Череда подозрительных совпадений ощутимо затруднила расследование инцидента.
Министерство финансов Палау, небольшого островного государства в Филиппинском море, недавно столкнулось с вымогательской атакой, произведённой группировкой DragonForce. В ходе компрометации хакерам удалось зашифровать компьютеры ведомства, а также якобы похитить конфиденциальные данные.
Об атаке стало известно 14 марта. Примечательно, что специалисты по безопасности обнаружили «на месте преступления» две отдельные записки с требованием выкупа: одну на листе бумаги в принтере от банды вымогателей LockBit и одну в текстовом файле README, помещённую рядом с зашифрованными документами, от банды вымогателей DragonForce.
Команда безопасности была весьма озадачена таким развитием событий, так как не было до конца понятно, кто же всё-таки ответственен за атаку. Или может произошло сразу две атаки? Однако наиболее вероятным сценарием является банальное использование хакерами DragonForce вымогательского ПО разработки LockBit, в котором они забыли убрать пару строчек кода.
Ещё более мутным фактом стало то, что в обоих записках Tor-ссылки для связи с хакерами были нерабочими. Это в купе с тем фактом, что атака совпала по времени с церемонией подписания Договора о свободной ассоциации между Палау и правительством США, побудило некоторых считать данную атаку политически мотивированной, но просто замаскированной под вымогательскую операцию
Однако в минувшее воскресенье, 7 апреля, хакеры DragonForce публично опровергли предположения, что атака на Палау имела иной мотив, кроме финансовой выгоды. Группа заявила: «Мы не имеем никакого отношения к политике. В течение трёх дней все данные из Палау будут доступны в нашем блоге. Там можно будет найти весьма интересную информацию». Кроме того, злоумышленники добавили, что суммарно украли у Палау более 21 ГБ данных.
По информации местного правительства, данные из Министерства финансов Палау действительно были украдены, однако ничего чувствительного или важного они не содержали. В крайнем случае хакеры смогут использовать их для целенаправленного фишинга, однако правительство не сильно переживает об этом, считая, что от таких атак можно легко защититься посредством повышения информированности.
В целом, островное государство почти не ощутило на себе последствий киберинцидента, хотя некоторым государственным работникам и пришлось получить свою заработную плату в виде банковского чека, а не привычным переводом или наличными. На полное восстановление зашифрованных компьютеров у местной команды безопасности ушло всего 5 дней.
Инцидент с Палау показывает, что даже рядовые организации в крошечных государствах должны быть всегда готовы к разнообразным киберугрозам. Оперативное реагирование и восстановление систем позволило стране быстро вернуться в нормальный режим работы, однако, кто знает, возможно, у этой атаки в будущем вскроются какие-либо дополнительные последствия.
Постоянное совершенствование мер кибербезопасности, включая повышение осведомлённости персонала, поможет любой организации избежать подобных инцидентов, сохранив важную информацию, человеческие ресурсы и драгоценную репутацию.
Спойлер: мы раскрываем их любимые трюки