Довгий час від Continental не було жодної заяви про кібератаку, крадіжку 40 ТБ даних і вимогу викупу спочатку в 50, а потім і в 40 мільйонів доларів. Continental зараз уточнює, що сталося і як реагувати.
Фактична атака на Continental, ймовірно, відбулася в серпні 2022 року. Тоді Continental оголосив, що все гаразд. Повідомляється, що напад було помічено та відбито. Але далеко не так: хакери, ймовірно, на той час ще були в мережі Continental або ще мали доступ. Під час повсякденної роботи понад 40 ТБ даних було знято протягом невідомого періоду часу – Continental цього не помітила.
Зараз Continental надає публічну інформацію
Continental зараз оголошує: «Continental став мішенню кіберзлочинців. Компанія запобігла атаці на початку серпня та відновила цілісність своїх ІТ-систем. Ділова діяльність Continental не постраждала. Тим часом розслідування інциденту показало, що зловмисники також змогли викрасти частину даних з уражених ІТ-систем, незважаючи на встановлені заходи безпеки. Розслідування, проведене за підтримки зовнішніх експертів з кібербезпеки, а також аналіз даних наразі тривають і виконуються з найвищим пріоритетом».
Короткий курс крадіжки даних
У самій компанії описують, як відбувалися деякі етапи кібератаки. Ось скорочена версія:
- 4 серпня 2022 року: Continental негайно починає розслідування справи. Також компанія співпрацює із зовнішніми експертами.
- Зловмисник вийшов на контакт із Continental у середині вересня. Згодом Continental припинив контакт із нападниками.
- 9 листопада 2022 року зловмисник запропонував видалити або продати дані за 50 мільйонів доларів у темній мережі. 29 листопада 2022 року його було зменшено до 40 мільйонів доларів.
- Крім того, 10 листопада 2022 року зловмисники оприлюднили список даних, якими, за їхніми словами, володіють. Детальний вміст файлу не буде опубліковано.
- Наразі Continental припускає витік даних понад 40 ТБ. Вміст файлу наразі не опубліковано.
- Continental наразі не має жодних ознак того, що даними було маніпулювано чи продукти були зламані.
- Continental співпрацює з відомою аудиторською компанією для технологічного аналізу даних.
Без викупу - поради від BSI
Крім того, керівництво компанії заявляє, що «Continental не прийматиме викупні платежі. Виплата викупу лише допомогла б продовжити фінансування атак на безпеку критичної інфраструктури, такої як електропостачання та лікарні, навчальні заклади та економіку. З таким ставленням компанія також дотримується існуючих рекомендацій Федерального управління інформаційної безпеки (BSI), Федерального управління кримінальної поліції (BKA) і федерального уряду».
Чому ніхто не помітив?
За словами Continental, це не є чимось незвичайним, оскільки досвід показує, що атаки програм-вимагачів залишаються непоміченими в середньому протягом кількох місяців. «Однією з причин цього є те, що великі компанії, зокрема, обмінюються великою кількістю даних, і передача даних близько 40 ТБ, як у даному випадку, не є відразу важливою». Інші звіти стверджують, що компанія переміщує близько 200 ТБ на день. Водночас подальша судово-медична експертиза ще займе деякий час, оскільки «через потенційну кількість даних (понад 55 мільйонів записів файлів) аналіз даних, ймовірно, займе кілька тижнів».
Як хакери потрапили в Continental?
У компанії кажуть: «Розслідування кібератаки все ще триває, включаючи розслідування того, з чого зловмисники могли почати. Початкові дані свідчать про те, що зловмисники отримали доступ до систем Continental за допомогою замаскованого шкідливого програмного забезпечення, запущеного співробітником». За даними різних ЗМІ, один із співробітників установив неавторизований браузер. Це або вже містило шкідливий код, або призвело до відповідного джерела. Чому працівник взагалі має права встановлювати програмне забезпечення, відповіді не отримали.
Які економічні наслідки?
У Continental також цікавляться, які економічні наслідки може мати для Continental кібератака. Відповідь на це лише лаконічно: «Наразі немає додаткових відомостей про можливі наслідки». Однак інші компанії не повинні сприймати все так просто. Тому що серед викрадених даних також мали бути документи Mercedes, BMW та VW. Якщо таким чином буде поставлено під загрозу розвиток продукту чи інші речі або якщо дані потраплять до конкурентів, це може мати додаткові наслідки для Continental.
Коментар Майкла Пітша з Rubrik
Автомобільний постачальник Continental став жертвою атаки програм-вимагачів. Випадок показує, наскільки важливо використовувати рішення безпеки, які постійно контролюють мережу та подають тривогу у разі порушень.
«З цією метою організації можуть чомусь навчитися з справи Continental. Група лише через кілька місяців після виявлення хакерської атаки помітила, що з мережі було вкрадено велику кількість даних. Щоб вирішити цю проблему, існують рішення безпеки, які постійно контролюють мережу та подають тривогу в разі порушень. Це дозволяє швидко діяти та запобігає далекосяжним наслідкам.
Ось чому експерти з кібербезпеки рекомендують будувати безпеку даних на трьох стовпах: стійкість даних, видимість даних і відновлення даних. Користувачі досягають стійкості завдяки незмінним резервним копіям своїх даних. Незмінні дані недоторканні і не можуть бути зашифровані хакерами. Видимість гарантується постійним моніторингом усіх потоків даних.
Це також включає постійне знання того, хто має доступ до яких даних і коли вони були використані. Цю інформацію можна використовувати для виявлення та припинення підозрілої діяльності. Резервні копії використовуються для відновлення важливих даних. Якщо вони зберігаються в безпечному місці та швидко доступні, жертви атаки програм-вимагачів зможуть своєчасно відновити свої системи. Ті, хто дотримується цих принципів, можуть мінімізувати ризик і потенційну шкоду від кібератаки». так Майкл Пітш з Rubrik.
Більше на Continental.com