Похищение и кодирование корпоративной информации с целью получения выкупа набирает обороты последние два года. Хакерские группы объединяются для атак, создавая партнерские программы. В результате суммы выкупа выросли до десятков миллионов долларов. Эксперты ожидают роста таких атак в ближайшие годы, в том числе на средний и малый бизнес.

ЗАКОДИРОВАЛИ НА МИЛЛИОНЫ

В начале октября крупнейшая немецкая IT-компания Software AG обнаружила, что все ее файлы зашифрованы и недоступны. Помимо остановки офисов с 5 тыс. сотрудников заморозились все бизнес-процессы с клиентами, среди которых государственные, банковские, транспортные, страховые и розничные организации (Airbus, Lufthansa, DHL).

Компания, производящая ПО, стала жертвой атаки хакеров The Clop, специализирующихся на шифровании данных с целью получения выкупа – криптолокеров. В этот раз аппетиты вымогателей побили все рекорды – требовали 23 млн долларов.

Договориться о получении денег им не удалось, и взломщики выложили в даркнете скриншоты электронных писем, финансовых документов компании и сканы паспортов сотрудников.

Шифрование начинается с проникновения в IT-систему компании вредоносных программ, которые незаметно кодируют все файлы. После чего вирус выводит на мониторы сообщение о кодировке, требуя перевести деньги на указанный счет. Платить придется в биткоинах, которые невозможно отследить, так как злоумышленники используют программы-миксеры, путающие следы движения средств.

Согласно данным лаборатории компьютерной криминалистики Group-IB, количество атак вирусов-шифровальщиков в 2019-м по сравнению с предыдущим годом увеличилось на 40 процентов. Всего за один год средний размер выкупа вырос с 6 тыс. до 84 тыс. долларов.

Интерес хакеров к корпорациям связан с получением больших и легких денег. Вымогатели позаимствовали тактику и инструменты у групп Advanced Persistent Threat (АРТ), специализирующихся на шпионаже и сборе данных госструктур. Но в отличие от APT-групп, мошенники выгружали информацию ради выкупа.

Крупные производственные предприятия также попали в поле зрения взломщиков.

Наибольший интерес к промышленности проявляют операторы шифровальщиков и кибершпионские APT-группы

указывает в своем исследовании за первый квартал 2020 года компания Positive Technologies.

В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО (ВПО). Около половины (46%) атак с использованием ВПО пришлось на шифровальщиков.

Руководитель направления ИБ компании «Открытые технологии» Дмитрий Бурлаков отмечает в разговоре с RSpectr, что вирусы с кодированием становятся более сложными и умными. К примеру, в начале года появился вредонос Snake, который умеет останавливать процессы промышленных систем управления.

В 2019 году вымогателей стало значительно больше. Появились так называемые партнерские программы – разработчики ВПО предлагают свой софт в аренду, за 10–40% от дохода мошенников. «Прошлый год показал, что на подобных атаках можно очень хорошо зарабатывать, ведь с безопасностью даже у самых крупных компаний большие проблемы», – рассказал RSpectr ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

Более того, в конце 2019 года операторы вымогателя Maze задали новый тренд – выгрузку конфиденциальной информации из скомпрометированных сетей с последующей ее публикацией на специально созданном сайте, если жертва отказывалась платить выкуп. По словам О. Скулкина, тренд подхватили многие хакерские группы, а некоторые даже стали брать отдельную плату за удаление таких данных со своего сайта и серверов.

Олег Скулкин, Group-IB:

– 2020 год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так, операторы банковского трояна QakBot присоединились к охоте за «крупной дичью», воспользовавшись помощью криптолокера ProLock. А недавно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil. Размеры выкупов также значительно увеличились: операторы криптолокеров нередко просят миллионы, а порой десятки миллионов долларов.

Эксперт из Group-IB сообщил, что 

у крупных хакерских групп даже есть специальные люди, которые анализируют финансовые показатели компании, чтобы выставить наиболее приемлемый для обеих сторон счет

Для криптолокеров это главный показатель, а вид деятельности фирмы им неважен.

В июле компании Garmin пришлось заплатить около 10 млн долларов выкупа за снятие кода с файлов системы. По оценкам экспертов, за атакой стояла хакерская группировка Evil Corp, использовавшая вирус-шифровальщик WastedLocker. Причем были заблокированы не только корпоративные данные: пользователи гаджетов Garmin по всему миру не могли включить в онлайне свои приборы до полного декодирования корпоративных данных. Но помимо потребительских товаров Garmin разрабатывает высокоточные приборы для военной техники разных стран. Хищения информации бьют по репутации и партнерским отношениям компаний.

Некоторые кибергруппировки из моральных соображений отказываются от атак на медицинские и другие социально значимые учреждения, но такой модели поведения следуют далеко не все.

В сентябре Университетская клиника в Дюссельдорфе заявила, что из-за хакерской атаки не может принимать пациентов, которым требуется неотложная помощь. В результате больную пришлось везти в другой госпиталь и она умерла по дороге.

КАК ВЫСТРОЕНА АТАКА ШИФРОВАЛЬЩИКОВ

Согласно данным Group-IB, частой практикой среди злоумышленников стало использование троянов на этапе первичной компрометации корпоративной сети. 

Три направления, с которых начинались атаки: 

фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by

СПРАВКА

Специалисты Group-IB во многих инцидентах отмечают использование следующих наборов эксплойтов:

• RIG EK – этот набор существует уже давно и остается самым популярным на сегодняшний день. Он нацелен на уязвимости CVE-2018-8174 в Internet Explorer и CVE-2018-4878 в Adobe Flash Player.
• Fallout EK – в начале 2019 года авторы дополнили этот набор эксплойтом для уязвимости CVE-2018-15982 во Flash Player.
• Spelevo EK – новый набор, обнаруженный в июне 2019 года. Он атакует уязвимости CVE-2018-8174 в Internet Explorer, CVE-2018-15982 и CVE-2018-4878 в Adobe Flash Player.
• Lord EK – также новый набор. Он нацелен на уязвимость CVE-2018-4878 в Adobe Flash Player (T1203). Поскольку данный набор содержит лишь один эксплойт, он считается псевдонабором.
• Radio EK – еще один псевдонабор, нацеленный на старую уязвимость CVE-2016-0189.

Исследователи безопасности из Check Point говорят о 58-процентном росте атак криптолокеров в России, эта цифра близка к реальности, рассказал RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.

По его словам, среди пострадавших отраслей выделяется медицина. Даже если доля медорганизаций среди жертв небольшая, сам факт атак на медиков примечателен, они нетипичная мишень для злоумышленников.

Причина отчасти в коронавирусе: как любой крупный инфоповод, он становится прикрытием для атак.

Алексей Дрозд, «СёрчИнформ»:

– Основная модель распространения шифровальщиков – фишинговые BEC-атаки, когда компрометируется деловая переписка. Под видом новых нормативов от регуляторов или рекомендаций от ВОЗ мошенники рассылают письма с вирусными ссылками или вложениями, а врачи легко их открывают. Еще в начале пандемии исследования показывали взрывной рост такого «тематического» фишинга.

Для декодирования злоумышленники требуют выкуп, который на самом деле не гарантирует того, что данные вам расшифруют обратно, сообщил RSpectr о рисках руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко. 

«Хакеры стараются еще и украсть данные, чтобы шантажировать компанию публикацией информации, несущей репутационный ущерб. Если компания была подготовлена к такой атаке, она сможет предотвратить утечку и восстановить данные из резервных копий в кратчайшие сроки. Были случаи, когда данные восстановить не получалось и приходилось нести серьезные убытки», – говорит эксперт.

Помимо выкупа, компании несут потери, проводя сложное и дорогостоящее расследование, восстанавливая работоспособность систем, объясняясь с контрагентами и клиентами – особенно если были затронуты их данные

крупная IТ-компания Cognizant, пострадавшая недавно от шифровальщика Maze, оценила общий ущерб от атаки в 50-70 млн долларов

ЧЕМ И КАК ЗАЩИТИТЬСЯ

Хакерские атаки тоже имеют свои слабые места и ограниченный ресурс. Например, в 2019 году криптолокеры из LockerGoga атаковали норвежскую сталелитейную компанию Norsk Hydro: заводы, склады и офисы по всему миру перестали работать, люди оформляли заказы по факсу, рассказывает RSpectr независимый эксперт по информационной безопасности Денис Батранков. Но после блокировки нетронутой осталась облачная электронная почта. «Использование cloud-ресурсов дает возможность компаниям отдать защиту в руки опытных игроков рынка: Microsoft, Google, Amazon, Palo Alto Networks. Они предоставляют нужный сервис, и сами защищают его», – говорит эксперт.

Удаленная работа в период пандемии также создает уязвимости для проникновения в IT-инфраструктуру компаний, поэтому требуется защита хостов.

Денис Батранков, эксперт по ИБ:

– Самой продвинутой в 2020 году защитой компаний от криптолокеров и других угроз является eXtended Detection and Response (XDR). Это ИБ-продукт, который блокирует атаки в рабочих станциях, серверах, внутренних сетях, и даже в облаках. Компания может всегда начать строить оборону с защиты компьютеров своих пользователей, установив агентов XDR. Они будут блокировать как известные, так и незнакомые виды вирусов-шифровальщиков. Также этот продукт позволяет расследовать инциденты.

Не стоит забывать, что атаки совершаются и путем банальной кражи паролей сотрудников с последующим повышением уровня привилегий и использованием стандартного ПО для работы даже без вредоносного кода. И тут важен анализ поведения приложений, пользователей и сетевого трафика, а XDR обладает такой функцией. Также необходимо, чтобы у компаний отдельно хранились архивы важной информации.

Нужно следить, насколько легитимна каждая авторизация, владелец ли пользуется аккаунтом, не передают ли сотрудники свои логины и пароли посторонним. «Например, атака на белорусские медицинские организации выглядела так: злоумышленники получили доступ к почте медиков и начали рассылать информацию о ситуации с эпидемией в Беларуси от своего имени. В письмах содержались ссылки на вредоносы», – предупреждает А. Дрозд.

«Менее популярный, но все же ходовой вариант распространения шифровальщиков – взлом инфраструктуры, от маршрутизаторов до умных кофемашин. Поэтому все узлы сети нужно регулярно проверять на уязвимости, вовремя проводить обновления от производителей, в которых известные уязвимости устраняются», – говорит А. Дрозд.

Руководитель отдела информационной безопасности компании «Рексофт» Иван Сааков отмечает в разговоре с RSpectr, что крайне важны профилактические мероприятия. Основной вектор атак – электронная корпоративная почта, а слабое место – персонал. Поэтому службе ИБ любого предприятия необходимо вести постоянную работу со своими коллегами. Кроме того,

IТ-службе предприятия не стоит забывать о необходимости на постоянной основе проверять работу своей системы резервного копирования и не хранить «все яйца в одной корзине»

Иван Сааков, «Рексофт»: 

– Держать корпоративную информацию нужно в нескольких сетях хранения данных (СХД) и разных серверах, вплоть до внешних носителей. Можно задействовать разные ЦОД, но не все компании могут себе такое позволить, так как две собственные разнесенные площадки – это относительно дорого. Переносить в облачные хранилища сложнее – не все корпоративные политики и нормативы регуляторов разрешают хранить системы и данные у внешних подрядчиков. Хотя рынок в РФ за последние годы серьезно шагнул вперед, и многие компании рассматривают отечественных провайдеров для бэкапа.

МАЛЫЙ БИЗНЕС ПОД УГРОЗОЙ

Эксперты по информбезопасности отмечают, что малые и средние компании не считают себя целью для группировок криптолокеров. Но разработчики вредоносного ПО спустя какое-то время продают упрощенные версии ВПО в даркнете. Таким образом,

шифрование как вид атаки выходит в сегмент массового криминального продукта

И менее опытные вымогатели выберут небольшие компании, которые боятся сообщать об атаках, чтобы не потерять клиентов.

Исполнительный директор компании «Акронис Инфозащита» Елена Бочерова сообщила RScpectr, что малые предприятия уже страдают:

– По данным исследования нашего технологического партнера компании Acronis, 43% кибератак шифровальщиков направлены на малый бизнес, 31% организаций по всему миру подвергаются нападениям как минимум раз в день, 9% компаний атакуют как минимум каждый час, 50% респондентов сообщили о еженедельных киберугрозах на протяжении последних трех месяцев.

Наиболее эффективная модель защиты – тотальное бэкапирование. Шифровальщик может поразить любое хранилище, хоть облачное, хоть физическое. Поэтому нужно дублировать все важные данные и хранить копии независимо друг от друга, отмечает А. Дрозд. 

«Как именно организовать бэкапы – другой вопрос, хотя практика показывает, что эффективно работают даже бумажные носители. Например, они спасли свердловский онкодиспансер, когда в сентябре он стал жертвой шифровальщика», – напомнил представитель «СёрчИнформ».

Источник: RSpectr