Эксперты по безопасности предупреждают, что жертвы атак вымогателей ДОЛЖНЫ изменить все пароли

Когда вымогатели поражают организацию, многие люди склонны думать, что единственное, о чем нужно беспокоиться, это как можно быстрее восстановить данные. Однако в начале этой недели репортер по кибербезопасности Брайан Кребс рассказал историю об атаке на вымогателей на поставщика ИТ-услуг, которая носит название Virtual Care Provider Inc. (VCPI), и в ходе этого процесса он показал нам, сколько других факторов влияют на играть, когда хакеры держат данные других людей в качестве заложников.

Вероятно, нам следует начать с того, что VCPI предоставляет услуги более чем 100 домам престарелых и медицинским учреждениям в 45 штатах. Не должно быть слишком трудно понять, что нарушение ИТ-инфраструктуры такой компании может быть довольно разрушительным, но реальная степень опасности не станет очевидной, пока вы не посмотрите, как развернулась атака.

Впервые это было замечено рано утром 17 ноября, когда злоумышленники запустили программу-вымогатель Ryuk в сети VCPI. Вскоре после этого все данные, размещенные поставщиком облачных услуг, были зашифрованы, и VCPI сообщили, что он может иметь ключ, который разблокирует файлы, если он выплачивает ошеломляющий биткойн на 14 миллионов долларов. Это довольно большой выкуп, но опять же, как и объем данных, которые были заложниками.

Атака оказала ужасное влияние на VCPI и его клиентов

Клиенты VCPI потеряли доступ ко всему: от электронной почты, через телефонную и биллинговую системы до расчета заработной платы Записи пациентов были недоступны, и некоторые врачи были не в состоянии разместить заказы на жизненно важные лекарства из-за атаки, что означало, что для некоторых пациентов заражение вымогателями могло иметь смертельные последствия. Через несколько дней после инцидента Карен Кристиансон, генеральный директор VCPI, сказал Брайану Кребсу, что у ее компании нет ресурсов, чтобы заплатить выкуп, и что атака вполне может означать конец для бизнеса по размещению данных.

Однако первоначальные прогнозы не оправдались. Хотя после атаки клиенты VCPI столкнулись с серьезными проблемами, хостинг-провайдеру удалось восстановить данные. Вероятно, пытаясь ограничить объем PR-ущерба, нанесенного VCPI, Карен Кристиансон попросила Брайана Кребса написать дополнительный отчет о том, как компания восстановилась. Кребс согласился назначить интервью, но вскоре после того, как дата и время были согласованы, он получил электронное письмо, которое сразу привлекло его внимание.

Степень инфильтрации становится очевидной

Предполагалось, что сообщение получено от члена хакерской группы, которая атаковала VCPI, что, по крайней мере, для Брайана Кребса не так уж и необычно. Запрос по электронной почте, однако, был довольно странным. Мошенник попросил Кребса напомнить генеральному директору VCPI, что срок действия скидки на выкуп уже истекает.

Предполагаемый оператор вымогателей каким-то образом узнал о запланированном интервью, и Кребс сомневался, что эти знания основаны на догадках. Репортер по кибербезопасности подумал, что помимо вымогателей хакеры использовали другие инструменты, которые дали им доступ к внутренним системам и коммуникациям VCPI. Кребс вызвал экспертов из Hold Security и попросил их помочь ему лучше понять суть компромисса.

Вскоре в ходе расследования были получены доказательства того, что инфраструктура VCPI была впервые внедрена еще в сентябре 2018 года, скорее всего, с использованием вредоносного документа Word, содержащего макрокоманды. Документ Word загрузил Emotet, семейство вредоносных программ, известное своими червеобразными функциями, которые позволяют ему перемещаться в пределах сети.

Хакеры пошли на кражу паролей, прежде чем развернуть вымогателей Рюк

После использования Emotet, чтобы закрепиться в сети VCPI, мошенники развернули Trickbot - банковского трояна, провозглашенного за его универсальность и мощные возможности кражи учетных данных. Специалистам Hold Security даже удалось перехватить некоторую связь между мошенниками, что говорит о том, что во время атаки VCPI были взломаны имена пользователей и пароли для 300 веб-сайтов и поставщиков онлайн-услуг. В их число входили платформы управления паролями, порталы для банковских операций, выставления счетов и начисления заработной платы, службы управления рецептами и медицинского обеспечения, транспортные и почтовые счета и т. Д. Брайан Кребс привел доказательства в ходе интервью с Карен Кристиансон, и хотя VCPI к ним не присоединился. официально тот факт, что интервью внезапно закончилось вскоре после этого, говорит о том, что генеральный директор не имел абсолютно никакого представления о краже.

Некоторое время операторы вымогателей были сосредоточены на организациях, а не на конечных пользователях. Мы больше не говорим о детях-сценаристах, которые хотят устроить хаос и быстро заработать. Более поздние атаки выполняются опытными хакерскими командами, которые имеют в своем распоряжении довольно много инструментов и ресурсов, и иногда развертывание вымогателей - это лишь небольшая часть всей операции. Такие организации, как VCPI, должны понимать, что хакеры могут атаковать по многим различным направлениям, и что данные для входа в систему часто являются общеизвестным и низким висящим плодом. Вот почему, как заключил Брайан Кребс в своем отчете, смена паролей должна занимать одно из первых мест в списке приоритетов любой компании, подвергшейся кибератаке, независимо от того, был ли инцидент вымогательским.