вируса-шифровальщика, датированного 4 сентября. По словам источников Bleeping Computer, REvil не уходили, а просто взяли паузу.
А в январе ФСБ заявила о ликвидации хакерской группировки. По заявлению ведомства, ФСБ удалось установить полный состав Revil и причастность 14 его членов к неправомерному обороту средств. У них были изъяты 426 миллионов рублей, € 500 тысяч, $ 600 тысяч, а также 20 премиум-автомобилей, приобретенных на украденные деньги.
Осведомленный источник «Компании» отмечает, что REvil — «всего лишь посредники». «По закону REvil даже предъявить нечего. Они всего лишь предлагают собственный шифровальщик данных в аренду хакерам», — объяснил он. Собеседник также добавил, что, по его информации, силовики задержали не членов группировки REvil, а «арендаторов программы-локера». Сами хакеры пока остаются на свободе, отметил он.
DarkSide
Впервые об этой группировке стало известно в августе 2020 года. Она играет по-крупному — целью DarkSide стали крупные компании, атака на которые рушит производство. Чем серьезней последствия, тем выше вероятность получить выкуп. По данным специалистов по кибербезопасности Group-IB, DarkSide — «российская группировка 100 %». Они выпустили две версии вредоносного ПО, которое используют для атак, рассказали эксперты журналу «Компания». DarkSide работает по модели Ransomware-as-a-Service («Вымогательство как услуга»). То есть они дают в аренду или продают свои программы другим хакерам и получают 10–5 % от суммы выкупа.
Clop
Эта группировка специализируется на «двойном вымогательстве»: сначала они требуют выкуп, но после его получения предлагают заплатить еще, чтобы украденные данные не утекли в сеть. Общая сумма «выбитых» группировкой средств, по некоторым данным, могла достичь полумиллиарда долларов. В начале июля украинская киберполиция отчиталась об аресте шести человек из группировки. Но это не помешало Clop в конце того же месяца слить в сеть новый архив с украденными данными. Хакеры из Clop приобрели известность за счет предпочтения атаковать сети компаний, использующих устаревший файлообменный сервис Accellion FTA (File Transfer Application). К примеру, им оказался канадский производитель самолетов и космической техники Bombardier.
Evil Corp
По мнению Минфина США, это крупнейшая хакерская группировка, которая базируется в Москве. Американские власти связали с Evil Corp 17 человек, которых обвинили в киберпреступлениях и хищении более $100 млн у сотен банков по всему миру. Помимо США, хакеры успели напасть на разные организации в 40 странах мира. Их предположительными жертвами называют Bank of America и нефтяную компанию Penneco Oil, потерявших миллионы долларов. Главой Evil Corp власти США считают россиянина Максима Якубца, они связывают его с российскими спецслужбами. Согласно расследованиям СМИ, Якубец не только воровал банковские данные, но и занимался взломами по заказу российских спецслужб.
FIN7
Эту группировку называют самой успешной и опасной. Ущерб от их деятельности исчисляется более чем миллиардом долларов. Жертвами стали крупные сети американских ресторанов Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin и Jason’s Deli. Также FIN7 причастна к взлому тысячи различных систем более 100 компаний и организаций в США, что позволило получить хакерам доступ к более чем 15 млн платежных карт.
В группировке до первых арестов состояли более 70 человек. У каждого из них были свои обязанности: одни брали на себя только взлом, другие занимались вредоносным ПО или фишингом. В 2018 году силовики смогли арестовать трех членов группировки, в 2021-м был задержан один «высокопоставленный организатор». Потери группировку не остановили — в начале сентября FIN7 создала новую кампанию по распространению вирусов, основанную на любопытстве жертв и их интересе к новой операционной системе Windows 11.
Анонимность — временное прикрытие
Лучшим примером стала яркая, но короткая история группировки LulzSec. Она появилась в 2011-м и за тот же год собрали немалое количество трофеев: похитили данные примерно 77 млн пользователей сети PlayStation Network компании Sony, атаковали серверы японской Nintendo, телеканалов Fox и PBS, сайтов сената и ЦРУ США, а также британского Агентства по раскрытию тяжких преступлений и борьбе с организованной преступностью (SOCA). Личности в группировке тщательно скрывались, но вскоре в сети появились ники ее неформальных глав — AnonymouSabu (или просто Sabu) и Kayla.
Существует конспирологическая версия появления LulzSec, она особенно распространена в Японии: группировку создали конкуренты Sony ради взлома ее информационной системы и публичного унижения компании. Если исходить из этой версии, остальные хакерские атаки — всего лишь попытка замести следы.
В интервью AP зазнавшиеся хакеры заявляли, что обладают 5 Гб данных, принадлежащих правительству и правоохранительным органам, которые после и опубликовали. В сеть проникла внутренняя информация американского конгломерата AT&T, IP-адреса Sony, Viacom и Disney, EMI и NBC Universal, более 750 тыс. данных для входа на разные веб-сайты, а также список адресов e-mail и паролей правительственных чиновников и военных, которые особо интересовались взрослым контентом в сети.
Однако никто не знал, что на тот момент ФБР уже завербовала 28-летнего жителя Нью-Йорка Гектора Ксавье Монсегюра, скрывавшегося под ником AnonymouSabu. Через него спецслужбы вышли на остальных. В начале марта 2012 года спецслужбы США и Ирландии арестовали остальных участников. Еще через год все хакеры LulzSec были приговорены к тюремным срокам от нескольких месяцев до без малого трех лет. Сотрудничество Монсегюра со спецслужбами сократило срок его наказания с возможных 26 лет до семи месяцев.
Мустафа Аль-Бассам, соучредитель хакерской группы LulzSec, позже стал соучредителем Chainspace, компании, реализующей платформу смарт-контрактов, которая была приобретена Facebook в 2019 году. В настоящее время он аспирант исследовательской группы по информационной безопасности Университетского колледжа Лондона, где работает над одноранговыми системами.
Антикризисный алгоритм
Если хакеры все же смогли внедриться в серверы компании, необходимо грамотно оценить ситуацию.
Выяснить, что именно подверглось атаке.
Насколько быстро можно обнаружить и устранить уязвимость.
Сколько будет стоить устранение, если оно возможно.
«Общая рекомендация — не идти на поводу у хакеров, не вступать с ними в переговоры, если предприятие обладает ресурсами для быстрого противодействия угрозе, а она сама не критически значимая», — предлагает Заикин. По его словам, важно развивать в сотрудниках киберосознанность, проводя обучения и тренинги. Скулкин напомнил, что не стоит забывать о резервных копиях и практической информационной безопасности.
В ИВК советуют организовать инфраструктуру так, чтобы важное ПО и данные хранились на серверах, а не на компьютерах пользователей. В этом случае рабочие места сотрудников можно будет переоснастить, хоть это и потребует затрат. «Но они [затраты] не сопоставимы с финансовыми потерями от вмешательства в работу критических информационных систем, утраты данных или блокировки доступа к ним», — заключает Андреев. В любом случае универсального сценария не существует. На поведение компании будут влиять разные факторы: особенность кибератаки, секретность и ценность затронутых данных и сумма ущерба. Но если компания решит вступить в переговоры с кибершантажистами, то тут на сцене появляется новое действующее лицо — «кибер-переговорщик». Профессия пока новая, но очень перспективная.