Как и почему шифровальщики атакуют города

Вымогатели-шифровальщики, как правило, охотятся за крупной коммерческой добычей. Однако под их удары попадают и случайные жертвы, неспособные отбить кибератаку. В этой статье речь пойдет о том, как зловред может навредить жизни целого города.

В начале февраля 2023 город Окленд, США был вынужден отключить ИТ-системы из-за атаки кибервымогателей. Инцидент не затронул систему 911, пожарные и экстренные службы, однако уйти в оффлайн оказалось необходимо, чтобы изолировать активность зловреда.

В результате атаки в даркнет попали как минимум 10 гигабайт данных: удостоверения личности, официальные документы, паспорта, домашние адреса и прочая конфиденциальная информация. многочисленные городские работники получили уведомления о том, что кто-то пытается взять на их имя кредит — во время атаки мошенникам удалось получить номера социального страхования чиновников. Профсоюзные чиновники заговорили о судебных исках для обеспечения более широкой кредитной защиты тысяч работников, чья личная информация была украдена в прошлом месяце и размещена в даркнете.

Антон Кузнецов

Ведущий инженер информационной безопасности, R-Vision

Тактики, которыми пользуются злоумышленники для получения доступа в инфраструктуру с 2018 практически не изменились, по-прежнему чаще всего применяются:

эксплуатация известных уязвимостей;

общедоступные сервисы удаленного доступа (RDP, VPN, SSH и др.);

фишинговые письма.

Взлом с использованием этих тактик является следствием: устаревших ИТ-систем, с наличием в ПО уязвимостей, недостатка компетенций у сотрудников, занимающихся администрированием сети и информационной безопасностью в организации, отсутствия современных средств защиты информации из-за недостатка финансирования.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

За всю историю индустрии хакеры успешно атаковали очень крупные компании, которые тяжело заподозрить в проблемах с финансированием или отсутствии квалифицированных специалистов.

Удачные атаки происходят, когда сходятся звезды: злоумышленники должны обнаружить уязвимость, которую еще не успели закрыть специалисты компании, затем уязвимость нужно успешно проэксплуатировать с максимальным ущербом. Это происходит не так часто, как кажется.

Охота на городские ИТ

Это далеко не первая подобная история за последние годы, напротив, атаки шифровальщиков на муниципальные инфраструктуры только растут. В конце 2022 года исследователи Sophos сообщили, что такие кампании становятся чаще и сложнее ( PDF, англ.). Авторы связывают это с использованием автоматизации и технологий искусственного интеллекта.

Эксперты провели опрос среди городских администраций и выяснили, что в 2021 году от программ-вымогателей пострадали организации у 58% респондентов. В 2020 эта цифра составляла 34%. Более половины сообщили о растущей сложности атак, а 56% заявили, что инциденты оказывают все большее влияние

В исследовании подчеркивается, что рост атак на государственные и местные органы власти идет на фоне противоположной тенденции в других секторах. О снижении активности шифровальщиков говорили и другие эксперты, например, авторы отчета Positive Technologies об актуальных киберугрозах III квартала 2021 года отмечают:

«Среди организаций чаще всего атакам подвергались государственные учреждения… Основным орудием злоумышленников являются программы-вымогатели, которые применялись в 46% атак с использованием ВПО...»

В то же время, продолжают исследователи, в течение 2021 года общее количество атак шифровальщиков «стремительно» пошло на спад. После апрельского пика, когда было зарегистрировано 120 атак, к сентябрю показатели упали более чем на 60%, до 45 атак. Эксперты связывают это с «прекращением деятельности некоторых крупных групп вымогателей и повышенным вниманием… (из-за прошедших громких атак) со стороны правоохранительных органов». Это внимание уже привело к санкциям Министерства финансов США по отношению к криптобиржам, которые работают с киберпреступниками.

Тем не менее, заражения муниципальных ИТ-инфраструктур были и остаются регулярной проблемой для специалистов по кибербезопасности. Как проходит подобная атака и к каким последствиям приводит, хорошо видно на примере города Балтимор, США.

RobbinHood против балтиморской администрации

В начале мая 2019 года новичок на тогдашней арене вымогательского ПО RobbinHood заблокировал в администрации Балтимора 10 тыс. персональных компьютеров. Зловред также добрался до одной из систем контроля ЖКХ, вывел в оффлайн базу штрафов за парковку и местный реестр с 1,5 тысячами сделок с недвижимостью.

Сотрудники муниципалитета потеряли доступ к электронной почте и были вынуждены перейти на работу из дома. Администрация создала для них временные Gmail-адреса, которые позже попали под автоматическую блокировку по подозрению в нежелательной активности. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома, отправлять администрации электронные письма. По счастью, 911 и другие экстренные службы не пострадали.

Как выяснили СМИ, вымогатели требовали выкуп в 13 BTC (около $70 тыс. по курсу на начало мая 2019). Взамен они обещали удалить со своих серверов конфиденциальные данные, включая IP-адреса и ключи шифрования. «Нам очень важна ваша приватность», — говорилось в сообщении злоумышленников.

Группа экспертов компании Group-IB

Главная мотивация таких группировок – финансовая. Структура преступных группировок шифровальщиков продолжает усложняться и все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками. Разработчики программ-вымогателей выпускают новые версии и обновления своих решений для эксплуатации новых или более сложных уязвимостей.

По мнению экспертов ИБ, атака не была направленной и операторы зловреда наткнулись на балтиморскую администрацию при сканировании интернета. Текст требования о выкупе практически совпадает с записками, которые были обнаружены после атак RobbinHood.

В первые дни после атаки ФБР запретило разглашать какую-либо информацию о расследовании — содержание записки стало известным через утечку в СМИ. Позже мэр города Бернард Янг (Bernard Young) сообщил на пресс-конференции, что злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue. Он также подтвердил, что власти не планируют платить выкуп, хотя финальное решение администрация пока не приняла.

За несколько лет до этого уязвимость протокола Windows SMB под условным названием EternalBlue утекла из арсенала Агентства национальной безопасности США. Далее она стала причиной крупнейших эпидемий в истории кибербезопасности, включая атаку одного из самых известных шифровальщиков WannaCry.

В 2019 году журналисты не преминули поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий. Более поздние исследования, впрочем, поставили под сомнение факт применения этой уязвимости в балтиморской истории (АНБ с самого начала отрицала связь атаки с их эксплойтом).

Как городу защититься от шифровальщиков

Cyber Media побеседовал с ИБ-экспертами, чтобы разобраться: как переломить тренд и защитить городских жителей от киберпреступников.

Имеют ли эти атаки направленный характер или городские ИТ-системы попадают под удар случайно, после слепого сканирования?

Антон Кузнецов

R-Vision

Для поиска целей злоумышленники часто используют сервисы, которые собирают в интернете данные о доступных IP-адресах и портах, в том числе сервисах удаленного доступа. Такие сервисы подвергаются атакам с помощью подбора паролей методом «грубой силы» (brute force), реже с использованием уязвимостей. В 2023 зафиксированы случаи использования такой тактики операторами ransomware Dharma (CrySis).

Эксперты Group-IB

Может показаться, что атакующим не очень выгодно тратить свое время на такие цели, ведь намного перспективнее атаковать коммерческую структуру. Вымогатели атакуют тех, кто может заплатить выкуп, а у городского муниципалитета вряд ли получится потребовать десятки миллионов долларов. При этом известны случаи, когда администрации в США выплачивали шифровальщикам выкуп.

Такие атаки вызывают общественный резонанс, что привлекает внимание к данной RaaS. Партнерские программы вымогателей активно конкурируют между собой, и такая «реклама» не бывает лишней для них.

Какие меры предосторожности стоит предпринять ИТ-департаментам городских администраций, чтобы свести к минимуму возможные последствия атаки шифровальщика?

Янис Зинченко

Эксперт по кибербезопасности «Лаборатории Касперского»

Используемые злоумышленниками методы и средства несильно отличаются для государственного сектора, компаний или обычных людей. Чтобы защититься от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

Не открывать доступ к службам удаленного рабочего стола (таким как RDP) из интернета, вместо этого использовать корпоративные VPN. Всегда использовать надежные пароли для таких служб.

Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в вашей сети.

Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.

Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.

Отслеживать актуальные TTP злоумышленников с использованием данных Threat Intelligence.

Обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом могут помочь специализированные курсы.

Защита цифровых городов

Многие участники нашего опроса отметили: финансово мотивированные организаторы атак вряд ли будут целенаправленно отслеживать муниципальные инфраструктуры. В то же время, можно предположить, что с развитием систем умного города и сквозной цифровизации систем управления транспортом, ЖКХ, госуслугами эта ситуация может поменяться.

Весомым преимуществом в этих условиях будет тот факт, что сегодняшние ИТ-сервисы создаются с учетом существующих угроз. Поэтому взломать цифровой муниципалитет будет гораздо сложнее, чем заразить устаревший компьютер сотрудника мэрии.