Вопрос не в том, как остановить хакеров, а в том, как лучше всего пережить неизбежный ущерб.
В марте прошлого года произошла крупнейшая в истории Норвегии кибератака – один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась атаке вымогательского ПО, которая повлекла за собой сбой в работе производственных объектов. Порядка 500 серверов и 2,7 тыс. компьютеров компании были заблокированы, а на мониторах отображалось уведомление с требованием выкупа.
Нельзя сказать, что Norsk Hydro не позаботилась о кибербезопасности, пишет Bloomberg. Конечно, как и другие многонациональные корпорации, она сделала все возможное, чтобы обезопасить себя от хакеров. Компания застраховала киберриски, а специалисты по тестированию на проникновение испытали надежность ее компьютерных сетей. Однако все это не уберегло Norsk Hydro от кибератаки, которая в итоге обошлась ей в $60 млн (согласно отчету о доходах, страховка пока что покрыла только $3,9 млн).
Несмотря на это, возможность уплаты выкупа вымогателям никогда не рассматривалась руководством Norsk Hydro. Во-первых, получив деньги, преступники могли просто скрыться. Во-вторых, даже если бы они предоставили ключ для восстановления зашифрованных файлов, и даже если бы он оказался рабочим, уплата выкупа означала бы, что Norsk Hydro легко идет на поводу у преступников и ее можно шантажировать.
Вместо этого старшему директору по информационным технологиям Джо Де Влигеру (Jo De Vliegher) пришлось наблюдать за тем, как IT-сеть его компании мучительно восстанавливается после атаки, и вернуться к использованию «древних» ПК, факсимильных аппаратов и других аналоговых технологий. Влигер видел болезненную реальность, часто описываемую консультантами по вопросам безопасности и сотрудниками правоохранительных органов: даже когда вы делаете все возможное, чтобы защитить себя от кибератаки, решительный противник почти всегда сможет нанести ущерб. Другими словами, вопрос не в том, как остановить хакеров, а в том, как лучше всего пережить неизбежный ущерб.
Пока специалисты Microsoft изучали инцидент и рассматривали возможности восстановления данных, Norsk Hydro нужно было решать насущные проблемы. В частности, компания должна была позаботиться о том, чтобы предупредить всех сотрудников не подключаться к зараженной корпоративной сети. Для этого на дверях офисов расклеивались бумажные записки с предупреждением. Затем требовалось предупредить о случившемся клиентов, поставщиков и инвесторов. Сделать это через сайт компании было невозможно из-за кибератаки, поэтому сотруднику отдела связи с общественностью пришлось делать публикации на Facebook со своего личного смартфона.
Ухудшало ситуацию и то, что в тот день должна была выплачиваться заработная плата. Банки отказывались общаться с Norsk Hydro в режиме online, опасаясь, что атака может перекинуться и на них. Выплату зарплаты пришлось отложить на два дня, но затем Влигер нашел решение. Он скопировал чеки за предыдущий месяц из внешней системы начисления заработной платы, удалив сотрудников, которые за это время были уволены или уволились.
Не имея возможности получать заказы от клиентов (в том числе Tesla и Ford Motor) в режиме online, алюминиевый завод в США не знал, что и в каких объемах запускать в производство. Сотрудникам пришлось обзванивать заказчиков и просить их прислать заказы на личную почту. Когда по электронной почте посыпались заказы, сотрудникам не оставалось ничего другого, как распечатывать их на принтерах и передавать в цеха. В результате очень скоро закончились бумага и картриджи.
Первую неделю после атаки директор алюминиевого завода в Крессоне (штат Пенсильвания) Майкл Хэммер (Michael Hammer) буквально жил на работе. Его атаковали поставщики, вовремя не получившие оплату. Хэммеру пришлось связываться с ними и просить передать банковские реквизиты по факсу. Поставщики, у которых еще сохранились факсимильные аппараты, получали платежи первыми.
Кто стоит за атаками, доподлинно неизвестно. Судя по собранным доказательствам, это может быть восточноевропейская киберпреступная группировка FIN6. В отличие от APT-групп, FIN6 действует в корыстных целях, а не в интересах правительства той или иной страны. Она использует вымогательское ПО LockerGoga. В случае с Norsk Hydro вредонос попал в сети компании через документ в электронном письме, отправленном со взломанной почты итальянского заказчика. Возможно также, что злоумышленники не взламывали почту, а перехватили письмо и внедрили вредоносный код в легитимный документ.
Спойлер: мы раскрываем их любимые трюки