Отравили воду, удалили материалы полиции и потребовали выкуп: как и зачем хакеры атакуют города

Взломать можно не только человека или компанию — злоумышленники могут атаковать целый город или округ. Некоторые платят выкуп и даже торгуются, но чаще всего города отказываются сотрудничать с хакерами и тратят миллионы долларов на восстановление систем.

Stephanie Keith, Reuters
Stephanie Keith, Reuters

Еще в 2018 году целенаправленные атаки на города и штаты были редкостью, но с 2019 года вирусов-вымогателей становится всё больше. Специалисты по кибербезопасности отмечают не только участившиеся атаки, но и то, что кибернападения становятся всё более профессиональными.

По версии NYT, причина роста атак на города — власти стали чаще соглашаться на условия хакеров и выплачивать выкупы.

В 2020 году киберпреступники эксплуатировали тему пандемии: рассылали фишинговые письма с упоминанием Covid-19, отчего люди переходили по ссылкам чаще. Кроме того, контролировать безопасность удалённых рабочих мест стало сложнее, чем раньше.

Если в 2010-х годах хакеры шпионили в военных и промышленных целях, то теперь системы всё чаще взламывают ради выкупа. При этом выкуп не гарантирует, что мошенники выполнят договорённости: они могут так и не отправить ключ для дешифровки или выложить в сеть скомпрометированные данные.

Ещё один мотив киберпреступников — вредительство. Например, в феврале 2021 года хакер удалённо проник в управляющий компьютер водопроводной станции города Олсмар во Флориде и изменил состав воды. Это могло привести к отравлению 15 тысяч жителей. Сотрудник водопроводной станции вовремя заметил изменения и вручную настроил верный состав воды.

Как и какие города атакуют хакеры

Базы данных городов содержат разные персональные данные, включая детали о платежах. При взломе городам нередко проще заплатить хакерам, чем месяцами восстанавливать доступ к информации. Они также заинтересованы в том, чтобы как можно скорее вернуть все службы и ведомства к работе в обычном режиме.

Излюбленная цель хакеров — маленькие города с небольшими бюджетами. У них нет ресурсов, чтобы восстановить системы самостоятельно, и они скорее выплатят выкуп.

Многие города намного слабее защищены от атак, чем частные компании с выделенными бюджетами на кибербезопасность. Опрос Deloitte 2018 года показал, что почти у половины штатов США нет отдельной статьи бюджета на кибербезопасность. Большинство из них выделяют менее 3% своих ИТ-бюджетов на подготовку к киберугрозам.

Кроме того, города не могут конкурировать с крупными ИТ-компаниями в борьбе за профильных специалистов: эксперты предпочтут работу в известной компании, чем в муниципалитете.

«В городе с населением 25 тысяч человек просто не может быть эксперта по информационной безопасности», — считает Фад Айдман, операционный директор компании по кибербезопасности Acreto. Некоторые города также используют устаревшее ПО и оборудование, пренебрегают резервным копированием и не обучают сотрудников.

Пример сообщения от взломщиков <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.smartcitiesdive.com%2Fnews%2Fransomware-attacks-smart-cities-response%2F584202%2F&postId=222368" rel="nofollow noreferrer noopener" target="_blank">Smartcitiesdive</a>
Пример сообщения от взломщиков Smartcitiesdive

Для взлома злоумышленники чаще всего используют фишинговые сообщения. Сотрудники муниципалитетов проходят по ссылкам из подозрительных сообщений, после чего вирус шифрует данные на устройстве.

Так, в 2018 году сотрудник муниципалитета Аллентауна, Пенсильвания, с населением 121 тысячей человек, взял рабочий ноутбук в отпуск. Во время отдыха он проигнорировал обновления системы безопасности, которые могли бы предотвратить уязвимость, и открыл ссылку из фишингового письма.

В результате пострадала компьютерная сеть городской администрации. Хакеры не требовали выкупа, но на восстановление системы потратили $1 млн — существенную сумму для бюджета города.

Ущерб может составлять от нескольких сотен тысяч до миллионов долларов и включать как сумму выкупа, так и затраты по восстановлению данных. В большинстве случаев киберпреступления остаются нераскрытыми.

Известные кибератаки с отказом выплачивать выкуп

2017: Кокрелл Хилл (США)

В декабре 2017 года сотрудник полиции открыл фишинговое письмо, похожее на обычное рабочее. Запущенный по ссылке вирус-вымогатель Osiris заразил компьютерную сеть полиции Кокрелл Хилл, Техас. Вирус зашифровал доступ ко всем документам MS Office и материалам расследований.

Резервные копии данных не настроили корректно: последняя копия сохранила уже инфицированные файлы. Полиция потеряла доступ ко многим материалам за восемь лет работы.

Злоумышленники требовали $4000 в биткоинах. После консультации с ФБР город решил не платить выкуп: не было гарантий, что хакеры выполнят свои обещания. Полиция восстанавливала данные с CD и DVD, но часть информации потеряли безвозвратно. В атаке подозревали русских хакеров, но личности не установили.

2018: Манатуска-Суситна (США)

Утром 23 июля ИТ-департамент администрации боро (региона) Манатуска-Суситна на Аляске заметил подозрительную активность на некоторых компьютерах. Сотрудники сменили пароли и запустили антивирусную очистку от нежелательных файлов. В ответ нагрузка на сеть возросла многократно, а вирус-вымогатель стал распространяться ещё быстрее.

Вирус парализовал онлайн-сервисы администрации, включая сервисы бронирования городского бассейна и сеть библиотек. Более 700 устройств — телефоны, принтеры, факсы — не работали, их пришлось перепроверить и перенастраивать.

Сотрудники администрации перешли на бумажный документооборот и личные мобильные телефоны, а некоторые стряхнули пыль с печатных машинок.

Устранение ущерба стоило городу $2 млн и заняло около десяти недель. Преступников так и не нашли.

2019: Балтимор (США)

В мае 2019-го более 10 тысяч сотрудников муниципалитета Балтимора увидели на мониторах сообщение с требованием выплаты 13 биткоинов (около $76 тысяч) за разблокировку данных. На выкуп дали четыре дня. Хакеры угрожали уничтожить данные, если город обратится в ФБР или попытается воспользоваться антивирусным ПО.

Сообщение злоумышленников содержало много ошибок. Специалисты по кибербезопасности говорят, что это может быть уловкой: американские хакеры иногда пишут с ошибками, чтобы запутать расследование. Чтобы изолировать атаку, ИТ-департамент отключил серверы от сети.

Пострадали ведомства по работе с недвижимостью, платёжная и учётные системы города, электронная почта, отменились публичные слушания. Многие услуги пришлось предоставлять вручную, на бумаге. Более 1500 сделок по недвижимости оказались просрочены.

Официальное сообщение на сайте города об инциденте <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fstatic01.nyt.com%2Fimages%2F2019%2F05%2F25%2Fmultimedia%2F25nsa-03%2Fmerlin_155370108_694f5d1b-aed5-4e46-b409-a2ae6aff3f13-superJumbo.jpg%3Fquality%3D90%26amp%3Bauto%3Dwebp&postId=222368" rel="nofollow noreferrer noopener" target="_blank">NYT</a>
Официальное сообщение на сайте города об инциденте NYT

По информации NYT, преступники использовали разработанное Национальным агентством по безопасности США кибероружие EternalBlue. Программа эксплуатирует уязвимости в Windows XP и Vista, позволяя третьим лицам удалённо управлять компьютерами.

Мэр Балтимора отказался платить выкуп, объясняя решение тем, что хакеры могли не выполнить условия.

Спустя четыре месяца город восстановил системы. Суммарные прямые и непрямые затраты на восстановление составили $18,2 млн. Из них $5,3 млн город потратил на подрядчиков и консультантов, $2,8 млн — на расследования и судебные расходы, $1,9 млн — на новое оборудование и программное обеспечение, $600 тысяч — на развертывание новых систем и замену жёстких дисков.

2019: Йоханнесбург (ЮАР)

В октябре 2019 года в официальном аккаунте Twitter города появилось заявление о кибернападении группы хакеров Shadow Kill. Работа городского сайта, всех официальных муниципальных сервисов и колл-центра Йоханнесбурга остановилась.

The City has detected a network breach in its systems ^TK https://t.co/r43iiJiUya
Отравили воду, удалили материалы полиции и потребовали выкуп: как и зачем хакеры атакуют города
Сообщение об атаке в официальном Twitter аккаунте города говорило, что выявлена уязвимость сети, которая привела к несанкционированному доступу к информационным системам города. В результате некоторые клиентские системы — включая городской вебсайт, электронные сервисы, платёжную систему (SAP ISU и СRM) — были отключены в целях предосторожности

Хакеры грозились опубликовать публичные данные граждан, если не получат выкуп в размере 4 биткоинов ($30 тысяч). Злоумышленники дали властям три дня на выплату.

Сообщение, которое увидели сотрудники городских ведомств

Город отказался платить выкуп. 28 октября преступники не получили денег, но никакая информация в открытый доступ, вероятно, не попала. Город самостоятельно восстанавливал данные. Сумма ущерба неизвестна.

2019: Атланта (США)

Атланта (население 488 тысяч) — административный центр штата Джорджия, США <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fi.insider.com%2F5e1626d824fe123b657a2486%3Fwidth%3D700%26amp%3Bformat%3Djpeg%26amp%3Bauto%3Dwebp&postId=222368" rel="nofollow noreferrer noopener" target="_blank">Insider</a>
Атланта (население 488 тысяч) — административный центр штата Джорджия, США Insider

В Атланте хакеры через фишинговое письмо вывели из строя компьютерные сети полиции, судебных ведомств, больниц и сайты властей. Не работали городские онлайн-сервисы, электронная почта муниципалитета, не принимались платежи за воду и энергию, не выдавались разрешения на ведение бизнеса и лицензии.

Власти из предосторожности отключили сети Wi-Fi в аэропорте города. До восстановления системы сотрудники работали без компьютеров и вели документацию на бумаге.

Преступники потребовали $51 тысячу в биткоинах для возвращения доступа. Городские власти связались с ФБР, Министерством внутренней безопасности, секретной службой и частными экспертами, в том числе из Microsoft и Cisco. После консультации власти города отказались от выплаты выкупа и начали самостоятельно восстанавливать данные.

Затраты на восстановление оценивались в $2 млн, но обошлись в $17 млн. Только на контракты с консультантами по кибербезопасности и специалистам по кризисным ситуациям город потратил $2,7 млн.

Лишь спустя два месяца город смог восстановить работу всех сервисов и служб. Однако часть данных безвозвратно утрачена, например, записи с камер наблюдения. Ущерб от потери подобных данных тяжело оценить.

До атаки Атланта с 2010 года получала замечания от независимых аудиторов об уязвимостях и недостатках системы безопасности.

Сумма выкупа обошлась бы городу дешевле затрат по восстановлению. Но, как пишет Bloomberg, отказав хакерам, Атланта подала пример противостояния киберугрозам.

Хакеров вычислили: ими оказались два иранца. По информации USA Today, они причастны ещё к 200 атакам на города и компании, которые совершались на протяжении почти трёх лет. Суммарно они получили выкуп в размере $6 млн и нанесли ущерб в $30 млн.

2019: Нью-Бедфорд (США)

Нью-Бедфорд получил одно из самых больших обнародованных требований выкупа — $5,3 млн. Хакеры использовали вирус Ryuk, впервые обнаруженный в 2018 году и популярный среди киберпреступников в Восточной Европе и России.

Город сделал встречное предложение в размере $400 тысяч, но преступники отклонили его. Расходы на восстановление оценили менее чем в $1 млн, их полностью покрыла страховка.

2019: 22 города в Техасе (США)

Объявление на компьютерах в библиотеке Вилмора, Техас NYT
Объявление на компьютерах в библиотеке Вилмора, Техас NYT

Правоохранительные органы 22 городов Техаса с суммарным населением около 35 тысяч использовали единый канал связи. Это облегчило задачу злоумышленникам, атаковавшим города в августе 2019 года. Достаточно было проникнуть в одну систему, чтобы установить вредоносное ПО на серверы многих городов.

Мэр города Кин сообщал, что злоумышленники требовали $2,5 млн суммарно за 22 города. Власти обратились за помощью к ФБР. За всеми атаками предположительно скрывалась одна группа хакеров, но вычислить её не удалось.

Не работала электронная почта, ряд городских онлайн-сервисов, служба 911, платёжные системы. Ущерб оценивался как минимум в $12 млн. На восстановление большинства сервисов ушло около трёх недель.

В 2019 году хакеры также атаковали ряд городов США: Гринвилл (Северная Каролина), Августа (Мэн), Олбани (Нью-Йорк). NYT сообщает, что более 40 городов подверглись атакам с требованием выкупа.

Города, заплатившие выкуп хакерам

Некоторые небольшие города не имеют ресурсов и персонала для самостоятельного восстановления систем и выплачивают выкуп хакерам. Вместе с тем, опрос IBM от 2019 года показал, что 60% налогоплательщиков США крайне против выплат выкупов хакерам.

2018: Уэст-Хейвен (США)

В 2018 году 23 сервера компьютерной сети небольшого, с населением 55 тысяч человек, города Уэст-Хейвен в Коннектикуте перестали работать из-за вируса-вымогателя. Власти заплатили выкуп в размере $2000 в биткоинах, и хакеры вернули доступ к данным. По заявлениям властей, информация граждан в открытый доступ не попала.

2019: округ Джексон (США)

Вирус Ryuk заблокировал сеть правоохранительных органов округа Джексон, штат Джорджия, в марте 2019 года. Компьютерная сеть служб 911 не работала, сотрудники окружной тюрьмы не могли дистанционно открыть двери камер, а полиция временно перешла на бумажный документооборот.

Мэр решил заплатить вымогателям 100 биткоинов ($400 тысяч), чтобы вернуть доступ к зашифрованным данным. Хакеры вернули доступ, но округу потребовалось еще две недели, чтобы вернуться к обычному режиму работы.

2019: Лейк-Сити (США)

Вирус-вымогатель распространился через ссылку в фишинговом сообщении и заблокировал все городские сервисы, включая платёжную систему. Не пострадали только системы полиции и пожарной охраны: они использовали отдельные серверы. Чтобы минимизировать ущерб, власти отключили все серверы через десять минут после обнаружения атаки.

Несмотря на рекомендацию ФБР не платить выкуп, мэр города согласился выполнить требования: восстановление данных было бы долгим и более дорогим. Кроме того, предварительная оценка устранения ущерба составила более $1 млн — это выше, чем страховое покрытие города при кибератаках. Решение впоследствии критиковали.

Хакеры требовали выкуп в $700 тысяч, но участвовавшая в переговорах компания по кибербезопасности Covewave договорилась на меньшую сумму. Выкуп в размере 42 биткоина ($460 тысяч) покрыла страховая.

Город заплатил только $10 тысяч страховой премии за счёт налогов. Специалисты по кибербезопасности Blue Bastion считают, что хакеры могут целенаправленно атаковать города со страховкой.

2019: Ривьера Бич (США)

Из-за вируса-вымогателя городские службы Ривьера-Бич с населением 32 тысячи человек во Флориде не могли работать в обычном режиме. Атака остановила работу сервисов города, пострадало даже водоснабжение. Полиция и пожарные не могли работать в сети, сотрудники принимали вызовы по телефону и пользовались бумажными картами.

После консультации с экспертами по кибербезопасности мэр выплатил выкуп в 65 биткоинов ($600 тысяч). Затраты покрыла страховая компания. Доступ к данным был возвращён. После атаки город потратил еще $900 тысяч на модернизацию компьютеров, чтобы противостоять будущим угрозам.

Взломы без требований

2020: Редкар (Великобритания)

Более 135 тысяч жителей городов Редкар и Кливленд остались без доступа к онлайн-сервисам в начале 2020 года. Эксперты говорили, что атака похожа на нападение с целью выкупа: данные были зашифрованы, чтобы вернуть к ним доступ, нужен был ключ. Однако власти отрицали, что злоумышленники требовали какой-либо выкуп.

Данные восстанавливали в течение нескольких месяцев. В августе 2020 года город сообщил, что суммарные затраты оцениваются в £10,4 млн.

2020: Хакни (Великобритания)

Городская ратуша Хакни, района Лондона <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.hackneycitizen.co.uk%2Fwp-content%2Fuploads%2FHackney-Town-Hall-1.jpg&postId=222368" rel="nofollow noreferrer noopener" target="_blank">Hackney Citizen</a>
Городская ратуша Хакни, района Лондона Hackney Citizen

В октябре 2020 года ключевые сервисы района Хакни, Лондон, оказались парализованы: системы платежей и выдачи лицензий, регистрации сделок с недвижимостью, а также налоговый сервис. ИТ-департамент оперативно отключил все серверы и центры данных администрации, чтобы минимизировать ущерб и изолировать распространение вируса.

Власти не сообщали, требовали ли хакеры выкуп и велись ли переговоры. Национальное агентство по борьбе с преступностью, Национальный центр кибербезопасности и местные правоохранительные органы вели расследование, но личность злоумышленников не установили.

Спустя четыре месяца, в январе 2021 года, хакеры опубликовали украденные данные сотрудников администрации и граждан.

Что делают города, чтобы предотвратить атаки

Защита от кибернападений зависит от бюджетов городов. Чтобы предотвратить атаку, нужно использовать современное антивирусное ПО, создавать резервные копии данных, своевременно обновлять ПО и обучать персонал.

В некоторых системах используется раздельное хранение: часть данных хранится на выделенном сервере, которая не пострадает при атаке на основной сервер.

Все популярнее становится метод страхования от кибератак. Например, такая страховка есть у Бостона, Вашингтона, Сан-Хосе, Сан-Диего, Далласа и Денвера.

Большие города уделяют внимание превентивным мерам. Например, власти Нью-Йорка разработали программу Cyber NYC. Она получила более $100 млн инвестиций от государства и частных партнёров. Программа включает ряд инициатив для поддержки бизнеса, занимающегося кибербезопасностью: коворкинг в Челси, акселератор для развития компаний в области кибербезопасности, инициативы с местными университетами и так далее.

В июле 2019 года, после череды хакерских атак, 227 мэров США на ежегодной конференции подписали соглашение не платить хакерам. Инициативу выдвинул мэр Балтимора, чей город пострадал от кибератаки. Позиция ФБР по выплате требований однозначна: бюро считает, что выплаты выкупов провоцируют большее число атак.

Некоторые эксперты уверены, что предотвратить атаку невозможно и нужно фокусироваться на минимизации ущерба от неё.

В случае с кибератаками, помимо прямых расходов есть непрямые расходы: стоимость перехода на бумажные носители, простои в обслуживании, недополученная прибыль и другие. Например, при атаке на Балтимор $10 млн составили прямые расходы на устранение последствий, а $8 млн — непрямые, связанные с простоями в работе и упущенной выгодой. Кроме того, даже если данные удаётся полностью восстановить, доверие горожан к властям падает.

Стоимость восстановления зависит от политики резервного копирования данных и превентивных мер, принятых городом. Например, для города Нью-Бедфорд (США) сумма затрат на восстановление составила менее $1 млн и была покрыта страховкой, а для Балтимора — $18,2 млн.

1717
9 комментариев

В октябре 2020 года ключевые сервисы района Хакни, Лондон, оказались парализованы...Вот в этом случае, согласно аксиоме хайли лайкли, хакеры были русскоязычными. Ибо только по-русски это звучит как призыв ))

8

Спасибо за подборку. Даже нет очевидной монетизации статьи, что вводит в ступор при столь полезной агрегации данных :)
Еще бы по РФ рынку что-то подобное, вот тогда тут бы выделяли больше бюджетов на ИБ. Но у нас скрывают взломы, поэтому информации мало и остальные думают, что проблемы нет

1

спасибо! 
> Даже нет очевидной монетизации статьи, что вводит в ступор при столь полезной агрегации данных :)ну поэтому она и потеряется на просторах портала :) 

Да, я при написании искала кейсы России - официально подтвержденного считай ничего и нет, только задетые серверы МВД при атаке Wanna Cry. *Shrug

1

Кейсов по России не нашли, потому что надо было искать случаи.

1

Случаи и факты преступлений в интернет-пространстве :) 
хакеры - тоже не по-русски :) 

Смешно читать такое из своего Большого Зажопинска. На Лондон, как говориться - нас рать