2024/08/15 12:08:06

Вирусы-вымогатели (шифровальщики) в США


Содержание

Основные статьи:

2024

Хакеры получили рекордный выкуп в $75 млн за взлом американской фармкомпании Cencora

В середине сентября 2024 года стало известно о том, что американский дистрибьютор фармацевтической продукции Cencora заплатил киберпреступникам $75 млн. Это рекордно большой выкуп, полученный злоумышленниками в результате хакерской атаки. Подробнее здесь

Крупнейшая в мире нефтесервисная компания Halliburton отключила ИТ-системы из-за атаки вируса-вымогателя

21 августа 2024 года одна из крупнейших нефтесервисных компаний США Halliburton подверглась массированной кибератаке. Из-за внедрения вируса-вымогателя пришлось отключить некоторые ИТ-системы, а сотрудникам запрещено подключаться к сети. Подробнее здесь

Американская лига радиолюбителей заплатила $1 млн хакерам-вымогателям за разбокировку ИТ-систем

22 августа 2024 года Американская лига радиолюбителей (ARRL) сообщила о выплате выкупа в размере $1 млн хакерам за разблокировку своих ИТ-систем, которые оказались парализованы после масштабной атаки программы-вымогателя. По имеющейся информации, за кибервторжением стоит группировка Embargo. Подробнее здесь

52% жертв вирусов-вымогателей приходится на США

В первой половине 2024 года на США пришлось 52% всех инцидентов, связанных с вирусами-вымогателями, что подтверждает статус этой страны как главной цели для киберпреступников. Об этом стало известно в августе 2024 года. По данным западных экспертов, количество атак с использованием программ-шифровальщиков продолжает расти, что вызывает серьезное беспокойство у специалистов по кибербезопасности по всему миру.

Эксперты из компании Unit 42, подразделения Palo Alto Networks, занимающегося исследованиями в области кибербезопасности, отмечают значительное увеличение числа публикаций о компрометации данных в интернете. За первые шесть месяцев 2024 года было зафиксировано 1762 таких случая, что составляет в среднем 294 поста в месяц.

52% жертв вирусов-вымогателей из США

Основной причиной роста активности вымогателей эксперты называют быструю эксплуатацию недавно выявленных уязвимостей в программном обеспечении. Хакеры активно используют возможности для проникновения в сети жертв, повышения своих привилегий и бокового перемещения внутри взломанных систем.Метавселенная ВДНХ 3.4 т

Наиболее пострадавшими от этих атак секторами в 2024 году стали производство, здравоохранение и строительство. Именно эти отрасли чаще всего становились целями для хакеров, что обусловлено их критической ролью в экономике и обществе. Остановка работы этих предприятий может привести к значительным финансовым потерям и даже угрозе жизни людей.

По словам руководителя лаборатории исследований кибербезопасности аналитического центра «Газинформсервис» Вадима Матвиенко, вирусы-вымогатели представляют серьезную угрозу для всего мира, и количество связанных с ними инцидентов продолжает расти. Он подчеркивает, что различные хакерские группировки нацелены на разные регионы и используют разнообразные тактики атак. Однако, при планировании защиты необходимо учитывать все потенциальные угрозы, так как злоумышленники постоянно изучают и адаптируют методы других хакеров, что делает их атаки еще более опасными.[1]

Американский производитель клавиатур и мышей Key Tronic на 2 недели остановил работу заводов из-за атаки вируса-вымогателя и потерял $17 млн

В начале августа 2024 года крупный американский производитель клавиатур и мышей Key Tronic сообщил об убытках в размере более чем 17 млн долларов после атаки вируса-вымогателя Black Basta, произошедшей в начале мая 2024 года. Подробнее здесь

Верховный суд США полностью остановил работу из-за атаки вируса-вымогателя

21 июля 2024 года Верховный суд округа Лос-Анджелес сообщил о полной остановке работы. Причиной стала масштабная атака вируса-вымогателя, поразившего различные компьютерные системы. Подробнее здесь

Американский округ объявил о чрезвычайном положении из-за атаки вируса-вымогателя, отключившего экстренные службы

В середине июля 2024 года американский округ Клэй штата Индиана объявил о чрезвычайном положении из-за атаки вируса-вымогателя, отключившего экстренные службы. Округ сообщил, что хакерская атака «сделала невозможным предоставление критически важных услуг, необходимых для повседневной работы суда округа Клэй и общественных исправительных учреждений».

Муниципалитет округа Клэй, где проживает около 25 000 человек, ранее предупреждал, что обнаружил «несанкционированную деятельность» около полуночи 9 июля. Специалист подтвердил, что это была атака с использованием программы-вымогателя.

Суд округа Кдэй, г. Бразил, штат Индиана, США

«
Мы не можем получить доступ к нашим данным или установить электронную связь с партнерами штата, с которыми мы работаем для решения многих наших задач, —сообщили комиссары округа в пресс-релизе, опубликованном в местном новостном издании The Brazil Times.
»

По словам чиновников, они связались с местными и федеральными правоохранительными органами. Все офисы здания суда округа Клэй и департамент здравоохранения округа Клэй были закрыты на два дня, а позднее муниципалитет сообщил, что здание суда будет закрыто в обозримом будущем, и предоставил инструкции по переносу судебных дел. Веб-сайт округа оказался недоступен.

В пресс-релизе отмечено, что соседний округ Монро также пострадал от атаки с применением программы-вымогателя. Члены комиссии округа Монро сообщили, что атака была делом рук банды BlackSuit, и предупредили своих жителей, что хакеры могли получить доступ к личной информации.

Хакеры BlackSuit также стояли за июньской атакой на муниципалитет Сидар-Фолс штата Айова, однако там специалистам по кибербезопасности удалось остановить вирус прежде, чем ему удалось нанести значительный ущерб, и муниципалите продолжил предоставлять свои услуги.[2]

Один из крупнейших в США производителей мебели остановил все заводы из-за атаки вируса-вымогателя

В середине июля 2024 года одна из крупнейших мебельных компаний США Bassett Furniture Industries была вынуждена остановить свои заводы после атаки программы-вымогателя. Компания заявила, что отключила информационные системы после обнаружения несанкционированного доступа и активировала план экстренного реагирования на инциденты. Подробнее здесь.

Дыра в ПО Veeam позволяла хакерам годами распространять вирусы-вымогатели по всему миру

Хакеры пользовались дырой в ПО Veeam для распространения вируса-шифровальщика. Об этом стало известно в июле 2024 года. Подробнее здесь.

Программа-вымогатель заблокировала сотни тысяч банковских счетов в США

1 июля 2024 года калифорнийская организация Patelco Credit Union, один из крупнейших кредитных союзов в США, сообщила об атаке программы-вымогателя. В результате инцидента оказались заблокированными сотни тысяч банковских счетов. Подробнее здесь

Крупнейший город Канзаса отключил все госсервисы из-за атаки вируса-вымогателя

5 мая 2024 года власти Уичито, крупнейшего города Канзаса, сообщили о массированной хакерской атаке на свою ИТ-инфраструктуру. В результате вторжения работа государственных сервисов остановлена, а эксперты по вопросам кибербезопасности в экстренном порядке занимаются восстановлением систем. Подробнее здесь.

Американский медхолдинг Change Healthcare выплатил $22 млн хакерам-вымогателям, чтобы не допустить утечку данных пациентов

22 апреля 2024 года UnitedHealth Group, крупнейшая компания США в области медицинского страхования, сообщила о том, что была вынуждена заплатить хакерам-вымогателям приблизительно $22 млн, чтобы не допустить утечку данных пациентов. Конфиденциальные сведения были похищены в результате атаки на дочернюю структуру Change Healthcare. Подробнее здесь.

Власти округа в штате Пенсильвания заплатили выкуп в $350 тыс. после атаки вируса-вымогателя, заблокировавшего госсерверы

15 февраля 2024 года власти округа Вашингтон в штате Пенсильвания сообщили о выплате выкупа в размере почти $350 тыс. киберпреступникам, организовавшим массированную атаку с использованием программы-вымогателя. Это вторжение фактически парализовало работу государственной ИТ-инфраструктуры. Подробнее здесь.

2023

ФБР взломало инфраструктуру русскоязычных хакеров-вымогателей, чем разозлило их

Министерство Юстиции США объявило о взломе инфраструктуры русскоязычной хакерской банды «Черная кошка» (Blackcat, она же ALPHV, она же Noberus). Спецслужбам США удалось получить доступ к ключам дешифровки, что позволило создать им инструменты для восстановления ИТ-инфраструктуры компаний, которые пострадали от действий данной кибергруппировки. Подробнее

У владельца магазинов North Face и Timberland остановлены ИТ-системы из-за атаки вируса-вымогателя

18 декабря 2023 года американская компания VF Corp., владеющая такими брендами одежды и обуви, как Dickies, Icebreaker, North Face, Timberland, Supreme и Vans, сообщила о хакерском вторжении. Из-за атаки вируса-вымогателя пришлось остановить ряд ИТ-систем, а операционная деятельность VF Corp. серьезно пострадала. Подробнее здесь.

40 стран во главе с США договорились никогда не платить выкуп хакерам

В конце октября 2023 года 40 стран во главе с США заявили сообщили о подписании документа, закрепляющего их обещание никогда не платить выкуп хакерам, а также работать над уничтожением экономической основы существования киберпреступников. Подробнее здесь.

Суды города в Техасе не работают уже месяц из-за атаки вируса-вымогателя

В начале июня 2023 года появилась информация о том, что суды Далласа в штате Техас в течение месяца не могут полностью возобновить работу из-за атаки программы-вымогателя. Киберпреступники также вывели из строя ряд компьютерных систем пожарных и полицейских управлений города. Подробнее здесь.

Американская телеком-компания Dish Network заплатила хакерам выкуп после атаки вируса-вымогателя

В середине мая 2023 года стало известно о том, что американский телевизионный провайдер Dish Network, по всей видимости, заплатил киберпреступникам значительный выкуп после атаки вируса-вымогателя. Подробнее здесь.

Служба федеральных маршалов США атакована вирусом-вымогателем

В конце февраля 2023 года служба федеральных маршалов США подверглась кибератаке с применением вируса-вымогателя. Сначала об этом сообщили в СМИ, а в ведомстве подтвердили инцидент. Подробнее здесь.

Калифорнийский город объявил чрезвычайное положение после атаки вируса-вымогателя, парализовавшего работу почти всех городских служб

В середине февраля 2023 года город Окленд, расположенный в штате Калифорния, подвергся атаке вируса-вымогателя, в результате чего многие государственные службы были отключены от сети. В результате власти города вынужены были объявить чрезвычайное положение (ЧП). Подробнее здесь.

Атака вирусов-вымогателей отбросила полицию Калифорнии на 80 лет назад

8 февраля 2023 года полиция в городах Окленд и Модесто в штате Калифорнии (США) подверглась атаке вирусов-вымогателей, В результате чего государственные службы были отключены от сети, а полиция вынуждена перешла к старым инструментам, таким как использование портативных радиостанций, ручек и бумаги во время патрулирования городов. Подробнее здесь.

Вирус-вымогатель атаковал трейдинговую платформу и на несколько дней подорвал работу банков в США и Европе

31 января 2023 года международный провайдер финансовых данных и услуг Ion Group сообщил об атаке программы-вымогателя. В результате нарушена работа подразделения ION Cleared Derivatives, которое предоставляет программное обеспечение для финансовых организаций и банков. Подробнее здесь.

Почтовый сервис Rackspace Hosted Exchange закрыт после атаки вируса-вымогателя

В начале января 2023 года были обнародованы причины масштабного сбоя, затронувшего системы компании Rackspace Technology, предоставляющей облачные услуги. Инцидент привёл к отключению почтового сервиса Rackspace Hosted Exchange — восстанавливать его функционирование провайдер не намерен, поэтому просит пользователей переходить на другие проекты. Подробнее здесь.

2022

Вирусы-вымогатели поразили 870 объектов критической инфраструктуры США

В 2022 году жертвами программ-вымогателей стали как минимум 870 объектов критической инфраструктуры США. Такие данные приводятся в отчёте, опубликованном 14 марта 2023 года Федеральным бюро расследований.

Статистика подготовлена на основе количества обращений в Центр жалоб на интернет-преступления (IC3) в составе ФБР. Поэтому, как отмечает ресурс Bleeping Computer, фактическое число взломов критически важных организаций с применением шифровальщиков может быть значительно выше. В отчёте IC3 говорится, что из 16 секторов критической инфраструктуры США в 2022-м от атак вирусов-вымогателей пострадали 14 отраслей. Наибольшую активность проявляли кибергруппировки, стоящие за вредоносными программами Lockbit (149 вторжений), ALPHV/BlackCat (114 атак) и Hive (87 нападений).

Вирусы-вымогатели за 2022 год поразили 870 объектов критической инфраструктуры США

Максимальное количество атак вымогателей в сегменте американской критической инфраструктуры в 2022 году совершено на учреждения сферы здравоохранения — в IC3 зафиксировали 210 таких инцидентов. На втором месте с точки зрения частоты вторжений оказалось производство — 157 случаев. Замыкают тройку государственные организации — 115 инцидентов. Кроме того, злоумышленники часто атаковали компании ИТ-сектора (107 зарегистрированных случаев) и финансовые структуры (88 нападений).

В общей сложности жертвы программ-вымогателей в 2022 году подали 2385 жалоб, а скорректированные убытки составили более $34,3 млн. ФБР рекомендует не перечислять выкуп киберпреступникам, поскольку платежи не гарантируют, что жертвы восстановят свои файлы. Кроме того, такие транзакции могут способствовать дальнейшим атакам и, как отмечается, с большой вероятностью будут использованы для финансирования новых киберпреступных кампаний. ФБР призывает пострадавших сообщать об инцидентах с программами-вымогателями в IC3.

FBI: Ransomware hit 860 critical infrastructure orgs in 2022

Сколько госучреждений, школ и больниц в США пострадали от вирусов-вымогателей

2 января 2023 года компания по кибербезопасности Emsisoft опубликовала результаты исследования, в ходе которого изучалась интенсивность атак программ-вымогателей на государственные и медицинские структуры, а также образовательные учреждения США.

В отчёте говорится, что в 2022-м от шифровальщиков пострадали 106 местных органов власти. Для сравнения: в 2021 году в этом секторе были отмечены 77 подобных инцидентов. По крайней мере, 27 атак в 2022 году обернулись кражей данных. Единственная подтверждённая выплата выкупа в госсекторе была произведена правительством Куинси (Массачусетс): за восстановление доступа к зашифрованной информации злоумышленникам удалось получить $500 000. При этом самым большим счётом, выставленным киберпреступниками, стала сумма в $5 млн в отношении госструктур Уит-Риджа (Колорадо), но те отказались платить.

Госучреждения Америки пострадали от атак вирусов-вымогателей

Согласно статистике, в 2022 году зафиксированы атаки вымогателей на 44 университета и колледжа США, а также на 45 школьных округов, которые управляют в общей сложности 1981 школой. Таким образом, общее количество атак на образовательный сектор составило 89, что соответствует уровню 2021 года, когда были зарегистрированы 88 нападений. Самым значительным инцидентом 2022-го стала атака на Объединённый школьный округ Лос-Анджелеса, который с более чем 1300 школами и 500 000 учащихся является вторым по величине округом в США. Как минимум три образовательные организации заплатили выкуп, самый крупный из которых составил $400 тыс.

Со зловредами-вымогателями также столкнулись 25 американских поставщиков медицинских услуг, оперирующих 290 больницами. Инциденты имели самые разные последствия, включая требования выкупа, принудительное изменение маршрута машин скорой помощи и передозировки лекарственных препаратов из-за неисправности компьютерных систем.[3]

У производителя игрушек Jakks Pacific заблокированы серверы после атаки кибервымогателей

У производителя игрушек Jakks Pacific заблокированы серверы после атаки кибервымогателей. Об этом компания уведомила американские власти в конце декабря 2022 года. Подробнее здесь.

Банки в США за год заплатили $1,2 млрд выкупа после атак вирусов-вымогателей

1 ноября 2022 года Агентство по борьбе с финансовыми преступлениями США (FinCEN), входящее в состав Министерства финансов, раскрыло масштабы выплат, которые банки страны осуществили в результате атак программ-вымогателей. Общая сумма превышает $1 млрд. Подробнее здесь.

Серверы Microsoft SQL накрыла мощная волна атак с использованием вирусов-вымогателей

В конце сентября 2022 года стало известно о том, что серверы Microsoft SQL накрыла мощная волна атак с использованием вирусов-вымогателей. Злоумышленники применяют вредоносные программы под названием Fargo и GlobeImposter. Подробнее здесь.

Вторая по величине сеть школ в США атакована вирусом-вымогателем. Инфраструктура сильно пострадала

6 сентября 2022 года стало известно, что хакеры при помощи вируса-вымогателя совершили кибератаку на объединенный школьный округ Лос-Анджелеса, являющийся вторым по величине школьным округом в США. Подробнее здесь.

Американский производитель одежды и нижнего белья HanesBrands потерял $100 млн из-за кибератаки

Американский производитель одежды и нижнего белья HanesBrands потерял $100 млн в продажах из-за кибератаки. Об этом стало известно 11 августа 2022 года. Компания подверглась атаке программ-вымогателей в мае. Подробнее здесь.

Число атак программ-вымогателей на медорганизации США увеличилось на 94%

15 июля 2022 года стало известно о том, что с 2021 года больницы по всей территории США стали мишенью агрессивной кампании программ-вымогателей, исходящей из Северной Кореи. Об этом заявили власти США. Подробнее здесь.

2021

Япония и США объединяются в борьбе с кибервымогателями

Правительства Японии и США планируют начать сотрудничество в сфере борьбы с вирусами-вымогателями. Об этом стало известно 27 декабря 2021 года. Подробнее здесь.

Киберкомандование США подтвердило проведение кибератак против вымогателей

Кибернетическое командование США (United States Cyber Command) публично признало проведение наступательных действий с целью нейтрализовать киберпреступные группировки, атаковавшие американские компании с помощью программ-вымогателей. Об этом стало известно 6 декабря 2021 года. Подробнее здесь.

Атака вируса-вымогателя на кондитерского гиганта Ferrara Candy

В октябре 2021 года компания Ferrara Candy, специализирующаяся на производстве конфет под марками Nerds, Laffy Taffy, Now and Laters, SweetTarts, Jaw Busters, Nips, Runts и Gobstoppers, объявила о том, что она подверглась атаке вымогательского программного обеспечения. Вирус нарушил работу ИТ-систем и производство. Компания не сообщила, заплатила ли она выкуп и какая группа вымогателей атаковала их системы. Подробнее здесь.

Атака вируса-вымогателя на телекоммуникационный конгломерат Sinclair Broadcast Group

18 октября 2021 года телекоммуникационный конгломерат Sinclair Broadcast Group (SBGI) сообщил об атаке вируса-вымогателя, который нарушил работу некоторых офисных и операционных сетей внутри компании. Акции компании на фоне этих новостей упали почти на 3%. Подробнее здесь.

Законопроект об обязательстве жертв вымогателей уведомлять о выплатах

Законопроект США под названием Ransom Disclosure Act («Закон о раскрытии выкупа») обяжет жертв вымогателей уведомлять о выплатах хакерам в течение 48 часов. Об этом стало известно 6 октября 2021 года.

Более подробная информация о вымогателях поможет властям разработать эффективные стратегии защиты.

Законопроект был разработан сенатором США Элизабет Уоррен (Elizabeth Warren) и членом Палаты представителей США Деборой Росс (Deborah Ross). Как заявила сенаторша, количество атак вымогательских группировок растет, несмотря на разносторонние усилия по решению проблемы, поэтому получение более подробной информации о финансовых транзакциях в подпольных кругах может помочь властям разработать и реализовать более эффективные стратегии нейтрализации и защиты.

Четыре основных пункта законопроекта заключаются в следующем:

Требовать от жертв программ-вымогателей (за исключением физических лиц) раскрывать информацию о выплатах выкупа не позднее, чем через 48 часов после даты выплаты, включая сумму запрошенного и уплаченного выкупа, тип валюты, использованной для выплаты выкупа, и любую известную информацию о преступниках;

Требовать от Министерства внутренней безопасности США обнародовать информацию, раскрытую в течение предыдущего года, за исключением идентифицирующей информации об организациях, уплачивающих выкуп;

Требовать от Министерства внутренней безопасности США создания web-сайта, через который люди могут добровольно сообщать об уплате выкупа;

Поручить министру внутренней безопасности провести исследование общих черт атак программ-вымогателей и степень, в которой криптовалюта способствовала этим атакам, и предоставить рекомендации по защите информационных систем и усилению кибербезопасности.

Принуждение жертв к раскрытию информации об уплате выкупа хакерам всегда вызывало споры, поскольку это может лишь усугубить последствия атак программ-вымогателей. Данная стратегия может привести к случаям, когда восстановление нормальной работы компании будет отложено из-за дополнительной проверки.

Для вступления в силу законопроект должен пройти голосование в Сенате, затем в Палате представителей и, наконец, быть подписанным президентом США Джо Байденом[4].

Американского производителя кукурузы и сои New Cooperative атаковал вирус-вымогатель

В конце сентября 2021 года сельскохозяйственная группа New Cooperative подверглась атаке вируса-вымогателя, что может поставить под угрозу деятельность компании, играющей ключевую роль в цепочке поставок сельскохозяйственной продукции. Подробнее здесь.

ФБР: На продовольственные и сельскохозяйственные компании обрушились атаки вирусов-вымогателей

1 сентября 2021 года ФБР разослало уведомление, в котором предупредило компании продовольственного и сельскохозяйственного сектора о необходимости остерегаться атак вирусов-вымогателей.

В записке ФБР говорится, что группы, использующие вирус, стремятся нарушить работу, нанести финансовый ущерб и негативно повлиять на цепочку поставок продовольствия.

В уведомлении поясняется, что в последние месяцы сектор пищевой промышленности и сельского хозяйства сталкивается с растущим числом атак, поскольку группы, использующие вирусы-вымогателей, нацелены на критически важные отрасли с большой поверхностью атаки.

На продовольственные и сельскохозяйственные компании обрушились атаки вирусов-вымогателей

Многие крупнейшие пищевые компании сегодня используют в своих процессах множество IoT-устройств и интеллектуальных технологий, поэтому крупные сельскохозяйственные предприятия становятся мишенью, поскольку могут позволить себе заплатить более высокий выкуп, а с более мелких организаций хоть и прибыль меньше, но они подвергаются атакам из-за неспособности позволить себе качественную кибербезопасность.

«
С 2019 по 2020 год среднее требование выкупа удвоилось, а средняя выплата по киберстрахованию увеличилась на 65%. Самый высокий наблюдаемый спрос на выкуп в 2020 году составил $23 млн. Согласно отчету IC3 за 2020 год, получено 2474 жалобы, идентифицированные, как вирусы-вымогатели, с скорректированными убытками в размере более $29,1 млн во всех секторах. Отдельные исследования показали, что 50-80% жертв, заплативших выкуп, подверглись повторной атаке, совершенной теми же или другими лицами. Хотя киберпреступники используют различные методы заражения жертв, наиболее распространенными способами заражения являются фишинговые кампании по электронной почте, уязвимости протокола удаленного рабочего стола и уязвимости ПО, - говорится в сообщении ФБР.
»

Далее в уведомлении перечисляются многочисленные атаки на пищевой и сельскохозяйственный сектор, совершенные с ноября 2020 года, в том числе атака Sodinokibi/REvil вируса-вымогателя на американскую хлебопекарную компанию, атака на глобального переработчика мяса JBS в мае 2021 года, атака на американскую компанию по производству напитков в марте 2021 года и атака на американскую ферму в январе 2021 года, которая нанесла ущерб в размере около $9 млн.

«
Мы хотим повысить осведомленность, и эта необходимость особенно важна для владельцев и операторов критической инфраструктуры, которые предоставляют критически важные услуги для американцев. Организации и частные лица должны быть начеку уже сейчас, потому что преступники иногда заранее продумывают свои шаги и начинают планирование, - заместитель советника Белого дома по национальной безопасности Энн Нойбергер.
»

В уведомлении перечисляется ряд мер, которые компании сектора пищевой промышленности и сельского хозяйства могут предпринять для своей защиты, включая создание резервных копий, сегментацию сети, многофакторную аутентификацию и проактивный мониторинг журналов удаленного доступа/RDP.[5]

Правительство США создало отдел по борьбе с вирусами-вымогателями и предлагает $10 млн за информацию об их распространителях

В середине июля 2021 года правительство США создало отдел по борьбе с вирусами-вымогателями и предлагает $10 млн за информацию о лицах, участвующих в санкционированной иностранным государством злонамеренной кибер-активности в отношении критически значимой инфраструктуры США, включая атаки вирусов-вымогателей. Подробнее здесь.

Минюст США поставил атаки вирусов-вымогателей в один ряд с терроризмом

В начале июня 2021 года Министерство юстиции США сообщило, что атаки вирусов-вымогателей были приравнены к терроризму и получили соответствующий приоритет в расследованиях. Решение минюста последовало за нападениями хакеров на компании Colonial Pipeline и JBS, которые привели к нехватке топлива на восточном побережье США и к дефициту говядины в Северной Америке и Австралии.

Внутренние рекомендации, разосланные по офисам прокуроров США, гласят, что специально созданная целевая группа в Вашингтоне будет централизованно координировать расследования атак вирусов-вымогателей на местах.

«
Специализированные процедуры позволят отслеживать все случаи использования вирусов-вымогателей, чтобы следственный комитет мог устанавливать связи между участниками и находить зачинщиков, - пояснил сотрудник министерства юстиции Джон Карлин (John Carlin).
»

Главный специалист по информационной безопасности компании JupiterOne Сунил Ю (Sounil Yu) отметил, что если теперь платежи, связанные с использованием вирусов-вымогателей, будут рассматриваться как финансирование терроризма, это даст США новые рычаги давления на страны, укрывающие или поддерживающие хакеров. «Для таких стран, как Северная Корея, это вряд ли станет серьезным сдерживающим фактором. Однако другие группировки хакеров могут пересмотреть свои цели под таким давлением».

Вице-президент по исследованиям кибербезопасности компании New Net Technologies Дирк Шрейдер (Dirk Schrader) в свою очередь отметил, что такого шага со стороны правительства может оказаться недостаточно для эффективного сдерживания кибератак. «Большая часть проблем касается сбора и централизации информации, - сказал он. - Компании должны сообщать властям о всех случаях вымогательства».[6]

Bose отбилась от атаки вируса-вымогателя

В конце мая 2021 года онлайн-издание Bleeping Computer сообщило о попытке взлома компании-производителя звукового оборудования Bose с помощью вируса-вымогателя. В письме с уведомлением, поданном в офис генерального прокурора Нью-Гэмпшира, Bose сообщила о «сложной кибератаке, которая привела к развертыванию вредоносных программ/программ-вымогателей» в киберсреде компании. Подробнее здесь.

CNA Financial выплатила $40 млн выкупа после атаки вируса-вымогателя

В конце мая 2021 года одна из крупнейших страховых компаний США CNA Financial заплатила хакерам $40 млн за восстановление контроля над своей внутренней сетью. Выкуп потребовали хакеры, которые совершили атаку на компанию с помощью программы-вымогателя, шифрующей данные на компьютерах жертвы. Подробнее здесь.

Сеть клиник Scripps Health подверглась атаке вирусов-вымогателей

В начале мая 2021 года крупная сеть клиник Scripps Health, развернутая в Сан-Диего, штат Калифорния, подверглась атаке вируса-вымогателя, в результате которой все ИТ-системы компании были отключены. Подробнее здесь.

2020

Атака вируса-вымогателя на школы округа Балтимора

В конце ноября 2020 года государственные школы округа Балтимор были вынуждены отменить занятия из-за атаки вируса-вымогателя. Согласно местным сообщениям, вирус вывел из строя всю сеть школьной системы. Форма вируса-вымогателя, использованного в атаке, не разглашается, но известно, что хакеры потребовали выкуп. Подробнее здесь.

Атака вируса-вымогателя на Mattel - производителя кукол "Барби"

Компания Mattel, производитель кукол «Барби», заявила 4 ноября 2020 года о том, что она стала жертвой атаки вируса-вымогателя, но ей удалось отразить ее и избежать серьезных последствий. Подробнее здесь.

Власти США начинают штрафовать компании за оплату выкупа при атаках вирусов-вымогателей

В начале октября 2020 года Управление по контролю за иностранными активами Минфина США (OFAC) представило руководство для жертв вирусов-вымогателей. В ведомстве отметили, что оплата выкупа атакующим, в отношении которых действуют санкции США, а также связанным с ними кибермошенникам, будет считаться нарушением санкций, за которое предполагается штраф.

В документе отмечается, что после оплаты выкупа в отношении компании, организации, физического лица, финансовой организации, через которую были переведены средства, а также компаний, занимающихся страхованием киберрисков и расследованием киберинцидентов может быть инициировано судебное разбирательство в связи с нарушением санкций. Речь идет о тех случаях, когда атака была осуществлена хакерскими группировками, включенными в санкционный список, либо связанными с ними.

В случае атаки жертвам рекомендуется незамедлительно обращаться в Управление по контролю за иностранными активами (OFAC) Минфина США, так как судебное разбирательство в отношении нарушителей может в конце концов привести к серьезным штрафам.

Известно, что в санкционном списке находятся: Lazarus Group, Евгений Богачев (вирус-вымогатель Cryptolocker), Али Хорашадизаде и Мохаммад Горбаниян (программа-вымогатель SamSam), Максим Якубец и созданная им хакерская группировка EvilCorp (программа Dridex), Bluenoroff и Andariel (связаны с программой-вымогателем WannaCry), а также троян-вымогатель BitPaymer.

В ведомстве также отметили, что в случае, если вымогатели попадают под санкции США, обращение пострадавшей компании в правоохранительные органы станет «существенным смягчающим фактором» для нее. Однако, в заявлении отмечается также, что представленное руководство «носит только пояснительный характер и не имеет законодательной силы».

Атака вируса-вымогателя на поставщика ИТ в госсектор Tyler Technologies

В конце сентября 2020 года компанию Tyler Technologies, которая поставляет ИТ-решения для государственных и местных органов власти всех штатов США, атаковал вирус-вымогатель. Tyler Technologies сообщает, что кибератака поразила только внутренние системы компании и не затронула клиентов. Подробнее здесь.

Атака вируса-вымогателя на Equinix

В середине сентября 2020 года крупнейшего в мире оператора дата-центров Equinix атаковал вирус-вымогатель. Equinix заявил, что кибератака не нарушила работу центров обработки данных, а команда кибербезопасности компании уже предприняла необходимые действия, уведомила правоохранительные органы и продолжает расследование. Подробнее здесь.

Атака вируса-вымогателя на школы штата Коннектикут

В начале сентября 2020 года школы в Хартфорде, штат Коннектикут, не смогли открыть свои двери ученикам из-за атаки вируса-вымогателя, который отключил критически важные ИТ-системы. Мэр Хартфорда назвал инцидент «самой крупной и значимой вирусной атакой в городе за последние пять лет». Программа-вымогатель не повлияла на учебные платформы студентов, но повредила ряд других систем, имеющих отношение к учебе, в том числе к составлению маршрутов школьных автобусов. Подробнее здесь.

Атака вируса-вымогателя на Университет Юты

19 августа 2020 года Колледж социальных и поведенческих наук Университета штата Юта стал жертвой вируса-вымогателя. Руководство учебного заведения заплатило хакерам выкуп в размере $457 тыс., так как в результате атаки злоумышленники получили доступ к конфиденциальным данным сотрудников и студентов. Подробнее здесь.

Атака вируса-вымогателя на крупнейшего в мире круизного оператора Carnival

В середине августа 2020 года крупнейший в мире круизный оператор Carnival стал жертвой вируса-вымогателя, в результате чего данные клиентов попали в руки хакеров. Кибератака произошла 15 августа и была обнаружена компанией в тот же день. Неизвестные хакеры зашифровали часть систем и скачали файлы данных одного бренда. Подробнее здесь.

Атака вируса-вымогателя Revil на производителя виски Brown-Forman

17 августа 2020 года стало известно о том, что компания Brown-Forman, известная по выпуску виски Jack Daniel's, подверглась атаке вируса-вымогателя Revil, в результате которой хакерам удалось похитить 1 Тбайт корпоративных данных. Подробнее здесь.

Garmin заплатила выкуп в $10 млн за восстановление систем после атаки вируса-вымогателя

В конце июля 2020 года компания Garmin стала жертвой атаки вируса-вымогателя. Производитель навигационных устройств заплатил хакерам выкуп в $10 млн за восстановление работы всех сервисов. Подробнее здесь.

Калифорнийский университет заплатил выкуп в $1 млн после атаки вируса-вымогателя

В начале июля 2020 года Калифорнийский университет в Сан-Франциско (UCSF) заплатил выкуп в размере $1,14 млн, чтобы восстановить важные академические файлы, заблокированные вирусом-вымогателем. Подробнее здесь.

Американские медучреждения за 5 лет потеряли $157 млн из-за вирусов-вымогателей

В середине февраля 2020 года стало известно, что американские медучреждения за пять лет потеряли $157 млн из-за более чем 170 атак вирусов-вымогателей. Подробнее здесь.

Вирус-вымогатель атаковал американского оператора газопровода

В середине февраля 2020 года стало известно, что вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки. Дата нападения не сообщается, но даются технические рекомендации для других операторов критически важных объектов инфраструктуры, которые позволят принять соответствующие меры предосторожности.

Согласно отчету американского МВД, инцидент произошел после того, как "хакер использовал фишинг-соединение для получения доступа к информационной сети организации, а затем проник в операционную сеть". Если информационная сеть в основном предназначена для офисной и другой административной работы, то операционная сеть позволяет управлять критически значимым заводским оборудованием и другими производственными операциями.

Получив доступ к операционной сети, злоумышленник запустил вируса-вымогателя, который зашифровывал все доступные данные компании одновременно в информационной и операционной сетях, а затем запросил выкуп. Согласно отчету, вирус не влиял на программируемые логические контроллеры, которые представляют собой небольшие датчики и устройства, напрямую взаимодействующие с заводским оборудованием. Тем не менее, операторы не могли получить доступ к другим данным, что привело к сбою работы.

Оператор трубопровода решил временно прекратить работы в качестве меры предосторожности, чтобы избежать нежелательных инцидентов, хотя аварийный план не требовал обязательного отключения оборудования в случае кибератаки. Деятельность оператора газопровода была остановлена на два дня, после чего работники возобновили деятельность в обычном режиме. Регулирующие органы отметили, что план реагирования объекта на чрезвычайные ситуации основное внимание уделял угрозам физической безопасности, а не кибератакам, поэтому персонал не смог адекватно отреагировать на возникшую ситуацию. Оператор газопровода пообещал пересмотреть свои внутренние процедуры и стандарты.

2019

Более 100 госслужб в США подверглись атакам вирусов-шифровальщиков

11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в 2019 году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний. Подробнее здесь.

Крупнейшая в мире сеть обмена валют прекратила работу из-за кибератаки. Хакеры требуют выкуп в $6 млн

В конце декабря 2020 года на Travelex была совершена кибератака, которая привела к приостановке работы крупнейшей в мире сети обмена валют. Хакеры утверждают, что они похитили 5 Гбайт «ценных данных клиентов», и угрожают выставить их на продажу, если не получат выкуп в размере $6 млн к 14 января 2020 года. Подробнее здесь.

База береговой охраны США атакована вирусом-вымогателем

В конце декабря 2019 года база береговой охраны США была атакована вирусом-вымогателем, который вывел из строя камеры, системы контроля доступа к дверям и системы мониторинга. Подробнее здесь.

Атака вируса-вымогателя на госорганы в Новом Орлеане

15 декабря 2019 года власти города Новый Орлеан (штат Луизиана) ввели режим чрезвычайного положения из-за массовой кибератаки хакеров на государственные органы. Об этом сообщила мэр города Латоя Кантрелл в своем официальном аккаунте в социальной сети Twitter. Подробнее здесь.

CyrusOne атаковал вирус-вымогатель

В начале декабря 2019 года одного из крупнейших в США оператора дата-центров — компанию CyrusOne — атаковал вирус-вымогатель. У клиентов начались массовые сбои. Подробнее здесь.

Вирус-вымогатель заразил сотни стоматологических клиник в США

В конце августа 2019 года стало известно об атаке вируса-вымогателя на сотни стоматологических клиник в США. Те вынуждены были заплатить выкуп за дешифрование файлов, однако процесс восстановления проходит медленно. Несколько дней дантисты находились в вынужденном простое из-за блокировки своих компьютерных систем. Подробнее здесь.

Атака вирусов-вымогателей на госорганы Техаса

Примерно 23 правительственных учреждений в Техасе пострадали от беспрецедентной скоординированной атаки вирусов-вымогателей, которая началась 16 августа 2019 года. Подробнее здесь.

В США ввели режим чрезвычайного положения после атаки вирусов-вымогателей на школы

В конце июля 2019 года правительство штата Луизиана объявило чрезвычайное положение после многочисленных атак вирусов-вымогателей на школы с севера штата. Из-за кибератак, начавшихся 23 июля 2019 года, были заблокированы данные на школьных компьютерных системах в трех округах. Подробнее здесь.

Ещё один город во Флориде заплатил выкуп в $0,5 млн после атаки вируса-вымогателя

В конце июня 2019 года стало известно о том, что администрация города Лейк-Сити в штате Флорида согласилась заплатить $490 тыс. хакеру за разблокировку компьютерных систем после атаки вирусв-вымогателя.

Лейк-Сити пережил хакерское нападение 10 июня 2019 года. Спустя 10 минут после атаки власти города, насчитывающего 65 тыс. жителей, отключили ИТ-системы. В результате населённый пункт остался без телефонной связи на один день, правда, смог наладить приём звонков в экстренные службы через специальную систему.

Лейк-Сити согласился на выкуп, чтобы разблокировать компьютеры, пораженные шифровальщиком

К 25 июня часть компьютерных систем, поражённых вредоносной программой, удалось восстановить, но работа электронной почты и телефонной связи осталась парализованной.

В городской администрации приняли решение заплатить выкуп в размере 42 биткоинов. Большую часть этой суммы возместит страховая компания Florida League of Cities, с которой был заключен договор страхования киберрисков. Соглашение включает франшизу в $10 тыс. — её власти перечислят Florida League of Cities, а затем они получат от страховой компании всю сумму, отправленную киберпреступнику.

После передачи выкупа распространитель вируса-вымогателя предоставил ключ расшифровки, который позволил восстановить электронные системы. При этом некоторые письма e-mail вернуть не получилось. Проводится расследование.

За одну неделю Лейк-Сити стал вторым после Ривьеры-Бич городом во Флориде, который согласился на выкуп после атаки вируса-вымогателя. Подобных кибернападений в США становится всё больше.

По данным ФБР, в 2018 году было зарегистрировано 1493 атаки с помощью вирусов-вымогателей, в результате которых хакерам было выплачено около $3,6 млн. С начала 2019 года по конец июня атакам подверглись более 20 американских городов. Некоторым из них удалось справиться с проблемой без выплаты мошенникам.[7]

Город во Флориде заплатил хакерам $600 тыс. после атаки вируса-вымогателя

В середине июня 2019 года городской совет города Ривьера-Бич (штат Флорида) заплатил хакерам более $600 000 долларов, чтобы городские власти могли восстановить данные, которые оставались заблокированными и зашифрованными более трех недель.

Город был вынужден принять это решение, когда официальные лица пришли к выводу, что другого способа восстановить городские документы не существует. Администрации также пришлось заплатить $ 941 000 за покупку новых компьютеров.

Город во Флориде заплатил хакерам $600 тыс. и закупил новые ПК на $941 тыс. после атаки вируса-вымогателя

Доступ к данным администрации Ривьера-Бич был заблокирован 29 мая 2019 года, когда сотрудник полицейского управления открыл электронное письмо с вирусом-вымогателем и случайно запустил его в локальную сеть. Вирус заблокировал файлы и остановил работу всех городских служб, кроме экстренной службы спасения. Веб-сайт города, почтовый сервер и все остальные системы были недоступны в течение трех недель, а все городские коммуникации осуществлялись лично, по телефону или с помощью постеров.

Городские власти провели первое совещание 3 июня и приняли решение закупить 310 настольных и 90 портативных компьютеров и другое оборудование, необходимое для восстановления ИТ-инфраструктуры города после инцидента. Первоначально администрация не собиралась платить преступникам, но вскоре стало понятно, что иначе доступ к файловой системе не получить. На следующем собрании чиновники единогласно проголосовали за то, чтобы перечислить мошенникам необходимую сумму. Местное издание сообщило, что на голосование ушло меньше пары минут.

Ривьера-Бич считается пригородом Палм-Бич. В 2018 году другой местный пригород, Палм-Спрингс, также был вынужден заплатить вымогателям, однако эти меры не помогли – в результате хакерской атаки городская администрация потеряла все данные за два года.[8]

Власти американского округа заплатили $400 тыс. выкупа распространителям вируса-вымогателя

В начале марта 2019 года власти округа Джексон в штате Джорджия выплатили $400 000 киберпреступникам, чтобы избавиться от вируса-вымогателя и восстановить доступ к своим ИТ-системам.

Вирус проник во внутреннюю сеть округа 1 марта 2019 года и привел к отключению большинства ИТ-систем местного правительства, за исключением его веб-сайта и системы экстренной помощи 911. Власти не прекратили работу, а вернулись к обычной бумажной документации. Кроме того, они уведомили ФБР и наняли консультанта по кибербезопасности.

Консультант провел переговоры с распространителями вируса, и в результате округ Джорджия заплатил хакерам выкуп за получение ключа расшифровки и восстановление доступа к файлам. Чиновники немедленно занялись дешифровкой зараженных файлов и чисткой серверов.

В начале марта 2019 года власти округа Джексон в штате Джорджия выплатили $400 000 киберпреступникам, чтобы избавиться от вируса-вымогателя и восстановить доступ к своим ИТ-системам

По словам консультанта, власти округа могли и не платить вымогателям, но тогда восстановление системы заняло бы несколько месяцев, и на него ушла бы не меньшая сумма, чем та, что в результате попала в руки хакеров. Подобные случаи уже отмечались. К примеру, власти Атланты в штате Джорджия потратило несколько миллионов на восстановление сети, стоимость которой в результате возросла с $2,6 млн до $17 млн. Кроме того, округ Джексон заплатил далеко не самый крупный выкуп — этот рекорд установила южнокорейская веб-хостинговая компания Internet Nayana, которая выплатила хакерам $1,14 млн после кибератаки в июне 2017 года.

Консультант определил, что вымогатели, поразившие сеть округа Джексон, известны как банда Ryunk. Они действует из Восточной Европы и в течение 2018 года несколько раз проводили кибератаки на местные органы власти, здравоохранение и крупные корпоративные сети. Вирусы-вымогатели Ryuk обычно появляются в сетях после заражения вредоносными программами Emotet или Trickbot.

[9]

2018

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остается привлекательной стратегией для злоумышленников. В 2017 году три вспышки вирусов-вымогателей – WannaCrypt, Petya/NotPetya и BadRabbit – стали причиной заражения множества корпоративных сетей, в том числе в больницах, транспортных системах и системах управления дорожным движением. Атаки программ-вымогателей, которые мы наблюдали в прошлом году, были крайне разрушительными и развивались стремительно, оставляя большую часть жертв без доступа к своим файлам на длительное время.

В России в среднем 0,13% устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14%. Чаще всего с таким видом угроз сталкивались пользователи в Азии. Самая высокая частота обнаружения вирусов-вымогателей – в Мьянме (0,48%), Бангладеше (0,36%) и Венесуэле (0,33%). Ниже всего этот показатель оказался в Японии, Финляндии и США (0,03%).

Больница в США выплатила $55 тыс. кибервымогателям

В начале января 2018 года клиника Hancock Health в американском городе Гринфилде, Индиана, подверглась хакерской атаке с помощью вируса-шифровальщика SamSam, который парализовал работу медучреждения в самый разгар эпидемии гриппа в штате. Чтобы быстрее восстановить данные, руководство больницы заплатило вымогателям выкуп в размере 4 биткоинов, что на момент выплаты составило порядка $55 тыс. Подробнее здесь.

2017: Администрация муниципального колледжа в Лос-Анджелесе выплатила рекордный выкуп в $28 тыс. после атаки трояна-вымогателя

Администрация муниципального колледжа в Лос-Анджелесе выплатила выкуп за возвращение доступа к данным, зашифрованным троянцем-вымогателем, - 28 тысяч долларов.[10]

Атака на учебное заведение случилась в канун Нового года. Зашифрованными оказались сотни тысяч файлов, в результате из строя вышли практически все внутренние сервисы, включая электронную почту и системы обмена сообщениями.

Выплаты хакерам за возврат зашифрованных ими данных растут

На школьном сервере обнаружилось требование от хакеров в течение семи дней выплатить выкуп в биткоинах, в противном случае злоумышленники обещали уничтожить секретный ключ шифрования и лишить колледж возможности вернуть доступ к данным.

Тут же выяснилось, что восстановить данные из резервных копий невозможно. После совещания с привлечёнными экспертами по безопасности, администрация колледжа пришла к выводу, что иных вариантов кроме как выплатить требуемую сумму, у неё не осталось.

28 тысяч долларов - это самый крупный выкуп, информация о котором попала в публичное пространство. По некоторым сведениям, случаются и более масштабные выплаты, но жертвы - обычно это крупные организации - предпочитают их не афишировать. В 2016 году средняя "ставка" со стороны кибервымогателей составляла 679 долларов, годом ранее - 294 доллара.

Более чем двухкратный рост, по всей видимости, связан с увеличившимся количеством инцидентов, закончившихся выплатами выкупа, причём в суммах, значительно превышающих "среднюю ставку". В феврале 2016 года Пресвитерианский медицинский центр в Голливуде после атаки шифровальщиком выплатил выкуп в размере 17 тысяч долларов.[11]

«
Это очень плохой прецедент – когда официальная структура идёт на поводу у преступников, выплачивает выкуп и вдобавок сообщает об этом публично. Теперь ставки будут расти и дальше, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - Если организации готовы выплачивать пятизначные суммы, то будут расти и требования. Единственный эффективный способ противодействовать шифровальщикам - это регулярное "холодное" резервирование данных, правильная настройка доступа к ним при работе и плотное взаимодействие с правоохранительными органами.
»

См. также

Примечания