Зростаюча складність атак програм-вимагачів
Атаки програм-вимагачів стали тривожною загрозою в нашому все більш цифровому світі. Оскільки кіберзлочинці використовують складні методи для використання вразливостей, наслідки відчувають на собі окремі особи, компанії та навіть цілі країни. У цій публікації блогу ми заглибимося в темну сторону сучасних атак програм-вимагачів, досліджуючи тривожні тенденції та наслідки, які супроводжують ці зловмисні дії.
З часом атаки програм-вимагачів перетворилися на більш складні та складніші операції. Зараз кіберзлочинці використовують витончену тактику, щоб збільшити свій вплив. Фішинг, коли зловмисники ретельно створюють персоналізовані електронні листи, щоб обманом змусити жертв розкрити конфіденційну інформацію або завантажити зловмисне програмне забезпечення, став поширеним методом. Крім того, експлойти нульового дня, спрямовані на вразливості програмного забезпечення, невідомі постачальнику, надають зловмисникам перевагу.
Алгоритми шифрування, які використовуються програмами-вимагачами, також стають дедалі складнішими, тому жертвам стає надзвичайно складно відновити свої дані, не сплачуючи чималий викуп. Складність і постійний характер цих атак зробили їх грізною загрозою.
Руйнівний вплив на окремих осіб і компанії
Наслідки атак програм-вимагачів є руйнівними як для окремих осіб, так і для компаній. Особисті файли, конфіденційні дані та інтелектуальна власність можуть бути безповоротно зашифровані або викрадені, що призведе до значних фінансових втрат і емоційних страждань для людей.
Підприємства, з іншого боку, стикаються з ще серйознішими наслідками. Збої в роботі, спричинені атаками програм-вимагачів, можуть призупинити критичні процеси, що призведе до значних фінансових втрат. Крім того, репутаційна шкода в результаті атаки може мати довготривалі наслідки, спричиняючи втрату довіри клієнтів і потенційне банкрутство.
Ось кілька помітних прикладів деструктивних штамів програм-вимагачів, які спостерігалися за останні роки:
-
CryptoLocker (2013): CryptoLocker з’явився у вересні 2013 року та спричинив масовий хаос, поки його не нейтралізувала міжнародна цільова група з кібербезпеки у травні 2014 року. Його поширенню сприяло розгалужений ботнет Gameover ZeuS.
-
Petya (2016) і NotPetya (2017): Сімейство програм-вимагачів Petya вперше з’явилося в 2016 році, але саме руйнівний штам NotPetya привернув широку увагу в 2017 році. NotPetya спричинила збитки в Європі та США на суму понад 10 мільярдів доларів.
-
WannaCry (2017): у травні 2017 року програма-вимагач WannaCry запустила потужну атаку, заразивши понад 230 000 комп’ютерів у 150 країнах протягом одного дня. За оцінками, завдані збитки та витрати на очищення досягли 4 мільярдів доларів.
-
DarkSide (2020): у 2020 і 2021 роках компанія DarkSide стала відомою завдяки своїй моделі RaaS, яка призвела до значних атак програм-вимагачів і попитів на вимагання. Хоча вони стверджували, що уникають нападів на державні та медичні установи, угруповання було відповідальним за атаку на Colonial Pipeline у 2021 році, яка порушила постачання палива на східному узбережжі США.
-
Nvidia (2022): у 2022 році Nvidia, гігант напівпровідників, постраждала від атаки програм-вимагачів. Облікові дані та дані співробітників злили в Інтернет. Відповідальність взяла на себе хакерська група Lapsus$, вимагаючи $1 млн викупу та відсоток від гонорару.
Висвітлюючи ці значні випадки програм-вимагачів, стає очевидним, що ця форма кіберзагрози еволюціонувала з часом, ускладнюючись і впливаючи.
Орієнтація на критичну інфраструктуру
Складність критичної інфраструктури
Критична інфраструктура, як-от виробництво та розподіл електроенергії, стає все складнішою та залежить від мереж підключених пристроїв. Ще кілька десятиліть тому електромережі та інша критична інфраструктура працювали ізольовано. Тепер вони набагато більше взаємопов’язані як з точки зору географії, так і між секторами.
Як підкреслює сценарій електромережі США, збій однієї критичної інфраструктури може призвести до руйнівної ланцюгової реакції, каже Едрі.
Не дивно, що вразливість критичної інфраструктури до кібератак і технічних збоїв стала серйозною проблемою. І останні події підтвердили страхи.
У грудні 2015 року світ став свідком першого відомого відключення електроенергії, спричиненого зловмисною кібератакою. Три комунальні компанії в Україні постраждали від шкідливого програмного забезпечення BlackEnergy, через що сотні тисяч будинків залишилися без світла на шість годин.
За даними фірми з кібербезпеки Trend Micro, зловмисне програмне забезпечення було націлено на системи SCADA (диспетчерського контролю та збору даних) комунальних компаній і, ймовірно, почалося з фішингової атаки.
Через два місяці після відключення електроенергії з’явилася новина про те, що Ізраїльське національне управління електроенергетики зазнало великої кібератаки, хоча збиток було зменшено після того, як Ізраїльська електроенергетична корпорація вимкнула системи, щоб запобігти поширенню вірусу.
Сектори промисловості, вразливі до кібератак
Енергетичний сектор є однією з головних цілей кібератак на критичну інфраструктуру, але не єдиною. Транспорт, послуги державного сектору, телекомунікації та критичні галузі виробництва також є вразливими.
У 2013 році іранські хакери зламали дамбу Боумен-авеню в Нью-Йорку та взяли під контроль шлюзи. Вважається, що нафтові вишки, кораблі, супутники, авіалайнери, системи аеропортів і портів є вразливими, а ЗМІ повідомляють, що виникли порушення.
Кібератаки на критично важливу інфраструктуру та ключові виробничі галузі почастішали, за словами представників американської служби кібербезпеки в групі реагування на надзвичайні ситуації Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), урядовому органі США, який допомагає компаніям розслідувати атаки на ICS і корпоративні мережі.
У 2015 році кількість кіберрозслідувань зросла на 20%, а кількість атак на критично важливі виробництва США подвоїлася.
З роками широкий спектр секторів став більш покладатися на промислові системи керування, такі як SCADA, програмовані логічні контролери (PLC) і розподілені системи керування, для моніторингу процесів і керування фізичними пристроями, такими як насоси, клапани, двигуни, датчики. тощо.
Найбільш гучним прикладом кібератаки на критичну інфраструктуру є комп’ютерний вірус Stuxnet. Хробак, націлений на PLC, порушив іранську ядерну програму, пошкодивши центрифуги, що використовувалися для розділення ядерного матеріалу.
Інцидент викликав занепокоєння, оскільки Stuxnet можна було адаптувати для атаки на системи SCADA, які використовуються багатьма критично важливими інфраструктурними підприємствами та виробничими галузями в Європі та США.
В одному з небагатьох публічних прикладів атаки SCADA німецький металургійний завод зазнав значної шкоди після того, як кібератака призвела до зупинки печі, повідомило Федеральне відомство з інформаційної безпеки Німеччини в 2014 році. Зловмисники використовували методи соціальної інженерії, щоб отримати вигоду. управління доменними системами.
Кібератаки на інфраструктуру спрямовані на системи управління, а не на дані
За даними Організації американських держав і Trend Micro, кібератаки на критично важливу інфраструктуру та виробництво, швидше за все, спрямовані на промислові системи управління, ніж на крадіжку даних.
Їхнє дослідження показало, що 54% із 500 опитаних постачальників критичної інфраструктури США повідомили про спроби контролювати системи, тоді як 40% зазнали спроб закрити системи. Більше половини сказали, що вони помітили збільшення атак, тоді як три чверті вважали, що ці атаки стають більш витонченими.
За словами Едрі, хакери все більше цікавляться оперативними технологіями, фізичними підключеними пристроями, які підтримують промислові процеси. «Уразливість і відсутність знань про операційну технологію є найнебезпечнішою річчю сьогодні», — каже він.
Як приклад він наводить кібератаку на офісний будинок у Нью-Йорку, під час якої хакер отримав доступ до систем управління будівлями, які можуть контролювати електроживлення, комунікації, системи безпеки та навколишнє середовище, через підключений торговий автомат. За його словами, закриття будівлі призвело до збитків у розмірі 350 мільйонів доларів від втрати бізнесу.
Темна сторона атак програм-вимагачів поширюється за межі окремих цілей до критичної інфраструктури. В останні роки кіберзлочинці виявляють підвищений інтерес до лікарень, енергетичних мереж, транспортних систем і державних установ. Мотивація цих атак полягає не лише в скомпрометації конфіденційних даних, а й у тому, щоб поставити під загрозу життя та перервати основні послуги. Наслідки успішних атак на критичну інфраструктуру можуть бути жахливими, що підкреслює нагальну потребу в надійних заходах кібербезпеки для захисту цих життєво важливих систем.
Об’єкти критичної інфраструктури є високоцінними цілями для державного кібершпигунства та асиметричної війни, а також для активних злочинних угруповань із програмами-вимагачами. Завдяки швидкій цифровізації 2020 рік характеризувався значним зростанням активності кіберзлочинців, зокрема атак програм-вимагачів. Але чи можуть групи програм-вимагачів порушити постачання електроенергії та інші важливі послуги у своєму зростаючому прагненні отримати більшу винагороду?
Розглянемо те, що ми знаємо:
-
Ще в 2015 році високопродумана група показала світові, що кіберзловмисники можуть призвести до збоїв в електропостачанні громадян, компаній та інфраструктури в реальному житті, фактично виводячи з ладу частини української енергомережі.
-
Через рік пов’язана група запустила та протестувала зловмисне програмне забезпечення, спеціально розроблене для захоплення промислових систем управління в ще більш критичних компонентах електричної мережі, яке могло б вимкнути електроенергію в цілих регіонах України, якби група вирішила це зробити.
-
Декілька груп програм-вимагачів стверджують, що мають доступ до критичної інфраструктури, включно з атомною електростанцією.
-
У 2021 році групи програм-вимагачів атакували численні промислові об’єкти, включно з очисними спорудами, фабриками та навіть стратегічного оператора трубопроводу в США. Атака на трубопровід призвела до дефіциту палива в широкому регіоні для АЗС, аеропортів, армії та навіть опалення будинків.
Спроможність серйозних і широкомасштабних руйнувань цілком очевидна. Дійсно, усі наші основні служби піддаються дедалі більшому ризику, оскільки успішна кібератака на критичну інфраструктуру може:
-
порушити роботу та постачання електроенергії, нафти, газу, води, поводження з відходами та транспорт
-
ще більше загрожують безпеці працівників і громадян, оскільки залежні служби, включаючи служби екстреної допомоги та медичні заклади, відчувають нестачу або скомпрометовані як побічний збиток
-
вплинути на дохід, завдати шкоди репутації та призвести до судового розгляду або регуляторних наслідків для збою служби
-
зупинити економіку за серйозного та тривалого сценарію через ефект доміно, описаний раніше, і можливість громадських заворушень і громадянських заворушень
-
використовуватися для послаблення уряду країни та основних служб у рамках підготовки до звичайного військового нападу іншої національної держави.
Ландшафт програм-вимагачів
Широкомасштабні наслідки атаки програми-вимагача оператора трубопроводу в США в травні 2021 року були не першими. Роком раніше найбільший внутрішній постачальник електроенергії на Тайвані зазнав інциденту з програмою-вимагачем, яка спричинила збої на багатьох заправних станціях країни, що було частиною серії цілеспрямованих атак на критичну інфраструктуру.
Групи програм-вимагачів тепер твердо встановили світову критичну інфраструктуру та розпочали так звані кампанії «полювання за великою дичиною», що пояснює зростання атак на промислові організації на 500% з 2018 по 2020 рік. Тим часом ми також спостерігається зростання програм-вимагачів, які включають функції, націлені саме на промислові системи управління.
Чому атаки програм-вимагачів такі успішні?
Відмовляючи в доступі до основних систем, програмне забезпечення-вимагач може призвести до того, що організація буде виконувати свої операції в дуже погіршеному стані. Окрім зростаючої складності груп програм-вимагачів, зміна очікувань збільшила ризик для критичної інфраструктури. Щоб задовольнити вимоги зацікавлених сторін щодо простоти, ефективності та цінності, дотримуючись бюджетних обмежень, організації все більше використовують цифровізацію, включаючи конвергенцію ІТ з операційними технологіями (OT) і використання хмарних технологій і технологій промислового Інтернету речей (IIoT).
Крім того, пандемія змусила багато організацій швидко ввімкнути віддалений доступ для свого персоналу OT. Ці зміни призводять до того, що середовища OT стають більш вразливими до все більш потужних кіберзагроз.
Програмне забезпечення-вимагач як послуга (RaaS)
Поява програми-вимагача як послуги ще більше загострила ландшафт загроз. Тепер кіберзлочинці пропонують готові до використання набори програм-вимагачів для початківців зловмисників, що дозволяє їм виконувати складні атаки без передових технічних навичок.
Така коміфікація програм-вимагачів значною мірою сприяла їх широкому поширенню та збільшенню кількості потенційних зловмисників. Доступність RaaS знижує вхідний бар’єр для кіберзлочинців і створює проблему для правоохоронних органів і фахівців з кібербезпеки.
Розвиток методів оплати та криптовалют
Щоб полегшити виплату викупу, зберігаючи анонімність, кіберзлочинці звернулися до криптовалют, таких як біткойн. Ці децентралізовані цифрові валюти дозволяють здійснювати транзакції без їх легкого відстеження. Використання криптовалют ускладнює роботу правоохоронних органів, оскільки традиційні фінансові установи мають обмежений доступ до цих транзакцій. Відносна анонімність, яку пропонують криптовалюти, дає змогу кіберзлочинцям діяти з меншим ризиком виявлення та затримання, що посилює проблеми, з якими стикаються органи влади у боротьбі з атаками програм-вимагачів.
Побічний збиток і приховані витрати
Окрім безпосереднього впливу атак програм-вимагачів, існують приховані витрати та супутні збитки, з якими доводиться стикатися організаціям. Фінансовий тягар, пов’язаний із реагуванням на інциденти, відновленням і потенційними судовими позовами, може бути значним. Крім того, втрата довіри клієнтів і погіршення репутації на ринку можуть мати довгострокові наслідки для бізнесу, посилюючи шкоду, завдану цими атаками. Відновлення довіри та відновлення роботи після атаки може бути тривалим і дорогим процесом.
Термінова потреба у співпраці з кібербезпеки та профілактичних заходах
Сучасні складні атаки програм-вимагачів становлять серйозну та зростаючу загрозу для окремих осіб, компаній та критичної інфраструктури. Темна сторона цих атак охоплює зростаючу складність технік, руйнівний вплив на жертв, націлювання на критичну інфраструктуру, доступність програм-вимагачів як послуг, використання криптовалют і понесені приховані витрати.
Щоб пом’якшити цю загрозу, вкрай важливо визначити пріоритетність заходів кібербезпеки, бути в курсі нових загроз і сприяти співпраці для боротьби з цим зростаючим ландшафтом кіберзагроз. Профілактичні заходи, такі як регулярні оновлення програмного забезпечення, навчання співробітників найкращим практикам кібербезпеки та надійні плани реагування на інциденти, є важливими для організацій для захисту від цих атак програм-вимагачів, які постійно розвиваються.