Пять изощрённых кибератак, которые нарушили работу бизнеса
DDoS-атака через принтеры, отель-заложник и цифровая эпидемия.
Материал подготовлен при поддержке Microsoft
День, когда перестали работать Twitter, Amazon, PayPal и Netflix
Ущерб: 8% клиентов прекратили сотрудничество с провадейром Dyn (14,5 тысяч доменов)
К атаке на серверы крупного американского доменного провайдера Dyn преступники готовились долго. В течение нескольких месяцев они заражали устройства интернета вещей вирусом Mirai, который подбирал пароли, обращаясь к списку стандартных комбинаций, предустановленных производителями. В результате был сформирован гигантский ботнет — сеть заражённых устройств, которой хакеры удалённо управляли с помощью ботов.
21 октября 2016 года миллионы веб-камер, роутеров, принтеров и других «умных» устройств завалили провайдера обращениями. Серверы Dyn предсказуемо не выдержали одну из крупнейших DDoS-атак в истории: сайты не справлялись с лавиной ложных запросов.
В тот день пользователи более 60 крупных сервисов, среди которых Twitter, Amazon, PayPal, Netflix, Slack и Visa, не могли получить к ним доступ. В основном неполадки затронули жителей восточного побережья США.
Киберэпидемия NotPetya
Ущерб: ~ $10 млрд
Массовое заражение вирусом произошло 27 июня 2017 года. Он получил своё название от другого вируса-вымогателя — Petya, который так же блокировал доступ к системе и требовал выкуп за разблокировку. Жертвы NotPetya получали сообщение с требованием заплатить $300 в биткоинах. Платил пользователь или нет — не важно, он всё равно не мог получить доступ к заблокированным файлам.
Эпидемия началась с Украины. Вирус-шифровальщик проник на тысячи компьютеров при установке обновления бухгалтерского ПО M.E.Doc. Из-за вируса на несколько дней остановили работу энергетические корпорации, банки, частные компании, в аэропорту Борисполь перестали работать табло с расписанием, а в киевском метрополитене— банковские терминалы. Вскоре NotPetya распространился на российские компании, в том числе крупные корпорации.
Позже стали поступать сообщения о заражениях из США, Германии, Великобритании, Дании и других стран. Ущерб от кибератаки NotPetya оценивается примерно в $10 млрд, вирус уничтожил данные более чем на десяти тысячах компьютеров.
Среди прочих от атаки пострадала медицинская компания «Инвитро». Ей пришлось приостановить сбор биоматериала и выдачу результатов анализов. После атаки отдел информационной безопасности «Инвитро» в первую очередь изолировал системы, которые ещё не пострадали. Благодаря этому удалось избежать повреждения персональных данных клиентов. Далее началась работа по восстановлению всей ИТ-инфраструктуры и прикладных информационных систем.
У бюро кредитных историй украли данные 147,9 млн клиентов
Ущерб: обвал курса акции на 25,6% за месяц
В июле 2017 года одно из крупнейших бюро кредитных историй США Equifax обнаружило, что киберпреступники получили доступ к номерам социального страхования, адресам и номерам водительских прав 147,9 млн клиентов. Кроме того, в распоряжении хакеров оказались номера кредитных карт примерно 209 тысяч человек.
Официальные представители Equifax сообщили, что хакеры смогли проникнуть на серверы компании ещё в мае 2017 года, но их присутствие заметили только 29 июля. В компании не стали раскрывать подробностей атаки. Известно лишь, что преступники скомпрометировали одно из веб-приложений на официальном сайте.
7 сентября, после огласки инцидента, акции Equifax упали почти на 19% на вторичном рынке. А ещё в июле, через три дня после обнаружения утечки, три топ-менеджера бюро продали свои акции.
В мае 2019 года международное рейтинговое агентство Moody’s понизило Equifax в своём рейтинге и сменило прогноз относительно компании на негативный из-за проблем с кибербезопасностью. Решение агентства связано с тем самым инцидентом 2017 года.
Вирус-шифровальщик закрыл двери в отеле
Ущерб: €1,5 тысячи + расходы на восстановление и модернизацию системы
В ноябре 2017 года преступники запустили вирус-шифровальщик в систему, управляющую электронными ключами-картами от номеров четырёхзвёздочного отеля Romantik Seehotel Jegerwirt в Австрии. Сотни гостей не могли попасть в свои комнаты или их покинуть. Более того, хакеры получили контроль над всей системой, отключив все гостиничные компьютеры, возможность бронирования и кассы.
Отелю пришлось заплатить преступникам €1,5 тысячи в биткоинах. «У нас не было другого выбора», — объяснил решение отдать выкуп управляющий директор Кристоф Брандстеттер. На момент атаки в гостинице было забронировано 180 мест. Когда деньги поступили вымогателям, систему полностью восстановили, ключи-карты заработали, а персонал снова получил доступ к кассам.
Позже ИТ-отдел обнаружил, что хакеры оставили «черный ход» в надежде провести подобную атаку повторно, и улучшил систему безопасности. Её восстановление и модернизация обошлись отелю ещё в несколько тысяч евро.
«Юнистрим» лишился партнёров из-за хакерских атак
Ущерб: неизвестно
В ноябре 2018 года Центральный банк посоветовал удалять все входящие письма от «Юнистрима» и обновить антивирусные базы. С официального адреса платёжной системы произошла рассылка вредоносных писем.
Специалисты «Лаборатории Касперского» позже подтвердили, что рассылаемые с адреса «Юнистрима» фишинговые письма содержали SCR-файл, который после загрузки скачивал на компьютер вредоносное ПО. По данным «Коммерсантъ», опасные письма с адреса банка приходили дважды — 19 и 21 ноября. Ответственность за атаки, предположительно, лежит на группировке Cobalt. По мнению экспертов, новый взлом стал следствием некачественного расследования первого инцидента.
Несколько банков-партнёров «Юнистрима», среди которых «Банк Азии» из Киргизии, «Имон Интернешнл» из Таджикистана и «Ипотека банк» из Узбекистана, временно приостановили сотрудничество после сообщений об атаках. Российский банк «Восточный» расторг договор о сотрудничестве. Некоторые кредитные организации заблокировали все входящие письма от банка.
Сначала в «Юнистриме» всё отрицали, но после предупреждений о новой рассылке глава компании Кирилл Пальчун заявил, что проблема вредоносной рассылки уже решена.
Я правильно понимаю, что «облачный фильтр» - это база известных вредоносных url ?
Почему в списке нет Роскомнадзора?
Число кибератак с каждым годом только увеличивается. Так в 2019 году специалисты зафиксировали, что во всех странах мира кибератаки происходят каждые 14 секунд. Совсем не удивительно, что правительства крупнейших стран уже вводят статью бюджета на обеспечение кибербезопасности.