Saugumo ekspertai įspėja, kad „Ransomware“ išpuolių aukos PRIVALO pakeisti visus slaptažodžius
Kai organizaciją užklumpa išpirkos programinė įranga, daugelis žmonių linkę manyti, kad vienintelis dalykas, dėl kurio reikia nerimauti, yra kuo greičiau atkurti duomenis. Tačiau anksčiau šią savaitę kibernetinio saugumo žurnalistas Brianas Krebsas papasakojo istoriją apie išpirkos programinės įrangos ataką prieš IT paslaugų teikėją, kuri vadinasi „Virtual Care Provider Inc.“ (VCPI), ir šiame procese jis mums parodė, kiek daug kitų veiksnių sukelia žaisti, kai įsilaužėliai laiko įkaitais kitų žmonių duomenis.
Turbūt turėtume pradėti nuo to, kad VCPI teikia paslaugas daugiau nei 100 slaugos namų ir sveikatos priežiūros įstaigų 45 valstijose. Neturėtų būti per sunku suvokti, kad tokios įmonės IT infrastruktūros sutrikdymas gali būti gana pragaištingas, tačiau tikrasis pavojaus mastas neišryškėja tol, kol nepažiūrėsite, kaip atsitiko ataka.
Pirmą kartą tai buvo pastebėta ankstyvą lapkričio 17-osios rytą, kai užpuolikai VCPI tinkle paleido „Ryuk“ išpirkos programinę įrangą. Netrukus visi debesies paslaugų teikėjo talpinami duomenys buvo užšifruoti, o VCPI buvo pasakyta, kad ji gali turėti raktą, kuris atrakina failus, jei jis išmokės stulbinantį 14 milijonų dolerių vertės „bitcoin“. Tai gana didelė išpirka, bet vėlgi, kaip ir įkaitais laikomų duomenų kiekis.
Table of Contents
Išpuolis turėjo siaubingą poveikį VCPI ir jo klientams
VCPI klientai prarado prieigą prie bet ko, nuo el. Pašto, per telefono ir atsiskaitymo sistemas iki darbo užmokesčio operacijų. Pacientų įrašai buvo neprieinami, o kai kurie gydytojai negalėjo pateikti užsakymų gyvybiškai svarbiems vaistams dėl išpuolio, o tai reiškė, kad kai kuriems pacientams ransomware infekcija galėjo turėti mirtinų padarinių. Praėjus kelioms dienoms po incidento, VCPI generalinė direktorė Karen Christianson sakė Brianui Krebsui, kad jos įmonė neturi išteklių išpirkai sumokėti ir kad išpuolis gali labai padėti užfiksuoti duomenų prieglobos verslą.
Pirminės prognozės vis dėlto neišsipildė. Nors VCPI klientai patyrė didelių problemų po išpuolio, prieglobos paslaugų teikėjui pavyko atkurti duomenis. Tikriausiai bandydamas apriboti VCPI patirtos PR žalos dydį, Karen Christianson paprašė Brian Krebs parašyti tolesnių veiksmų ataskaitą apie tai, kaip įmonė atsigavo. Krebsas sutiko suplanuoti pokalbį, tačiau netrukus po datos ir laiko buvo sutarta, jis gavo laišką, į kurį iškart atkreipė dėmesį.
Įsiskverbimo mastas tampa akivaizdus
Tariamai žinia, kad iš įsilaužėlių grupės, kuri užpuolė VCPI, nario pranešimas, kuris, bent jau Brianui Krebsui, iš tikrųjų nėra toks neįprastas. Tačiau el. Pašto užklausa buvo gana keista. Kreivas paprašė Krebso priminti VCPI generaliniam direktoriui, kad nuolaidų pasiūlymas išpirkai netrukus baigsis.
Tariamas „ransomware“ operatorius kažkodėl sužinojo apie suplanuotą interviu, ir Krebsas suabejojo, kad šios žinios pagrįstos spėlionėmis. Kibernetinio saugumo žurnalistas manė, kad be išpirkos programinės įrangos, įsilaužėliai naudojo ir kitas priemones, suteikiančias jiems prieigą prie VCPI vidinių sistemų ir ryšių. Krebsas paskambino „Hold Security“ ekspertams ir paprašė jų padėti geriau suprasti kompromiso apimtį.
Netrukus tyrimo metu buvo gauta įrodymų, kad VCPI infrastruktūra pirmą kartą buvo įsiskverbusi dar 2018 m. Rugsėjį, greičiausiai naudojant kenkėjišką „Word“ dokumentą, pritvirtintą makrokomandų instrukcijomis. „Word“ dokumentas atsisiuntė „Emotet“, kenkėjiškų programų šeimą, pasižyminčią savybėmis, panašiomis į virusus, leidžiančius jai judėti į šoną tinkle.
Prieš diegdami „Ryuk“ išpirkos programinę įrangą, įsilaužėliai ėmė vogti slaptažodžius
Panaudoję „Emotet“, kad įsitvirtintų VCPI tinkle, sukčiai dislokavo „Trickbot“ - bankininkystės trojanas pasveikino dėl savo universalumo ir galingų įgaliojimų vagystės galimybių . „Hold Security“ ekspertams netgi pavyko perimti kai kuriuos sukčių ryšius, o tai rodo, kad VCPI atakos metu buvo pažeisti net 300 svetainių ir internetinių paslaugų teikėjų naudotojų vardai ir slaptažodžiai. Tai apėmė slaptažodžių tvarkymo platformos, bankininkystė, sąskaitų išrašymas ir darbo užmokesčio portalai, receptų tvarkymo ir medicininio aprūpinimo paslaugos, siuntimo ir pašto sąskaitos ir tt. Brianas Krebsas pateikė įrodymus pokalbio su Karen Christianson metu ir, nors VCPI to nepripažino. oficialiai faktas, kad pokalbis baigėsi staiga netrukus po to, rodo, kad generalinis direktorius visiškai neturėjo minties apie vagystę.
Jau kurį laiką „ransomware“ operatoriai daugiausia dėmesio skiria organizacijoms, o ne galutiniams vartotojams. Mes jau nekalbame apie scenarijaus vaikus, norinčius sukramtyti ir greitai susitaupyti. Naujausius išpuolius vykdo įmantrūs įsilaužėlių ekipažai, kurie turi gana daug įrankių ir išteklių, o kartais diegti išpirkos programinę įrangą yra tik maža visos operacijos dalis. Organizacijos, tokios kaip VCPI, turi išmokti, kad įsilaužėliai gali smogti daugelyje skirtingų sričių, o prisijungimo duomenys dažnai yra patarlė žemai kabantys vaisiai. Štai kodėl, kaip savo pranešime padarė išvadą Brianas Krebsas, slaptažodžių keitimas turėtų būti prioritetinis bet kurios bendrovės, nukentėjusios nuo kibernetinės atakos, prioritetų sąraše, neatsižvelgiant į tai, ar įvykis susijęs su išpirkos programomis, ar ne.
