Пять изощрённых кибератак, которые нарушили работу бизнеса

DDoS-атака через принтеры, отель-заложник и цифровая эпидемия.

Материал подготовлен при поддержке Microsoft

Пять изощрённых кибератак, которые нарушили работу бизнеса

День, когда перестали работать Twitter, Amazon, PayPal и Netflix

Ущерб: 8% клиентов прекратили сотрудничество с провадейром Dyn (14,5 тысяч доменов)

К атаке на серверы крупного американского доменного провайдера Dyn преступники готовились долго. В течение нескольких месяцев они заражали устройства интернета вещей вирусом Mirai, который подбирал пароли, обращаясь к списку стандартных комбинаций, предустановленных производителями. В результате был сформирован гигантский ботнет — сеть заражённых устройств, которой хакеры удалённо управляли с помощью ботов.

21 октября 2016 года миллионы веб-камер, роутеров, принтеров и других «умных» устройств завалили провайдера обращениями. Серверы Dyn предсказуемо не выдержали одну из крупнейших DDoS-атак в истории: сайты не справлялись с лавиной ложных запросов.

В тот день пользователи более 60 крупных сервисов, среди которых Twitter, Amazon, PayPal, Netflix, Slack и Visa, не могли получить к ним доступ. В основном неполадки затронули жителей восточного побережья США.

Киберэпидемия NotPetya

Ущерб: ~ $10 млрд

Массовое заражение вирусом произошло 27 июня 2017 года. Он получил своё название от другого вируса-вымогателя — Petya, который так же блокировал доступ к системе и требовал выкуп за разблокировку. Жертвы NotPetya получали сообщение с требованием заплатить $300 в биткоинах. Платил пользователь или нет — не важно, он всё равно не мог получить доступ к заблокированным файлам.

Окно вируса-вымогателя  NotPetya
Окно вируса-вымогателя  NotPetya

Эпидемия началась с Украины. Вирус-шифровальщик проник на тысячи компьютеров при установке обновления бухгалтерского ПО M.E.Doc. Из-за вируса на несколько дней остановили работу энергетические корпорации, банки, частные компании, в аэропорту Борисполь перестали работать табло с расписанием, а в киевском метрополитене— банковские терминалы. Вскоре NotPetya распространился на российские компании, в том числе крупные корпорации.

Позже стали поступать сообщения о заражениях из США, Германии, Великобритании, Дании и других стран. Ущерб от кибератаки NotPetya оценивается примерно в $10 млрд, вирус уничтожил данные более чем на десяти тысячах компьютеров.

Среди прочих от атаки пострадала медицинская компания «Инвитро». Ей пришлось приостановить сбор биоматериала и выдачу результатов анализов. После атаки отдел информационной безопасности «Инвитро» в первую очередь изолировал системы, которые ещё не пострадали. Благодаря этому удалось избежать повреждения персональных данных клиентов. Далее началась работа по восстановлению всей ИТ-инфраструктуры и прикладных информационных систем.

ИТ-служба работала круглосуточно, всего мы задействовали более сотни человек. Тогда на рабочих станциях компании в основном стояла Windows 7. При восстановлении системы после атаки там, где это возможно, мы перешли на Windows 10: Microsoft следит за своевременным устранением уязвимостей в поддерживаемых версиях продукта.

Сейчас мы стараемся сразу же устанавливать последние обновления. Многие компании пренебрегают этим из-за того, что во время установки могут простаивать рабочие места и серверное оборудование. Но отсутствие обновлений может обернуться большими проблемами.

История с NotPetya показала, что нужно уделять внимание безопасности внутреннего сегмента сети и учитывать человеческий фактор. Для большинства сотрудников уведомления от средств защиты — только помехи в работе, они просто игнорируют сообщения. В «Инвитро» действует специальная программа по повышению культуры информационной безопасности сотрудников. Мы объясняем персоналу, что нужно делать в разных ситуациях, отслеживаем мировые кейсы и предупреждаем о возможных опасностях.

Владимир Федин, директор ИТ-департамента «Инвитро»

У бюро кредитных историй украли данные 147,9 млн клиентов

Ущерб: обвал курса акции на 25,6% за месяц

В июле 2017 года одно из крупнейших бюро кредитных историй США Equifax обнаружило, что киберпреступники получили доступ к номерам социального страхования, адресам и номерам водительских прав 147,9 млн клиентов. Кроме того, в распоряжении хакеров оказались номера кредитных карт примерно 209 тысяч человек.

Официальные представители Equifax сообщили, что хакеры смогли проникнуть на серверы компании ещё в мае 2017 года, но их присутствие заметили только 29 июля. В компании не стали раскрывать подробностей атаки. Известно лишь, что преступники скомпрометировали одно из веб-приложений на официальном сайте.

7 сентября, после огласки инцидента, акции Equifax упали почти на 19% на вторичном рынке. А ещё в июле, через три дня после обнаружения утечки, три топ-менеджера бюро продали свои акции.

В мае 2019 года международное рейтинговое агентство Moody’s понизило Equifax в своём рейтинге и сменило прогноз относительно компании на негативный из-за проблем с кибербезопасностью. Решение агентства связано с тем самым инцидентом 2017 года.

Инцидент в Equifax — хрестоматийный и очень наглядный пример компрометации из-за отсутствия базовых процедур контроля и установки обновлений ПО. Проникновение в сеть Equifax произошло в середине мая и было выполнено через уязвимость в публично доступном веб-приложении. При этом производитель веб-приложения выпустил обновление для закрытия уязвимости ещё в марте.

Автоматизировать анализ и установку обновлений позволяет служба Azure Update Management. Она работает с виртуальными машинами, развёрнутыми в облаке Microsoft или других провайдеров, а также с системами в частных сетях предприятий.

Артём Синицын, руководитель программ информационной безопасности Microsoft в Центральной и Восточной Европе

Вирус-шифровальщик закрыл двери в отеле

Ущерб: €1,5 тысячи + расходы на восстановление и модернизацию системы

В ноябре 2017 года преступники запустили вирус-шифровальщик в систему, управляющую электронными ключами-картами от номеров четырёхзвёздочного отеля Romantik Seehotel Jegerwirt в Австрии. Сотни гостей не могли попасть в свои комнаты или их покинуть. Более того, хакеры получили контроль над всей системой, отключив все гостиничные компьютеры, возможность бронирования и кассы.

Отель  Romantik Seehotel Jegerwirt
Отель  Romantik Seehotel Jegerwirt

Отелю пришлось заплатить преступникам €1,5 тысячи в биткоинах. «У нас не было другого выбора», — объяснил решение отдать выкуп управляющий директор Кристоф Брандстеттер. На момент атаки в гостинице было забронировано 180 мест. Когда деньги поступили вымогателям, систему полностью восстановили, ключи-карты заработали, а персонал снова получил доступ к кассам.

Позже ИТ-отдел обнаружил, что хакеры оставили «черный ход» в надежде провести подобную атаку повторно, и улучшил систему безопасности. Её восстановление и модернизация обошлись отелю ещё в несколько тысяч евро.

«Юнистрим» лишился партнёров из-за хакерских атак

Ущерб: неизвестно

В ноябре 2018 года Центральный банк посоветовал удалять все входящие письма от «Юнистрима» и обновить антивирусные базы. С официального адреса платёжной системы произошла рассылка вредоносных писем.

Специалисты «Лаборатории Касперского» позже подтвердили, что рассылаемые с адреса «Юнистрима» фишинговые письма содержали SCR-файл, который после загрузки скачивал на компьютер вредоносное ПО. По данным «Коммерсантъ», опасные письма с адреса банка приходили дважды — 19 и 21 ноября. Ответственность за атаки, предположительно, лежит на группировке Cobalt. По мнению экспертов, новый взлом стал следствием некачественного расследования первого инцидента.

Несколько банков-партнёров «Юнистрима», среди которых «Банк Азии» из Киргизии, «Имон Интернешнл» из Таджикистана и «Ипотека банк» из Узбекистана, временно приостановили сотрудничество после сообщений об атаках. Российский банк «Восточный» расторг договор о сотрудничестве. Некоторые кредитные организации заблокировали все входящие письма от банка.

Сначала в «Юнистриме» всё отрицали, но после предупреждений о новой рассылке глава компании Кирилл Пальчун заявил, что проблема вредоносной рассылки уже решена.

Социальная инженерия — очень мощный и популярный среди мошенников инструмент. В зависимости от конкретной цели они могут подбирать приёмы, основанные на специфике используемой системы, мобильного устройства или на человеческой психологии. Хотя есть мнение, что винить следует самих пользователей, в действительности многие целевые фишинговые письма так хорошо замаскированы, что типичный пользователь не способен отличить поддельное письмо от настоящего.

Поэтому корпоративные программы по повышению культуры информационной безопасности должны подкрепляться современными техническими средствами.

В службе Office365 Advanced Threat Protection можно пропустить гиперссылки в электронном письме через облачный фильтр, а файлы вложений запустить в “песочнице” или “камере детонации”. Это предотвратит доставку фишингового сообщения или вредоносного вложении на устройство пользователя.

Служба Microsoft Defender ATP позволяет проанализировать действия вредоносных программ после доставки в конечную систему и предотвратить заражение и ущерб для бизнеса.

Артём Синицын, руководитель программ информационной безопасности Microsoft в Центральной и Восточной Европе
1212
3 комментария

Я правильно понимаю, что «облачный фильтр» - это база известных вредоносных url ?

Ответить

Почему в списке нет Роскомнадзора?

Ответить

Число кибератак с каждым годом только увеличивается. Так в 2019 году специалисты зафиксировали, что во всех странах мира кибератаки происходят каждые 14 секунд. Совсем не удивительно, что правительства крупнейших стран уже вводят статью бюджета на обеспечение кибербезопасности.

Ответить