Время подвести итоги года. Они могут сподвигнуть вас на модернизацию безопасности своих сетей.
Когда общественный колледж в штате Вашингтон подвергся атаке программы-вымогателя, последствия оказались катастрофическими. Организация потеряла все свои серверы. Электронная почта, курсовые работы, лекции — всё пропало. Процесс восстановления занял месяцы и привёл к резкому спаду набора студентов. И подобные случаи лишь учащаются буквально с каждый днём.
Согласно глобальному опросу 3000 IT-специалистов, проведённому в 2023 году поставщиком решений кибербезопасности Sophos, в среднем две из трёх организаций пострадали от инцидентов с программами-вымогателями за последний год, а сильнее всего досталось сектору образования.
Но эксперты предупредили, что, хотя некоторые организации могут подвергаться более высокому риску стать жертвой вымогательских атак, чем другие, ни одна отрасль не берет на себя весь риск или даже его большую часть. На данный момент атаки программ-вымогателей поразили как минимум половину организаций во всех отраслях, представленных в опросе Sophos. Вывод из этого простой: никто не застрахован от этой угрозы.
Тем не менее, инциденты с программами-вымогателями в определённых отраслях, таких как критическая инфраструктура и здравоохранение, как правило, привлекают наибольшее внимание. В свою очередь, инциденты, затрагивающие менее значимые цели — например, местные органы власти и малый бизнес — просто не собирают вокруг себя такой ажиотаж, отсюда и ошибочное мнение, что они не являются особо привлекательными целями для хакеров.
«Будь то компания со штатом в 500 человек или компания со штатом в 50 000 человек — мишенью является каждая», — подчеркнул Крис Сильва, аналитик Gartner. Банды программ-вымогателей — это в первую очередь бизнес, поэтому злоумышленники интересуются тем, где они могут ожидать максимального финансового эффекта от своих разрушительных действий. Это может означать как одну крупную атаку, например, на газопровод, а может означать сразу множество атак, охватывающих десятки более мелких организаций. При любом раскладе в плюсе остаются только хакеры.
Принимая всё это во внимание, ниже приведены 13 основных, но ни в коем случае не единственных, целей для программ-вымогателей по секторам, согласно опросу Sophos и прочим данным.
В секторе образования наблюдался самый высокий уровень атак программ-вымогателей по состоянию на 2023 год. 80% начальных, средних и старших школ и 79% высших учебных заведений сообщили о совершении атак в течение года, предшествовавшего опросу.
В качестве примера недавних атак на школьные учреждения можно привести банду Vice Society, которая атаковала Объединённый школьный округ Лос-Анджелеса, крупнейшую систему государственных школ Калифорнии. Когда округ отказался выплачивать выкуп, операторы вымогательской банды слили в даркнет 500 ГБ украденных данных.
Среди громких жертв в секторе высшего образования — Колледж искусств и дизайна Саванны в штате Джорджия; Университет Уильяма Кэри в Хаттисберге, штат Миссисипи; и Государственный сельскохозяйственный и технический университет Северной Каролины в Гринсборо.
Основные мишени для программ-вымогателей за 2023 год
В начале 2023 года 71% компаний, занимающихся строительством и недвижимостью, сообщили Sophos, что недавно они подверглись атакам программ-вымогателей. Причём за последние два года этот показатель вырос на 129%. Организации в этой отрасли также в подавляющем большинстве случаев сообщали о потере бизнеса и доходов в результате кибератак.
Один из громких случаев в этом секторе — публичная инвестиционная компания в сфере недвижимости Marcus & Millichap, которая в конце 2021 года сообщила, что подверглась кибератаке, которая могла быть делом рук банды вымогателей BlackMatter.
Из центральных правительственных организаций со всего мира, опрошенных Sophos, 70% заявили, что подверглись атакам программ-вымогателей в течение 12 месяцев, предшествовавших публикации отчёта.
В одном из примеров банда Conti провела атаку с помощью программы-вымогателя на центральное правительство Коста-Рики, что побудило президента объявить чрезвычайное положение в стране. Правительство отказалось платить выкуп, а киберпреступники слили в сеть почти все украденные данные.
В другом известном инциденте национальная служба здравоохранения Ирландии стала жертвой атаки программы-вымогателя, которая вынудила правительство отключить все больничные IT-системы, серьёзно нарушив уход за пациентами.
В 2023 году предприятия в сфере средств массовой информации, развлечений и досуга оставались одними из главных целей программ-вымогателей с уровнем атак 70%.
Последствия и здесь были весьма серьёзными для бизнеса затронутых компаний. Так, когда издательство Macmillan Publishers подверглось кибератаке, связанной с шифрованием файлов, компании пришлось отключить все свои IT-системы, остановив заказы на книги. Аналогичные инциденты произошли с Cox Media Group и Sinclair Broadcast Group, вызвав значительные сбои в работе.
Органы местного самоуправления столкнулись с почти таким же уровнем атак, как и учреждения центрального правительства — 69%. В качестве примера можно привести масштабную атаку в сентябре 2022 года, когда вымогатели вынудили округ Саффолк, штат Нью-Йорк, отключить все свои системы, что поставило под угрозу службы экстренной помощи и вынудило сотрудников округа работать без Интернета.
В мае этого года в городе Даллас, а затем и ещё в ряде американских городов вынужденное отключение городских сетей из-за распространения в них вымогательского софта привело к серьёзным нарушения работы многих городских служб, включая экстренную медицинскую помощь, пожарных, полицию и муниципальные суды.
Примечательно, что Северная Каролина и Флорида официально запретили агентствам своих штатов и местным органам власти выплачивать выкуп, что хоть и свело усилия хакеров на ноль, не стало от этого меньшей проблемой для местных жителей.
Сектор розничной торговли оказался в одном ряду с органами местного самоуправления: 69% организаций сообщили об атаках с использованием программ-вымогателей за последний год. Хотя эта цифра высока, она представляет собой уменьшенное на 8 процентных пунктов значение по сравнению с показателем прошлого года.
Что касательно примеров атак вымогателей на компании из этого сектора, на ум приходит британский ритейлер FatFace, который заплатил банде Conti около 2 миллиона долларов за возврат похищенных данных.
Несколько месяцев спустя беспрецедентная вымогательская атака на поставщика программного обеспечения Kaseya поразила около 1500 предприятий. Среди них была шведская сеть продуктовых магазинов Coop, которой в ответ пришлось временно закрыть большинство из 800 своих розничных магазинов. Ритейлер заявил, что вредоносное ПО помешало работе многих кассовых аппаратов.
В 2023 году программы-вымогатели поразили 67% нефтегазовых и коммунальных организаций, опрошенных Sophos, что немного меньше, чем в предыдущем году. Эти атаки могут нанести особенно катастрофический ущерб и сбои, что делает этот сектор перманентно интересным для киберпреступников.
«Хакеры довольно хорошо понимают, где находятся критически важные элементы инфраструктуры, как они могут их атаковать и как использовать это, чтобы по-настоящему обезоружить своих жертв», — сказал Крис Сильва из Gartner.
Одна из самых известных на сегодняшний день атак с использованием программ-вымогателей в данной отрасли произошла, когда банда DarkSide проникла в сети Colonial Pipeline через устаревшую учётную запись VPN, остановив операции компании и на несколько дней прервав поставки топлива на восточное побережье США.
Киберпреступники уже давно рассматривают организации логистического сектора как привлекательные цели для похищения и шифрования данных. Согласно отчёту Sophos, 67% опрошенных организаций в данном секторе стали жертвой вымогательской атаки за последний год.
Обращаясь к прошлому, можно вспомнить всеми известный вымогатель NotPetya, атака которого почти десять лет назад стоила датскому судоходному гиганту Maersk порядка 300 миллионов долларов упущенной выгоды.
Из недавних случаев стоит отметить немецкую фирму по логистике топлива OilTanking, атака программы-вымогателя на сети которой нарушили поставки топлива примерно на 200 заправочных станций.
Что касательно сектора финансовых услуг, хотя процент атак на этот сектор увеличивался из года в год, он был по-прежнему ниже, чем во многих других секторах. В этом году он составил 64%. Однако воздействие программ-вымогателей на данный сектор не стоит недооценивать, потому что последствия могут быть наиболее масштабным, опережая даже сектора, упомянутые выше.
Так, департамент финансовых услуг Нью-Йорка недавно предупредил, что крупная атака на крупные организации в отрасли вполне может вызвать новый великий финансовый кризис, нанося ущерб ключевым организациям и вызывая потерю доверия потребителей.
Unit 42, группа исследователей безопасности из Palo Alto Networks, считает деловые и профессиональные услуги одним из наиболее желанных для хакеров секторов, уступая только производству. Исследователи основывают свой вывод на данных, которые они нашли на сайтах утечки программ-вымогателей, где преступники публикуют украденные данные жертв.
Исследователи предположили, что эти компании, в число которых входят бухгалтерские, рекламные, консалтинговые, инжиниринговые, маркетинговые и юридические фирмы, могут стать привлекательными целями для вымогателей по следующим причинам:
— они часто полагаются на устаревшие и неисправленные системы и программное обеспечение, что облегчает преступникам доступ к их сетям;
— они не могут предоставлять свои продукты и услуги без функциональных IT-систем, что побуждает их либо быстро платить выкуп, либо испытывать серьёзные последствия для бизнеса.
60% организаций в опросе Sophos, предоставляющих деловые и профессиональные услуги, заявили, что за последний год они подверглись атакам программ-вымогателей.
Медицинские центры также являются излюбленной мишенью вымогателей, во многом потому, что в этой сфере обычно крутятся немалые деньги, да и входную точку для компрометации зачастую найти не очень сложно.
Хорошие новости, однако, всё же есть. Процент медицинских организаций, сообщивших исследователям Sophos о том, что они недавно подверглись атакам программ-вымогателей, упал с 66% в 2022 году до 60% в 2023 году.
Тем не менее, последствия инцидентов с программами-вымогателями в этом секторе могут быть особенно болезненными. Так, кибератака на больницу в немецком городе Дюссельдорф вынудило медицинских работников отправить пациента с опасным для жизни состоянием в другую больницу, находящуюся в 32 километрах. Позже пациент скончался, а немецкая прокуратура заявила, что это мог быть один из первых летальных случаев, связанных с программами-вымогателями. Следователи возбудили дело об убийстве по неосторожности, но отказались от его развития, поскольку не смогли доказать, что вымогательская атака стала непосредственной причиной смерти пациента.
Хотя чиновникам ещё не удалось привлечь киберпреступников к ответственности за негативные последствия для пациентов больниц, исследования убедительно показывают, что атаки программ-вымогателей уже не раз приводили к ненужным смертям.
Исследователи Sophos обнаружили, что более половины производителей (56%) подвергались атакам с использованием программ-вымогателей за 12 месяцев, предшествовавших опросу. Например, в начале 2023 года вымогатели ударили по ряду крупных корпораций, включая крупную производственную компанию Dole. Согласно электронному письму, опубликованному одним из техасских розничных партнёров Dole, атака затронула системы компании по всей Северной Америке.
Наиболее известным примером атаки на этот сектор является банда вымогателей REvil, полностью остановившая деятельность производителя говядины JBS USA, одного из крупнейших поставщиков мяса в США. Хотя компания заявила, что восстановила работу в течение четырёх дней благодаря своим резервным серверам, JBS USA позже подтвердила, что заплатила хакерам 11 миллионов долларов, чтобы остановить публикацию украденных данных в сеть.
По данным исследователей Sophos, каждая вторая организация (50%) в сфере IT сталкивалась с атаками программ-вымогателей в период с января 2022 года по март 2023 года. Этот относительно низкий уровень атак объясняется гораздо большей подготовкой и киберзащитой компаний, нежели в других секторах. Организации из этого сектора также были единственными, чьи данные были зашифрованы менее чем в половине случаев успешных атак.
Тем не менее, даже с учётом всей подготовки IT-компаний, половина атакованных организаций это всё равно много, поэтому тут ещё определённо есть куда расти.
В число недавних целей программ-вымогателей в IT-секторе входит тайваньский производитель компьютеров Acer, который получил от банды REvil одно из самых крупных требований о выкупе за всю историю на тот момент — 50 миллионов долларов. Выплатила ли компания выкуп, доподлинно неизвестно.
Хотя исследования показывают, что организации в этих 13 отраслях входят в число наиболее часто подвергающихся атакам программ-вымогателей, эксперты подчёркивают, что ни одна организация, независимо от её размера или сектора, не застрахована от этой угрозы.
Последствия успешных атак программ-вымогателей могут быть катастрофическими для любого бизнеса — речь идёт о потере критически важных данных, остановках работы предприятий, колоссальных финансовых убытках и серьёзном репутационном ущербе. Иногда действия киберпреступников даже непосредственно угрожают жизни и здоровью людей, особенно в сфере здравоохранения.
Все это говорит о том, что в любой компании и организации сегодня нужно уделять первостепенное внимание вопросам кибербезопасности и подготовке к возможным атакам. Необходимо проводить регулярное резервное копирование данных, обучать персонал правилам кибергигиены, использовать современные антивирусные и защитные решения.
К сожалению, практика показывает, что уплата выкупа злоумышленникам за расшифровку данных часто лишь стимулирует дальнейшую преступную деятельность. Поэтому компаниям лучше направлять свободные средства на усиление собственной киберзащиты, чем финансировать кибермошенников.
Подготовка, проактивность и постоянное совершенствование мер кибербезопасности — вот что поможет свести риски от атак программ-вымогателей к минимуму для любой организации. И даже если вымогатели всё же осуществят задуманное, лишь хорошо подготовленные организации смогут быстро восстановить свои системы и вернуться в привычный ритм работы, тогда как остальные компании ждёт куда более печальная участь.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале