Атака программы-вымогателя на Балтимор
Атака программы-вымогателя на Балтимор в мае 2019 года потрясла город. Она значительно затронула компании, государственные учреждения и общественные службы, а меры по устранению ущерба обошлись в 18 млн долларов США. Мы поговорим о том, как происходила атака программы-вымогателя на Балтимор, каковы были ее последствия и чему компании могут научиться на таких примерах, чтобы защитить себя от подобного ПО.
Защитите свой бизнес от программ-вымогателей с помощью Avast Business Server Antivirus
Когда произошла атака на Балтимор?
Атака программы-вымогателя на Балтимор произошла 7 мая 2019 года, в период, когда город и без того переживал сложные времена. Бывший мэр Балтимора Кэтрин Пью (Catherine Pugh) только покинула свой пост 2 мая после скандала и уголовных обвинений, после чего отправилась в тюрьму, а ее преемник, Бернард С. Янг (Bernard C. Young), занял должность 9 мая. Хакеры атаковали цифровую инфраструктуру города в то время, когда важность кибербезопасности отошла для городских властей на задний план. Атаки продолжались больше двух недель.
В 2019 году город стал жертвой утечки данных во второй раз. В марте 2018 года атака программы-вымогателя отключила аварийные системы города на более чем 12 часов. А 25 ноября 2020 года третья атака программы-вымогателя ударила по школьному округу Baltimore County Public Schools, затронув более 170 школ, многочисленные образовательные системы и более 115 000 учащихся.
Как происходила атака программы-вымогателя на Балтимор?
7 мая 2019 года Департамент общественной работы Балтимора сообщил в Twitter, что его службы электронной почты недоступны. Затем вышли из строя и его телефонные линии. Это вызвало эффект домино, в результате чего по всему городу до 10 000 систем органов власти, включая Департамент транспорта, стали недоступными.
Это была попытка кибератаки на телефонные линии экстренных служб, похожая на успешный удар программы-вымогателя по городу в 2018 году, что усилило подозрения. Городские власти совместно с ФБР смогли определить, что город стал жертвой атаки программы-вымогателя RobbinHood.
Хакеры использовали программу RobbinHood, чтобы заблокировать доступ государственных служащих ко всем операционным системам, взять данные «в заложники» и сделать все системы и приложения недоступными. Через два дня после первой атаки хакеры опубликовали требование выкупа. Они обратились к новому мэру и запросили 3 биткойна за заблокированную систему. Сумма за возвращение доступа ко всем системам достигала 13 биткойнов (до 76 000 долларов США). В сообщении говорилось, что с 11 мая сумма выкупа будет возрастать на 10 000 долларов США каждый день, если платеж не поступит, а все затронутые атакой данные будут безвозвратно удалены.
Что такое RobbinHood?
Robbinhood — это сложный вид программ-вымогателей, воспроизводящий более изобретательные методы своих передовых аналогов, таких как Ryuk, Locky и Petya. Такая программа проникает в систему через взломанные протоколы удаленного рабочего стола (Remote Desktop Protocol, RDP). Это позволяет хакерам разрывать связь между сетью и связанным аппаратным обеспечением, обходить возможности киберзащиты (и любых программ для восстановления) и ограничивать доступ ко всем файлам и папкам с помощью шифрования. Все это делает любое потенциальное восстановление конфиденциальных данных невозможным, пока жертва не заплатит выкуп в обмен на ключ для дешифровки.
Как отреагировали городские власти?
Когда мэру Янгу сообщили, что город подвергся атаке, он выпустил официальное заявление. В нем подчеркивалось, что значительная часть городских служб временно перешли на работу в ручном режиме, а многие государственные услуги стали недоступными. В их числе оказалась городская система платежных карт, позволявшая гражданам оплачивать парковку и налоги на имущество. Он также заявил, что город сотрудничает с ФБР и специалистами по технологиям, включая Microsoft, чтобы восстановить работоспособность всех систем. Он признал, что для этого могут потребоваться недели и даже месяцы, так как несколько систем понадобится создать заново.
В течение двух недель сотрудники городской администрации не могли получать доступ к своим системам электронной почты. Поэтому они создали учетные записи Gmail, чтобы преодолеть последствия и позволить гражданам оплачивать базовые услуги (например, счета за воду). К сожалению, массовое создание учетных записей спровоцировало реакцию систем Google для борьбы со спамом. Эти записи оказались также заблокированы. Когда компании Google сообщили об этом, записи разблокировали.
Было распространено мнение, что ответственность за атаку программы-вымогателя несет Агентство национальной безопасности (АНБ). Ведь считалось, что хакеры использовали для проникновения в системы Windows инструмент-эксплойт EternalBlue (ранее созданный АНБ). Этот инструмент был украден и обнародован группой Shadow Brokers в апреле 2017 года, став популярным средством при разработке и создании новых программ-вымогателей. Поэтому считалось, что именно он стал точкой доступа для атаки.
Старший советник директора по стратегии кибербезопасности в АНБ Роб Джойс (Rob Joyce) ответил, что валить всю вину на EternalBlue было «недальновидно»: компания Microsoft рассылала исправления, защищающие от EternalBlue, и у властей Балтимора было больше двух лет, чтобы установить их и устранить все прочие уязвимости своей ИТ-инфраструктуры. Продолжая изучать атаку, аналитик вредоносного ПО Джо Стюарт (Joe Stewart) пришел к выводу, что следов EternalBlue в коде программы-вымогателя нет, но этот эксплойт мог помочь в распространении атаки.
Выплатил ли округ Балтимор выкуп?
Округ Балтимор не стал платить выкуп, несмотря на нарастающее давление. Например, хакеры публиковали конфиденциальные данные, связанные с сотрудниками администрации, и продолжали угрожать раскрытием новой информации. Большая часть городских операционных систем заработала к середине июня, а некоторые (например, связанные с электронными разрешениями, недвижимостью и учетными записями сотрудников) оказались вновь в строю к концу месяца.
Мэр Янг выпустил видеообращение в Twitter в ответ на публичную критику и призывы заплатить выкуп. Он заявил:
«Во-первых, и Секретная служба, и ФБР посоветовали нам не платить выкуп. Во-вторых, это не наш подход. Мы не будем давать награду за преступную деятельность. Если бы мы заплатили выкуп, не было бы никаких гарантий, что преступники разблокировали бы наши системы или что у них вообще была бы такая возможность».
«Нет никакого способа отследить платеж или даже проверить, кому мы отправляем деньги. Из-за способа оплаты, который они выбрали, не было никакого шанса узнать, не оставят ли они в наших системах другие вредоносные программы, чтобы в будущем потребовать выкуп снова. В конечном итоге мы все равно должны были бы предпринять все те же действия, что и сейчас, чтобы обеспечить безопасность и защиту среды. Я уверен, что мы выбрали лучший вариант действий».
Заместитель начальника отдела по операционной работе мэрии Шерил Голдстейн (Sheryl Goldstein) добавила:
«Федеральные следователи посоветовали нам не платить выкуп. Есть сведения, что шанс на возвращение своих данных при выплате выкупа меньше чем 50 на 50. И даже после выкупа потребуется войти в свою систему и позаботиться о том, чтобы в ней не было злоумышленников. Просто вернуть все «как было» и верить, что проблемы позади, недостаточно. Поэтому большую часть убытков нам все равно пришлось бы понести».
Каковы были последствия атаки программ-вымогателей на Балтимор?
Атака программ-вымогателей на Балтимор в 2019 году продлилась около месяца, а меры по восстановлению работы служб, включая ликвидацию ущерба, покупку оборудования, потерянный и отсроченный доход, обошлись в 18,2 млн долларов США. 35 % из более чем 10 000 муниципальных служащих за это время получили доступ к своим учетным записям, а через несколько месяцев эта доля достигла 95 %.
Как и атака программ-вымогателей на Атланту в 2018 году, атака на Балтимор затронула правительственные учреждения, коммунальные службы и парковки. Все это нужно было перевести на работу в ручном режиме.
В отличие от атаки программы-вымогателя на NHS в Великобритании, оказавшей значительное влияние на критически важные услуги, экстренные службы Балтимора напрямую не пострадали от атаки RobbinHood и продолжали работать. Но атака повлияла на рынок недвижимости Балтимора: сотрудники не могли оформлять продажу собственности до конца июня.
Это была уже вторая атака программы-вымогателя на Балтимор за 15 месяцев, поэтому городские власти подверглись жесткой критике. Но с тех пор были внедрены превентивные меры, чтобы не допустить новых атак. В частности, был создан новый комитет по кибербезопасности, возглавленный председателем совета Брендоном Скоттом (Brandon Scott). Комитет работал над тщательным поиском уязвимостей города и мерами реагирования на атаки. После этого внедрялись новые политики, практики и технологии для создания устойчивой ИТ-инфраструктуры.
Атака на школьный округ Baltimore County Public Schools в 2020 году
Школьный округ Baltimore County Public Schools стал жертвой третьей атаки программы-вымогателя на город 24 ноября 2020 года, за два дня до Дня благодарения. Несмотря на два предыдущих громких случая, когда вымогатели атаковали город, меры по защите больших массивов конфиденциальных данных оказались ненадежными. Все конфиденциальные данные и связанные школьные системы были зашифрованы, что затронуло «каждый аспект системы школьного округа Baltimore County Public Schools».
Несмотря на наличие резервных копий существующих данных, расходы на восстановление превысили 8 млн долларов США. После атаки более 9000 ноутбуков сотрудников было перепрошито (жесткие диски отформатировали, а затем на них установили новые операционные системы). То же пришлось сделать и с устройствами учащихся. Некоторые данные и планы занятий были потеряны безвозвратно, а школьную сеть пришлось создавать заново.
Происшествие вызвало серьезные перебои в удаленном обучении, которое имело огромное значение из-за пандемии COVID-19. Это сказалось на 115 000 учащихся. Долгосрочный сдвиг в сторону удаленной и гибридной работы привел к увеличению количества конечных точек, что дополнительно увеличивает риски для кибербезопасности.
Точно неизвестно, заплатили ли выкуп, но школьному округу Baltimore County Public Schools пришлось:
- заново создавать и защищать свою ИТ-инфраструктуру;
- вводить новые процессы для всего персонала, такие как многофакторная аутентификация (Multi Factor Authentication, MFA);
- установить брандмауэры нового поколения и расширить защиту устройств.
Однако в 2021 году президент Ассоциации учителей округа Балтимор Синди Секстон (Cindy Sexton) отметила, что для некоторых систем проблемы так и не были устранены. В частности, речь шла о системах оплаты труда в учреждении: многим сотрудникам переплачивали, недоплачивали или задерживали выплаты.
Чему можно научиться на примере атак программ-вымогателей на Балтимор?
Требуемый выкуп был гораздо меньше, чем стоимость мер, принятых для восстановления после кибератаки, но мэр Янг кратко привел несколько причин, почему платить выкуп не следует.
- Хакеры не должны получать награду за преступную деятельность, так как это могло бы сделать город мишенью новых атак программ-вымогателей в будущем.
- Нет никаких гарантий, что системы и связанные данные будут разблокированы после выплаты выкупа.
Атаки программ-вымогателей на Балтимор подчеркивают опасность устаревших программ для безопасности и подходов в сфере ИТ. Программа-вымогатель может нанести вашему бизнесу ущерб на тысячи или даже миллионы, которые уйдут на восстановление. И это не говоря об утрате репутации. Крайне важно действовать на упреждение и обновить свои процессы, связанные с кибербезопасностью. Несколько примеров приведено ниже.
- Установка надежного антивируса со встроенными инструментами защиты от программ-вымогателей.
- Внедрение регулярного резервного копирования.
- Создание плана обеспечения бесперебойной работы.
- Обучение персонала основам кибербезопасности.
Позвольте Avast защитить ваш бизнес от атак программ-вымогателей
Примите базовые меры по безопасности, чтобы защитить свою компанию от угрозы со стороны программ-вымогателей. Вложите деньги в антивирусное ПО для бизнеса, которое сможет защищать серверы Windows, исправлять уязвимости, обнаруживать и предотвращать вредоносные действия в сетях.
© Gen Digital Inc., 2024.