Недбалі компанії швидко караються потрійним чином: спочатку вимагання програм-вимагачів, потім втрата даних і, нарешті, але не менш важливе, штраф за поганий план відновлення. Ось як складне програмне забезпечення-вимагач може вторгнутися в ресурси компанії.
Минулого року програми-вимагачі поставили на коліна американську компанію, яка виробляє паливо. За цим стояли злочинні «компанії-партнери» сумнозвісної групи DarkSide. Типовий приклад атаки RaaS (програмне забезпечення-вимагач як послуга): невелика група злочинців розробляє зловмисне програмне забезпечення, робить його доступним для інших зловмисників і обробляє викуп від жертв. Однак вони не здійснюють фактичної атаки на мережу, яка доставляє шкідливе програмне забезпечення. Про це дбають їхні «напарники по злочину», так би мовити, польові кадри. Як правило, натомість вони отримують левову частку виманених у потерпілих грошей.
RaaS: партнери у злочині з програмами-вимагачами
Основна група, тим часом, непомітно ховається на задньому плані, керуючи свого роду франчайзинговими операціями, де вони зазвичай привласнюють 30 відсотків (за їх власним визнанням) кожного платежу.
Зазвичай цим займається команда на передовій
- Проведіть дослідження, щоб знайти потенційні цілі для злому.
- Проникнути у вибрані компанії з відомими вразливими місцями.
- Скануйте мережу, поки вони не отримають права адміністратора, щоб вийти на рівень офіційних адміністраторів.
- Намалюйте всю мережу, щоб знайти кожен окремий настільний ПК і серверні системи.
- Знайдіть і часто нейтралізуйте наявні резервні копії.
- Викрадайте конфіденційні дані компанії для додаткового впливу на шантаж.
- Підготуйте мережеві бекдори до швидкого відступу, якщо зловмисники будуть спіймані.
- Уважно вивчіть наявні засоби захисту від зловмисного програмного забезпечення, шукаючи слабкі чи вразливі місця.
- Вимкніть або принаймні зменште налаштування безпеки, які заважають.
- Вибір особливо «незручного» часу доби для компанії, тобто у вихідні або вночі.
А потім кіберзлочинці запускають код програми-вимагача, наданий організатором за лаштунками. Тоді шифрування (майже) усіх комп’ютерів у мережі займає лише кілька хвилин.
Програмне забезпечення-вимагач: будь ласка, перевірте!
Ідея цього типу атаки полягає в тому, що комп’ютери не знищуються повністю. Насправді після більшості атак програм-вимагачів операційні системи продовжують завантажуватися та завантажувати основні програми на комп’ютери, щоб зберегти вигляд, що все нормально.
Жертва може завантажити свій ноутбук, завантажити Word, переглянути всі документи в каталогах, навіть спробувати їх відкрити, але тоді побачить цифровий еквівалент подрібненої капусти. Дані зашифровані, і є лише одна копія ключа розшифровки – і вона є у зловмисників. Саме тоді зазвичай починаються «переговори». Зловмисники покладаються на той факт, що ІТ-інфраструктура жертви настільки сильно постраждала від зашифрованих даних, що вона більше не працює, і тому жертва готова заплатити викуп.
«Сплатіть нам «комісію за відновлення», і ми надамо вам інструменти розшифровки, щоб зробити будь-який комп’ютер знову придатним для використання – і ми заощадимо ваш час, потрібний для відновлення з резервних копій. За умови, що у вас взагалі є робочі резервні копії». Вимоги звучать приблизно так, оскільки вони надійшли в американську компанію, наприклад, близько 12 місяців тому.
Лише 4% платників повертають усі дані!
Незважаючи на те, що правоохоронні органи в усьому світі закликають жертв програм-вимагачів не платити (і тепер ми знаємо, що сьогоднішні платежі програм-вимагачів фінансують завтрашні атаки програм-вимагачів), у цьому прикладі компанія вирішила витратити приблизно 4,4 мільйона доларів США, які запитуються, на переказ біткойнів.
Цього року Звіт Sophos Ransomware про стан програм-вимагачів 2022 показує, що лише 4% платників у всьому світі отримують усі дані. У середньому ви отримуєте лише дві третини (точно: 60,56%). У Німеччині частка становить 64%. З глобальної точки зору це значення лише трохи вище для енергопостачальних компаній і становить 62% (точно: 61,59%). Це означає, що якщо компанія сплачує викуп, вона все одно повинна прийняти дуже високі втрати даних. На цьому справа ніяк не закінчується.
Після викупу прийшов штраф
Стан програми-вимагача Sophos 2022 (Зображення: Sophos).
Також було зроблено офіційне звернення до оператора трубопроводу: Міністерство транспорту США наклало на компанію цивільний штраф у розмірі майже 1 мільйона доларів США, результат розслідування Управління з безпеки трубопроводів і небезпечних матеріалів (PHMSA). Перевірка тривала з січня по листопад 2020 року, тобто за рік ДО атаки програм-вимагачів. Тож проблеми, які визначив інститут, існували і були відомі. PHMSA заявило, що основними експлуатаційними недоліками, відповідальними за понад 85 відсотків плати (846,300 2021 доларів США), є «ймовірна нездатність належним чином спланувати та підготуватися до ручного вимкнення та перезапуску його трубопроводної системи». І вона стверджує, що ці пропуски «сприяли наслідкам у країні, коли трубопровід залишився непрацюючим після кібератаки у травні XNUMX року».
Індивідуальний випадок чи рекомендований спосіб дій для кожного?
На перший погляд це звучить як незвичайний випадок, адже хто насправді керує трубопроводом, та ще й у цьому вимірі. Тим не менш, офіційне повідомлення PHMSA про ймовірне порушення визначає кілька пов’язаних проблем, з яких усі можуть повчитися:
Для оператора трубопроводу проблеми полягають у внутрішніх сферах компанії, таких як диспетчерське керування та збір даних, промислові системи керування та операційна технологія, так звана SCADA (наглядовий контроль та збір даних): комп’ютерна система, яка автоматично контролює та контролює технічних процесів і від постачальників енергії до використовується в аеропортах. ICS (акронім від Industrial Control Systems) і OT (Operational Technology) також були відсутні. OT можна розуміти як промисловий аналог ІТ, але SecOps (операції безпеки) є схожим завданням для обох типів.
Наслідки помилок SecOps
Незважаючи на те, що операційна технологія та ІТ-функції виглядають як дві окремі мережі, можливі наслідки збоїв SecOps в одній зоні можуть безпосередньо та навіть небезпечно вплинути на іншу.
Що ще важливіше, особливо для багатьох невеликих компаній, навіть якщо немає жодного трубопроводу, електромережі чи електростанції, найімовірніше, все ще працює якась операційна інженерна мережа, що складається з пристроїв Інтернету речей, таких як камери безпеки, дверні замки, датчики руху датчики, і, можливо, навіть заспокійливий, керований комп’ютером акваріум у зоні прийому.
І зазвичай вони працюють у тій самій мережі, в якій розташована вся ІТ-система. Таким чином, заходи кібербезпеки обох типів пристроїв нерозривно переплітаються.
П'ять пунктів, до яких кожна компанія повинна поставитися серйозно
У звіті PHMSA перераховано проблеми, які підпадають під загальний термін управління диспетчерською, який можна розглядати як еквівалент операційної технології центру мережевих операцій ІТ-відділу (або просто «ІТ-команди» в малому бізнесі).
Підсумовуючи, ці п’ять проблем поставлені на карту
- Не ведення належного обліку проведених експлуатаційних випробувань.
- Відсутність перевірки та перевірки роботи детекторів сигналізації та відхилень.
- Немає плану на випадок непередбачених ситуацій для ручного відновлення та роботи в разі збою системи.
- Не вдалося протестувати процеси та процедури резервного копіювання.
- Погане звітування про відсутність або тимчасове припинення контролю безпеки.
Чого ми можемо навчитися з цього для нашої ІТ-безпеки?
Будь-які з перерахованих вище пропусків можуть статися випадково. Відповідно до звіту Sophos Ransomware Report 2022, дві третини (точно: 66%) опитаних сказали, що вони стали жертвами атаки програм-вимагачів минулого року. Сектор енергопостачання навіть був значно вищим за середній – 75%. Приблизно дві третини з них мали свої дані в шифруванні, а половина з них вели переговори зі злочинцями.
Це свідчить про те, що значна частка (трохи більше кожного п’ятого) команд ІТ або SecOps втратила слід однієї чи кількох із зазначених вище категорій.
Сюди входять пункти 1 і 2 (Ви впевнені, що резервна копія справді спрацювала? Чи записали ви це офіційно?), Пункт 3 (Який ваш план B, якщо злочинці видалять вашу основну резервну копію?), Пункт 4 (Чи практикували ви відновлення так ретельно) як ви практикували резервне копіювання?) і пункт 5 (Ви впевнені, що не пропустили нічого, що вам слід було вказати тоді?).
Для багатьох ІТ-команд або особливо для невеликих компаній, які займаються ІТ «на стороні», спеціалізована команда SecOps є розкішшю та просто недосяжною, тому стратегія там часто еквівалентна принципу «встановити, а потім забути». Кожен, хто потрапив у таку ситуацію, повинен шукати підтримки зовнішніх експертів MTR і розглядати їх як інвестицію в безпечніше майбутнє.
Кібербезпека – це процес, а не пункт призначення. Успішна атака завжди завдає шкоди та впливає на ресурси та працездатність. Сила удару значною мірою залежить від швидкості реакції, запобіжних заходів і безпеки процесу.
Більше на Sophos.com