Миллионы долларов за выкуп корпоративной информации

Привет.

Многих продолжают удивлять артефакты виртуального мира, в котором можно приобрести нарисованные кроссовки по цене настоящих. Но интернет уже стал средой, в которой не просто проводят время и находят развлечения, здесь зарабатывают большие деньги, хранят свои секреты и ценности. Идеальное место для злоумышленников, которые хотят поживиться за чужой счет.

В прошлые века отъем чужой собственности был делом хлопотным и опасным. Вам нужно было вооружиться, отправиться на поиски жертвы в другие края, ведь грабить кого-то там, где вы живете не лучшая задумка и прямая дорога на виселицу. Столкновения происходили лоб в лоб, охранники пытались отбиться от нападающих, последние откусить кусочек пожирнее. Старый-добрый реальный мир давал массу возможностей для того, чтобы пустить кровь ближнему своему. Сегодня цивилизация взяла свое, нет никакой необходимости в физическом контакте, захват чужой собственности номинальный, а нападающие могут находиться в любой точке мира и надобность снаряжать экспедиции за сокровищами пропала. А самое главное, что приз в таких нападениях стал намного выше, чем когда-либо в истории человечества. Ведь раньше унести можно было ровно столько, сколько выдерживали ваши лошади, повозки, корабли. Остальное закапывали, топили в море или пытались где-то припрятать, что родило романтическое описание пиратских кладов, о поисках которых мечтал каждый мальчишка. Мир стал прагматичнее и скучнее, никому не придет в голову воспевать поиски криптокошелька набитого биткоинами где-то на просторах сети.

Интернет сделал многие вещи дешевле и проще, вы можете получить доступ к своей информации из любого уголка мира. Чертежи новых самолетов, управление электростанциями и дорогами, все это можно найти в интернете, а защита инфраструктуры зачастую оставляет желать лучшего. Интернет слишком быстро стал массовым, а решение задач безопасности постоянно откладывали на потом, делали минимум необходимого. Звучит глупо и безрассудно, но именно так и поступало большинство государств, а также частных компаний. Проблема интернета в том, что любая угроза тут призрачна и отсутствие элементарных знаний позволяет поставить под сомнение саму возможность атаки. Пришло время бухгалтеров и демагогов, которые с удовольствием показали свою силу.

Офис испанского банка в Валенсии, в небольшой переговорке идет обсуждение бюджета на следующий год. За столом спорят финансисты, что выделяют бюджет и несколько яйцеголовых, так называют программистов и айтишников. Последние хотят обновить системы защиты информации, купить новые лицензии на антивирусы, приобрести дополнительные инструменты от нескольких поставщиков, защитить информацию. Довод финансистов против расточительных покупок звучит логично, — “зачем нам покупать все это, если нас никогда не атаковали?”. Чем-то мне это напоминает выступления тех, кто считает что армии в современном мире не нужны, а деньги потраченные на оружие лучше с пользой использовать на здравоохранение, развитие наук и благоустройство городов. Финансисты рассуждают примерно также, — давайте мы используем эти деньги на выплаты премий, увеличим маркетинговые траты и привлечем большее число клиентов. Один из них приводит железобетонный довод с которым не поспоришь, — у меня на компьютере стоит антивирус от Microsoft, он отлично справляется со всеми угрозами и он бесплатен! Сумма в полтора миллиона евро на защиту информации выглядит несуразной для этих ребят, они отрицают саму возможность потратить такие деньги в угоду яйцеголовым. Объяснить необходимость таких трат, обосновать их, невозможно, все доводы тонут в привычной сентенции, — “вы слишком драматизируете ситуацию, никто из наших коллег не сталкивался с такими проблемами и нет никаких необходимости в таких тратах. Вам приятно купить новую игрушку, но банк это коммерческая организация и мы должны думать о своих прибылях, контролировать расходы”. Очередная битва айтишниками проиграна, они выбивают обновление антивируса, покупку минимального числа лицензий. А их “свежий” софт для защиты от внешних угроз, что куплен всего пять лет назад (!!!), остается на службе.

Проходит несколько месяцев и кто-то из финансистов открывает в почте вложение, которое не стоило открывать. Дальше начинается самое интересное, через пару дней большинство банковских систем зашифровано вирусом-вымогателем, информация из почты и других систем скомпрометирована, а следы нападающих обнаружить не удается. Айтишники пожимают плечами, — “мы же предупреждали”, правление банка находится в легком ступоре и вырабатывает стратегию. Попытка провернуть фарш обратно оказывается утопией, нанятая сторонняя компания убеждает заплатить выкуп в 25 миллионов евро и получить доступ к системе. Обновление системы безопасности обойдется еще в 15 миллионов евро и займет до полугода, все это время банк будет работать под угрозой повторения ситуации и блокировки информации.

Но знаете, чего не произошло в этой истории? Она никогда не была озвучена публично, не было обращения в полицию, об этом не писали газеты. Мне она известна со слов одного из сотрудников банка, который за бутылочкой вина жаловался на тупоголовое начальство. Финансисты не только не услышали, что им говорили до того, через полгода после инцидента они под разными предлогами избавились от своих айтишников, так как посчитали их недостаточно квалифицированными. Ирония заключается в том, что затем ситуация повторилась вновь — созданная система защиты оказалась достаточно дорогой, чтобы не поддерживать ее постоянно, так как это накладно. Пока еще на банк не напали повторно, но это только вопрос времени и того, когда их защита станет достаточно дырявой, чтобы кто-то воспользовался брешами в ней.

История этого банка типична и подобное происходит ежедневно во всех уголках мира. Жертвы нападений молчат и не обращаются в правоохранительные органы, все равно ущерб не исправить, а репутационные издержки настолько велики, что руководство компаний должно будет покидать их в полном составе или ежеминутно оправдываться за свои промахи. И это создает круговую поруку при которой грабители даже вынуждены создавать самостоятельно промо своим действиям, чтобы другие компании раскошеливались на выкуп как можно быстрее. Для грабителей интернет стал Клондайком, где число целей неограниченно, а наказание призрачно и отвратимо.

В марте 2021 года хакерская группа REvil атаковала тайваньскую компанию Acer, в корпоративной сети были зашифрованы данные на десятках серверов, также атакующие получили доступ к конфиденциальной информации. Сумма выкупа в 50 млн долларов на тот момент была рекордной. На одном из подпольных форумов на аукцион выставили украденные данные, любой желающий мог их приобрести. В Acer не комментировали ситуацию о выкупе, но по сообщениям REvil выкуп они получили.

В конце апреля та же группа аналогичным образом атаковала Quanta, это ODM-производитель, например, они собирают некоторые модели Apple MacBook. Помимо того, что были зашифрованы все данные на серверах, хакеры получили доступ к схемотехнике новых устройств, чертежам еще не анонсированных продуктов. Выкуп в 50 млн долларов, параллельно аукцион с украденными данными, схема ничем не отличается. В Quanta обратились в правоохранительные органы, платить злоумышленникам не стали.

Такие атаки становятся нормой и они давно приобрели огромный масштаб и размах. Но теперь в сфере интересов атакующих не только виртуальные ценности, но и предприятия, которые имеют проекцию на реальный мир. Например, в начале мая в США подверглась атаке компания Colonial Pipeline, она отвечает за трубопровод обеспечивающий топливом все восточное побережье Америки. От работы трубопровода зависит 45% населения этого региона. Атакующие предположительно из группы DarkSide, они украли около 100 ГБ данных, но также зашифровали компьютеры компании, в том числе те, что отвечают за работу всей системы. Поставки топлива прекратились почти на неделю, Белый Дом был вынужден публично реагировать на ситуацию. И это только часть инфраструктуры, атаке могут подвергаться различные объекты, иногда цель атакующих выглядит очень иронично.

Например, группа Babuk Locker атаковала управление полиции столичного округа Колумбия, украдено 250 ГБ данных среди которых личные дела сотрудников, открытые дела на преступные группировки, информация об информаторах и другие столь же чувствительные данные. Сумма выкупа неизвестна, но судя по всему полиция заплатила его, так как атакующие обещали выдать преступникам имена информаторов, что поставило бы их жизни под угрозу.

Что будет дальше?

В 2021 году и дальше, мы увидим нарастание числа атак на корпорации по всему миру, так как это стало бизнесом, барыши в котором огромны, а наказание призрачно. Например, Северная Корея находясь под санкциями большинства стран, сделала атаки такого рода визитной карточкой страны, это возможность зарабатывать деньги на внешних рынках, щипать капиталистов. И чем больше историй становятся известны широкой публике, тем большее число желающих поучаствовать в разделе добычи будет появляться. Многим будет не хватить квалификации, а значит их будут ловить и публично наказывать, для острастки всех других. Но ловить будут тех, кто неумел, все остальные продолжат драконить корпорации, а угроза поимки для них будет минимальной.

Единственным вариантом решения этой проблемы становится охрана информации, выстраивание систем защиты. Но чем больше корпорация, тем сложнее выстроить защиту на всех уровнях, несмотря на наличие достаточных средств. Для компаний среднего размера это задача, которая выглядит еще сложнее. Но нужно понимать, что этим необходимо заниматься и не жалеть денег на защиту информации. Формула затрат на защиту выглядит очень просто, оцените стоимость вашей информации, того сколько будет стоить ее восстановление в случае полной потери и начинайте оценивать бюджет исходя из этого. Стоит ли это делать? Однозначно да, другого рецепта в современном мире просто нет.

Можно посмеиваться над нерадивостью корпораций, но логика развития таких угроз всегда одна и та же, после компаний приходит черед частных лиц. А значит нам нужно задуматься о том, как защитить свои данные, каким софтом для этого пользоваться и чего делать в сети точно не стоит. Расскажите в комментариях, чувствуете вы свою информацию защищенной от злоумышленников или нет?

[email protected]
наверх