Атака фирма: Интернет магазин кованых ножей и клинков для ножей

Хакеры после атаки на IT-фирму Kaseya в США требуют 70 млн долларов | Новости из Германии о событиях в мире | DW

Предполагаемые российские хакеры из группировки REvil, которую подозревают в массированной кибератаке на американскую IT-компанию Kaseya, потребовали выкуп в размере 70 млн долларов за разблокирование зашифрованных в результате взлома данных. Соответствующее требование обнародовано в блоке REvil в понедельник, 5 июля. Эксперт по кибербезопасности из фирмы Recorded Future оценил требование как подлинное, отметив, что REvil ведет данный блог с 2020 года.

В результате одной из крупнейших кибератак, совершенных с целью вымогательства, со второй половины дня 2 июля во всем мире заблокирована работа тысяч различных компаний. Группировка REvil взломала инструмент программного интерфейса VSA компании Kaseya и установила вредоносный апдейт, в результате которого пострадали тысячи клиентов этой американской фирмы: хакеры путем шифрования данных заблокировали целые системы бухгалтерского учета.

От атаки REvil пострадали и компании в Европе. По данным Федерального ведомства по безопасности в сфере информационной техники (BSI), в Германии заблокирована работа тысяч компьютеров.

Смотрите также:

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Жертва российских хакеров — SolarWinds

  Американский IT-гигант Microsoft сообщил о новой волне хакерских атак из России. По данным Microsoft, именно хакеры из группировки Nobelium стояли за серьезной кибератакой в 2020 году на производителя программного обеспечения SolarWinds. В результате проникновения злоумышленников в системы этой компании пострадали не менее 40 государственных структур США и неизвестное число частных фирм.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Личные данные немецких политиков оказались в Сети

  Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные — в том числе, паспортные и кредитных карт — 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Российские «мишки»

  За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров — Cozy Bear (дословно «уютный медведь», известна еще как APT29), Fancy Bear («модный медведь», APT28) и Energetic Bear («энерегетический медведь»), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Атаки на энергосети США и Германии

  Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам американских спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  США обвинили ГРУшников в кибератаках

  13 июля 2018 года Минюст США (на фото — офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  США и Великобритания обвинили РФ в масштабной кибератаке

  ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Bad Rabbit поразил Россию и Украину

  Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Кибератака века

  12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Вирус Petya

  В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Атака на бундестаг

  В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы («трояна»). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Против Хиллари

  В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го — Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Партия Меркель под прицелом

  В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Допинговый взлом

  В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  500 млн аккаунтов Yahoo

  В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.

  Автор: Илья Коваль

расследуем крупнейшую DDoS-атаку в истории интернета / Хабр

На днях в СМИ появилась информация о DDoS-атаке на Яндекс. Это правда, но не вся. Нашим специалистам действительно удалось отразить рекордную атаку более чем в 20 млн RPS — это самая крупная атака из известных за всю историю интернета. Но это лишь одна из множества атак, направленных не только на Яндекс, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно.

Сегодня вместе с коллегами из Qrator Labs мы хотим поделиться текущими результатами совместного расследования деятельности нового ботнета Mēris. Расследование еще продолжается, но мы считаем важным поделиться уже собранной информацией со всей индустрией.

В конце июня 2021 года и мы в Яндексе, и наши коллеги из Qrator Labs начали замечать признаки новой атакующей силы в глобальной сети – ботнета нового типа. Обнаруженный ботнет уже тогда обладал значительными масштабами – десятки тысяч устройств, но их количество быстро растет и сейчас. Qrator Labs наблюдали 30 000 хостов в отдельных атаках, мы в Яндексе собрали данные о 56 000 атакующих устройств. Но мы предполагаем, что истинное количество значительно больше – вероятно, более 200 000 устройств. Полная сила ботнета не видна из-за ротации устройств и отсутствия у атакующих желания показывать всю имеющуюся мощность. Более того, устройства в ботнете являются высокопроизводительными, а не типичными девайсами «интернета вещей», подключенными к сети Wi-Fi. С наибольшей вероятностью ботнет состоит из девайсов, подключенных через Ethernet-соединение, – в основном, сетевых устройств.

Некоторые организации уже окрестили этот ботнет «вернувшимся Mirai». Но мы не считаем такое определение в достаточной степени точным. Mirai обладал большим количеством зараженных устройств, объединенных под управлением единого командного центра, и атаковал он, в первую очередь, трафиком сетевого уровня.

У нас еще не было возможности изучить пример вредоносного кода, который используется для заражения новых устройств данного ботнета, и мы не готовы утверждать, относится он к семейству Mirai или нет. Пока считаем, что нет, поскольку устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik.

Это и есть причина, по которой мы хотели дать другое имя новому ботнету, работающему под еще не пойманным командным центром. Коллеги из Qrator Labs выбрали Mēris – по-латышски «чума». Такое название кажется уместным и относительно близким к Mirai по произношению.

Особенности ботнета Mēris:

• Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
• Атаки ориентированы на эксплуатацию RPS (подтверждено)
• Открытый порт 5678/TCP (подтверждено)
• SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя мы знаем, что устройства Mikrotik используют SOCKS4)

На момент публикации этой статьи мы не знаем точно, какие именно уязвимости приводят к тому, что устройства Mikrotik подвергаются настолько крупномасштабному захвату. Несколько записей на форуме производителя указывают, что пользователи устройств Mikrotik с 2017 года замечали попытки взлома на старых версиях RouterOS, особенно 6.40.1. Если мы и правда видим старую уязвимость, все еще активную на десятках тысяч устройств, которые не обновляются, – это очень плохие новости. Однако данные Яндекса и Qrator Labs указывают, что это, скорее всего, не так. В ботнете мы видим множество версий RouterOS последних трех лет – вплоть до последней стабильной. Наибольшая доля приходится на предпоследнюю версию.

Еще один достаточно очевидный момент – ботнет продолжает расти. У нас есть предположение, что он может разрастаться за счет техники брутфорса (перебора паролей), хотя этот вариант не кажется основным. Вся ситуация больше указывает на то, что уязвимость либо хранилась в секрете до начала полномасштабной кампании, либо была продана на черном рынке.

В наши задачи не входит исследование первопричин и поиск виновных – сосредоточимся на дальнейших наблюдениях.

В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России. Все эти атаки мы ассоциируем с ботнетом Mēris. В настоящий момент он может перегрузить практически любую сетевую инфраструктуру, включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку. Главный признак ботнета – чудовищный показатель RPS.

Cloudflare была первой компанией, которая публично рассказала об атаках подобного масштаба. В посте в блоге от 19 августа они упоминали об атаке, достигшей 17 млн запросов в секунду. Мы сообщили Cloudflare, что в сентябре наблюдали схожую картину по продолжительности и распределению стран-источников.

^{График RPS DDoS-атаки на Яндекс 5 сентября 2021 года}

Яндекс стал одной из компаний, испытавших на себе возможности ботнета Mēris. К счастью, наша техническая команда смогла нейтрализовать атаку и предотвратить отказ в обслуживании. Атака не повлияла на работу сервисов, и данные пользователей не пострадали.

Хотя цифры все еще ошеломляют – почти 21,8 млн RPS. Это крупнейшая в истории зарегистрированная атака на уровне приложения (L7 DDoS attack).

А вот статистика роста масштаба атак ботнета Mēris на нас:

7 августа – 5,2 млн RPS
9 августа – 6,5 млн RPS
29 августа – 9,6 млн RPS
31 августа – 10,9 млн RPS
5 сентября – 21,8 млн RPS

Службе информационной безопасности Яндекса удалось установить детали внутреннего устройства ботнета. Для взаимодействия внутри сети используются обратные L2TP-туннели, а количество зараженных устройств достигает 250 000.

Как именно Яндекс выдержал такое огромное количество запросов в секунду?

В Яндексе входящий трафик пользователей проходит через несколько инфраструктурных компонентов, работающих на разных уровнях модели ISO/OSI. Первые компоненты защищают Яндекс от SYN-флуд-атак. Следующие слои анализируют входящий трафик в режиме реального времени. На основе технических сигналов и других статистик система оценивает подозрительность каждого запроса. Наш приоритет – выдать ответ живым пользователям даже в момент DDoS-атаки. Благодаря устройству нашей инфраструктуры мы быстро горизонтально отмасштабировали наши компоненты уже после первых атак и смогли выдержать более мощные волны, не переключаясь в режим бана по IP.

Источники атак (IP-адреса), которые в данном случае не подменяются (не спуфятся), по всей видимости похожи в том, что у них открыты порты 2000 и 5678. Конечно, многие производители устройств размещают на этих портах собственные сервисы. Однако конкретная комбинация порта 2000 с «Bandwidth test server» и порта 5678 с «Mikrotik Neighbor Discovery Protocol» почти не оставляет почвы для сомнений в наших выводах. Хотя Mikrotik использует UDP для своего стандартного сервиса на порту 5678, на скомпрометированных устройствах обнаруживается открытый TCP-порт. Такая маскировка может быть одной из причин того, что владельцы зараженных устройств не замечали их странного поведения.

Основываясь на этом, мы решили проверить TCP-порт 5678 с помощью Qrator. Radar. Полученные нами данные удивляют и пугают одновременно.

^{Глобальное распределение открытых портов 5678: чем темнее цвет, тем больше устройств}

Оказывается, в глобальной сети существует 328 723 активных хоста, отвечающих на запросы пробы по TCP на порту 5678. Конечно, не обязательно каждый из них – это уязвимый Mikrotik. Есть данные о том, что устройства Linksys тоже используют внутренний TCP-сервис на порту 5678. Возможно, Mikrotik и Linksys не единственные, но у нас нет другого выбора, кроме как предположить, что 328 723 – это и есть число хостов в активном ботнете.

Важно, что открытый порт 2000 отвечает на входящее соединение цифровой подписью \x01\x00\x00\x00, которая принадлежит протоколу RouterOS. Поэтому мы считаем, что это не случайный сервер для тестирования пропускной способности, а вполне идентифицируемый.

Цитируя неофициальное описание протокола на GitHub:

Официального описания нет, поэтому все было получено с помощью инструмента WireShark и RouterOS 6, запущенной в виртуальной машине, которая подключалась к реальному устройству. (…)

Установив TCP-соединение с портом 2000, сервер всегда сначала посылает команду «hello» (01:00:00:00). Если в клиенте указан протокол UDP, TCP-соединение все еще устанавливается.

По нашим наблюдениям, 65% атакующих устройств открывают SOCKS4-прокси на порту 5678, а 90-95% открывают Bandwidth test на порту 2000.

^{Топ стран с источниками ботнета Mēris в рекордной атаке на Яндекс}

Использование конвейерной обработки HTTP (так это обозначается в HTTP/1.1, а в HTTP/2 это «мультиплексирование») делает нейтрализацию подобных атак давно забытой задачей. Дело в том, что сетевые устройства обычно установлены у легитимных пользователей. Невозможно быть уверенным, что конечная точка полностью скомпрометирована, превращена в «бота-зомби» и что в трафике атаки не занята лишь часть полосы (а остальная используется в безобидном трафике живого пользователя). В конце концов, на каком-то ресурсе могут быть зарегистрированы пользователи, пытающиеся попасть на него, даже используя скомпрометированные устройства.

Поскольку конвейерная обработка заставляет принимающий сервер отвечать на целый пакет мусорных запросов от одного источника, значит, оптимизация фронтенда может нанести еще больший ущерб при попытке ответить на каждый входящий запрос. И мы говорим об HTTP-запросах, на которые тратится бóльшая часть используемой вычислительной мощности сервера (тем более при защищенном соединении, когда к обработке незашифрованных запросов добавляется криптографическая нагрузка).

Конвейерная обработка – основной источник проблем для всех, кто встретит этот ботнет на своей инфраструктуре. Хотя браузеры (за исключением Pale Moon) в основном не используют конвейерную обработку, боты это делают, и с большим удовольствием. Такие запросы легко распознать и нейтрализовать, ведь все-таки общепринятый в интернете консенсус относительно обработки запросов выглядит как «запрос – ответ», а не как «запрос – запрос – запрос – запрос – ответ».

Сейчас мы наблюдаем реализацию стратегии «качество против количества». Из-за конвейерной обработки запросов злоумышленники могут выжать гораздо больше запросов в секунду по сравнению с «обычными» ботнетами. В том числе – потому, что классические методы нейтрализации попытаются заблокировать атакующий IP-адрес. Однако порядка 10-20 запросов, оставшихся в буферах, будут обработаны даже после этого.

Что делать в такой ситуации?

Черные списки все еще работают. Поскольку в этих атаках не происходит подмены IP-адреса источника (нет спуфинга, как мы уже упомянули), каждая жертва видит источник атаки таким, какой он есть на самом деле. Блокировки на короткий промежуток времени должно быть достаточно, чтобы предотвратить атаку и не побеспокоить конечного пользователя.

Неясно, как владельцы ботнета будут действовать в будущем. Они могут воспользоваться скомпрометированными устройствами полностью, в попытке использовать 100% доступной мощности (и по пропускной, и по вычислительной способности). Тогда не останется другого способа, кроме как блокировать каждый запрос, следующий за первым от одного источника, предотвращая обработку запросов в пайплайне.

Если на целевом сервере отсутствует защита от DDoS-атак, то не только конвейерная обработка запросов может стать катастрофой, поскольку злоумышленнику потребуется гораздо меньше «рабочей силы», чтобы заполнить порог RPS жертвы. Оказалось, очень многие не были готовы к подобному сценарию.

Что дальше?

Вчера нам удалось связаться с Mikrotik и предоставить им собранные данные. Кроме того, мы направили всю собранную информацию в профильные организации. Надеемся, что совместные усилия позволят интернету вскоре избавиться от пандемии этой «чумы».

Работа в Атака, ООО, ТД — вакансии Атака, ООО, ТД

Рубрика — выберите рубрику -HR специалисты — Бизнес-тренерыITАвтобизнес — Сервисное обслуживаниеАдминистративный персонал — Водители — КурьерыБанки — Инвестиции — ЛизингБухгалтерия — Налоги — Финансы предприятияГостиницы — Рестораны — КафеГосударственные учреждения — Местное самоуправлениеДизайн — Графика — ФотоЗакупки — СнабжениеКонсалтинг — Аналитика — АудитКультура — Шоу-бизнес — РазвлеченияЛогистика — Таможня — СкладМаркетинг — Реклама — PRМедиа — Издательское делоМедицина — Фармацевтика — ЗдравоохранениеМорские специальностиНаука — Образование — ПереводНедвижимостьНекоммерческие — Общественные организацииОхрана — Безопасность — Силовые структурыПродажи — Клиент-менеджментПроизводство — Инженеры — ТехнологиРабочие специальности — Персонал для домаСельское хозяйство — Агробизнес — Лесное хозяйствоСпорт — Красота — ОздоровлениеСтрахованиеСтроительство — АрхитектураСтуденты — Начало карьеры — Без опытаТелекоммуникации — СвязьТоп-менеджмент — ДиректораТорговляТуризм — ПутешествияЮристы, адвокаты, нотариусы

Регион — выберите регион -КиевДнепрДонецкЗапорожьеОдессаХарьковЛьвовДругие страныВинницаЖитомирИвано-ФранковскКривой РогКропивницкийЛуганскЛуцкМариупольНиколаевПолтаваРовноСевастопольСимферопольСумыТернопольУжгородХерсонХмельницкийЧеркассыЧерниговЧерновцыАвангардАвдеевкаАкимовкаАлександрияАлександровка, Донецкая обл. Александровка, Кировоградская обл.Александровка, Одесская обл.АлуштаАлчевскАмвросиевкаАнаньевАндреевкаАндрушевкаАнтоновкаАнтрацитАпостоловоАрбузинкаАрмянскАрцизАскания-НоваАхтыркаБабаиБалаклеяБалтаБаниловБарБарановкаБарвенковоБарышевкаБатятичиБахмачБахмутБахчисарайБаштанкаБезлюдовкаБелая КриницаБелая ЦерковьБелгород-ДнестровскийБелицкоеБеловодскБелогородкаБелогорскБелогорьеБелозеркаБелозёрскоеБелокуракиноБелолуцкБелопольеБеляевкаБердичевБердянскБереговоБерегометБережаныБерезанкаБерезаньБерезнаБерезнеговатоеБерезноБерезовка, Житомирская обл.Березовка, Киевская обл.Березовка, Одесская обл.БерестечкоБеримовцыБериславБершадьБильмакБисковичиБлаговещенскоеБлизнюкиБобринецБобркаБобровицаБогодуховБогородчаныБогуславБойковскоеБолградБолеховБольшая БелозеркаБольшой БуялыкБорзнаБориславБориспольБоровая, Киевская обл.Боровая, Харьковская обл.БородянкаБоромляБортничиБорщевБояркаБратскоеБроварыБродыБрошневБрошнев-ОсадаБрусиловБрянкаБудыБуки, Киевская обл.БуковельБурштынБурыньБускБучаБучачБуштыноБыстрикБышевВалкиВаляваВапняркаВарашВарваВасильевкаВасильковВасильковкаВасильковцыВасищевоВатутиноВеликая Александровка, Киевская обл. Великая Александровка, Херсонская обл.Великая БагачкаВеликая ДоброньВеликая ДымеркаВеликая ЛепетихаВеликая МихайловкаВеликая НовоселкаВеликая ПисаревкаВеликие КопаниВеликие ЛазыВеликие МостыВеликие СорочинцыВеликий БерезныйВеликий БичковВеликий БурлукВеликий ДальникВеликий КучуровВеликодолинскоеВеликое КолодноВеликосёлкиВербкиВересневоеВертиевкаВерхнеднепровскВерхний РогачикВерховинаВерховцевоВеселиновоВеселоеВижницаВизиркаВилковоВинникиВинницкие ХутораВиноградовВиньковцыВита-ПочтоваяВишневоеВладимир-ВолынскийВладимирецВладимировкаВознесенскВойниловВолновахаВоловецВолодаркаВолочискВолчанскВольногорскВольнянскВорзельВорожбаВороновицаВороньковВорохтаВрадиевкаВыровВысокийВысокопольеВышгородГавриловкаГадячГайворонГайсинГаличГатноеГеническГеническая ГоркаГерцаГлебовкаГлевахаГлобиноГлубокоеГлуховГлыбокаяГнединГниваньГовтвянчикГоголевГолая ПристаньГолованевскГолубовкаГораГореничиГоренкаГоришние ПлавниГорловкаГорностаевкаГорнякГороденкаГородище, Киевская обл.Городище, Черкасская обл.Городище, Черниговская обл. ГородняГородок, Львовская обл.Городок, Ровненская обл.Городок, Хмельницкая обл.ГороховГостинцовоГостомельГощаГрадижскГребенкаГребёнкиГригоровкаГубинихаГуляйполеГусятинДавыдовДвуречнаяДебальцевоДелятинДемидовкаДеражняДергачиДжанкойДзвонковоеДиканькаДнепрорудноеДобровеличковкаДоброводыДобромильДобропольеДоброславДобротворДовбышДокучаевскДолжанскДолинаДолинскаяДоманевкаДонецДрабовДрагобратДрогобычДружбаДружковкаДружняДубляныДубноДубовоеДубровицаДубровкаДударковДунаевцыДымерЕвпаторияЕланецЕмильчиноЕнакиевоЖашковЖдановкаЖежелевЖелезный ПортЖелтые ВодыЖидачовЖмеринкаЖолкваЖуравноЗаболотовЗаболотьеЗабучьеЗавадаЗаводскоеЗазимьеЗакарпатьеЗалещикиЗаложцыЗаможное, Житомирская обл.Заречное, Варашский р-нЗаряЗаря ТрудаЗаставнаЗатокаЗахарьевкаЗачепиловкаЗбаражЗборовЗвенигородкаЗгуровкаЗдолбуновЗеленодольскЗеньковЗмиевЗнаменкаЗнаменка ВтораяЗолотоношаЗолочев, Львовская обл.Золочев, Харьковская обл.ЗугрэсИваничиИванковИванковичиИвановка, Одесская обл.Ивановка, Херсонская обл.ИвановоИзмаилИзюмИзяславИличанкаИлларионовоИльинцыИнгулецИрклиевИрпеньИршаваИршанскИслам-Терек (Кировское)Ички (Советский)ИчняКагарлыкКадиевкаКазанкаКазатинКаланчакКалиновКалиновка, Броварской р-н, Киевская обл. Калиновка, Васильковский р-н, Киевская обл.Калиновка, Винницкая обл.Калиновка, Киевская обл.КалитаКалушКаменец-ПодольскийКаменкаКаменка-БугскаяКаменка-ДнепровскаяКаменскоеКамень-КаширскийКаневКарловкаКатеринопольКатюжанкаКаховкаКегичевкаКельменцыКерчьКиверцыКилияКирилловкаКирнасовкаКицманьКлавдиево-ТарасовоКлеваньКлесовКняжичиКобелякиКоблевоКовельКовшаровкаКодымаКозелецКозельщинаКозинКозоваКолкиКоломакКоломыяКомарноКоминтерновскоеКомпанеевкаКонотопКонстантиновкаКопычинцыКорецКоропКоростеньКоростышевКорсунцыКорсунь-ШевченковскийКорюковкаКосмачКосовКостопольКотельваКоцюбинскоеКраковецКраматорскКрасиловКрасиловкаКрасноградКрасноеКраснокутскКраснопавловкаКраснопольеКрасносёлкаКременецКременная, Луганская обл.Кременная, Хмельницкая обл.КременчугКремидовкаКривое ОзероКриничкиКролевецКрыжановкаКрыжопольКрымКрюковщинаКубличКуликовкаКупянскКураховоКурман (Красногвардейское)КутыКучурганЛадыжинЛазурноеЛановцыЛатовкаЛебедёвкаЛебединЛелюховкаЛениноЛескиЛесникиЛетичевЛиман, Донецкая обл.Лиман, Харьковская обл. ЛиманкаЛиповая ДолинаЛиповецЛипцыЛисичанскЛитинЛозоваяЛокачиЛомачинцыЛохвицаЛубныЛугиныЛужаныЛуковЛутугиноЛысянкаЛюбарЛюбашевкаЛюбешовЛюбомльЛюботинЛюдвищеЛютежМагалаМагдалиновкаМакаровМакеевкаМалая ВискаМалая ДаниловкаМалинМалодолинскоеМалополовецкоеМалые СорочинцыМалый ЛюбеньМамаивцыМангушМаневичиМаньковкаМарганецМарковкаМартусовкаМарьинкаМашевкаМаякиМеджибожМежгорьеМежеваяМелитопольМеловоеМенаМерефаМещанкаМигияМикуличиМикуличинМилаМиргородМирноградМирноеМироновкаМиротинМихайловкаМлиновМлыновоМогилев-ПодольскийМонастырискаМонастырищеМоршинМоспиноМостискаМрияМукачевоМурованоеМурованые КуриловцыМусиевкаМякотыНадворнаяНародичиНедригайловНежинНемешаевоНемировНересницаНетешинНижнегорскийНижние СерогозыНизшая ДубечняНиколаев, Львовская обл.НиколаевкаНиколаевка, Донецкая обл.НикольскоеНикопольНовая АлександровкаНовая БороваяНовая ВодолагаНовая ДофиновкаНовая КаховкаНовая МаячкаНовая ОдессаНовая УшицаНовгородкаНовгород-СеверскийНовоазовскНовоайдарНовоалександровкаНовоалексеевкаНовоархангельскНововолынскНововоронцовкаНовоград-ВолынскийНовогродовкаНоводнестровскНовокалиновоНовомиргородНовомосковскНовониколаевкаНовопсковНовоселицаНовоселки, Киевская обл. Новоселки, Львовская обл.Новотроицкое, Донецкая обл.Новотроицкое, Херсонская обл.НовоукраинкаНовояворовскНовые БезрадичиНовые БелокоровичиНовые ПетровцыНовые СанжарыНовый БугНовый РоздолНосовкаОбуховОбуховкаОвидиопольОвручОжидовОкныОлевскОлескоОлешкиОлыкаОльшанкаОльшаныОнуфриевкаОпошняОратовОреховОржицаОрловщинаОстерОстрогОсыковоОтынияОчаковОчеретиноПавлоградПавлышПанкаПервомайск, Луганская обл.Первомайск, Николаевская обл.ПервомайскийПервомайскоеПеревальскПерегинскоеПеремышляныПеречинПерещепиноПереяславПереяславскоеПереяслав-ХмельницкийПершотравенскПершотравневоеПесковкаПесочинПесчанкаПетриковкаПетровоПетропавловкаПетропавловская БорщаговкаПеченегиПирновоПирятинПлотычаПобугскоеПогребищеПогребыПодволочискПодворкиПодворноеПодгайцыПодгородноеПодольскПокровПокровкаПокровскПокровскоеПолесскоеПоловоеПологиПолонноеПолянаПоляницаПомошнаяПопаснаяПопельняПочаевПриазовскоеПрилукиПриморскПриморскоеПулиныПустомытыПутивльПутилаПуща-ВодицаПятихаткиРава-РусскаяРадеховРадивиловРадомышльРаздельнаяРаздольноеРакитноеРалевкаРатноРаховРениРепкиРешетиловкаРжищевРовенькиРовноеРогатинРодинскоеРожищеРожнятовРоздолРозовкаРокитноеРоманов, Волынская обл. Романов, Житомирская обл.РомныРославичиРосохачРубежноеРудкиРудноРужинРясное-РусскоеСавинцыСавраньСакиСамборСаратаСарныСартанаСатановСахновщинаСваляваСватовоСветловодскСветлодарскСветлоеСвятогорскСвятопетровскоеСеверодонецкСеверскСелидовоСеменовка, Полтавская обл.Семеновка, Черниговская обл.СергеевкаСередина-БудаСинельниковоСинякСкадовскСкала-ПодольскаяСкалатСквираСколеСкороходовоСлавскоеСлавутаСлавутичСлавяносербскСлавянскСлобожанское, Днепропетровская обл.Слобожанское, Харьковская обл.СмелаСмолиноСмыгаСнежноеСнигиревкаСновскСнятынСокальСокиряныСокольникиСолдатскоеСоледарСоленоеСолоницевкаСолотвинСолотвиноСорокиноСосницаСосновкаСофиевкаСофиевская БорщаговкаСошниковСребноеСтавищеСтаница ЛуганскаяСтарая ВыжевкаСтарая СиняваСтаробельскСтаробешевоСтароеСтароконстантиновСтарые ПетровцыСтарый МартыновСтарый СамборСтебникСтепановкаСтепногорскСторожинецСтоянкаСтрелковичиСтрыйСтуденикиСудакСудовая ВишняСупруновкаСходницаСчастливоеСчастливцевоСчастьеТаврийскТалалаевкаТальноеТарасовкаТаращаТарутиноТатарбунарыТатаровТеофипольТепликТеплодарТеребовляТересваТерновкаТетиевТимошовкаТлумачТокаревкаТокмакТолстоеТомаковкаТомашпольТорецкТорчинТребуховТроицкое (Довгалевское), Киевская обл. Троицкое, Луганская обл.Тростянец, Винницкая обл.Тростянец, Сумская обл.ТрускавецТульчинТурбовТурийскТуркаТывровТыннаяТысменицаТютюнникиТячевУгледарУгневУзинУкраинкаУкраинкаУкраинскУманьУсатовоУстиновкаФастовФеневичиФеодосияФонтанкаХарцызскХащеватоеХмельникХодовичиХодоровХодосовкаХоролХоростковХорошевХотинХотовХотяновкаХрестовкаХристиновкаХрустальныйХустХыровЦаричанкаЦуманьЧабаныЧайкиЧаплинкаЧемеровцыЧепелевкаЧепилиевкаЧервоноградЧервоногригоровкаЧернаяЧерневцы, Винницкая обл.ЧерниговкаЧернобаевкаЧернобайЧерноморскЧерноморскоеЧернухиЧерняховЧечельникЧигиринЧижовкаЧистяковоЧкаловскоеЧопЧортковЧубинскоеЧугуевЧудновЧукваЧумакиЧутовоШаргородШахтерскШацкШевченковоШепетовкаШирокоеШиряевоШишакиШосткаШполаШумскЩелкиноЭнергодарЮжноукраинскЮжныйЮринцыЮрковцыЮрьевкаЯворовЯготинЯлта, Донецкая обл.Ялта, КрымЯмполь, Винницкая обл.Ямполь, Сумская обл.Яны Капу (Красноперекопск)ЯремчеЯреськиЯрмолинцыЯсиноватаяЯсиня

10 крупнейших атак с использованием программ-вымогателей в 2021 году

Как определяется программа-вымогатель?

По данным Агентства по обеспечению кибербезопасности и инфраструктуры (CISA) правительства США: «Программы-вымогатели — это постоянно развивающаяся форма вредоносного ПО, предназначенная для шифрования файлов на устройстве, делая любые файлы и системы, которые на них полагаются, непригодными для использования. Затем злоумышленники требуют выкуп в обмен на расшифровку. Участники программ-вымогателей часто преследуют цель и угрожают продать или утекать извлеченные данные или информацию для аутентификации, если выкуп не выплачен.”

Так что это значит? Хакеры используют слабые места в системе безопасности для кражи конфиденциальных данных или блокировки файлов. Эти преступники дадут вам ключ для доступа к вашей системе или вернут файлы только после того, как вы заплатите их выкуп.

Последние атаки программ-вымогателей в новостях

За последние несколько лет мы стали свидетелями увеличения количества атак с использованием программ-вымогателей, многие из которых являются громкими. Кибератаки в 2021 году, в которых в качестве вектора атаки использовались программы-вымогатели, включают атаки, совершенные против Colonial Pipeline, Steamship Authority of Massachusetts, JBS (крупнейшего в мире производителя мяса) и Департамента столичной полиции Вашингтона, округ Колумбия.Эти атаки на компании и организации США приводят к остановке критически важной инфраструктуры, что может привести к дефициту, увеличению стоимости товаров / услуг, финансовым потерям из-за остановки операций и потере денег из-за необходимости уплаты выкупа хакерам, а также худший.

2020 также стал свидетелем увеличения частоты кибератак и более высоких выплат выкупа. По данным Harvard Business Review, сумма, выплачиваемая компаниями хакерам, выросла на 300%. Внезапное увеличение удаленной работы и более слабые меры безопасности дома дали хакерским группам прекрасную возможность взломать конфиденциальные данные.

Программа-вымогатель для здравоохранения

Во время кризиса многие хакеры пользуются потрясениями и беспорядками в поисках потенциальной денежной выгоды. С началом кризиса COVID-19 в 2020 году кибератакам в сфере здравоохранения стало уделяться повышенное внимание. Исследование Comparitech показало, что атаки программ-вымогателей оказали огромное финансовое влияние на сектор здравоохранения: только в 2020 году они потеряли более 20 миллиардов долларов в виде снижения доходов, судебных исков и выкупа. В течение года более 600 больниц, клиник и других медицинских организаций подверглись 92 атакам с использованием программ-вымогателей.

Кевин Мандиа, генеральный директор компании FireEye, занимающейся кибербезопасностью,

, пролил свет на то, почему эти медицинские организации становятся мишенью. «Фармацевтические препараты, больницы, здравоохранение, государственные компании, организации, у которых нет таланта и навыков, чтобы защитить себя, — они терпят поражение», — сказал г-н Мандиа. Марен Эллисон, главный специалист по информационной безопасности J&J, заявила, что Johnson & Johnson ежедневно сталкивается с 15,5 миллиардами инцидентов, связанных с кибербезопасностью. (Обзор больницы Беккера)

И риску подвергаются не только финансы и данные пациентов; Учитывая решающее значение здравоохранения, атаки программ-вымогателей также могут привести к гибели людей.Согласно NBC News, Тейранни Кидд подала в суд на медицинский центр Спрингхилл в Алабаме после неудачной доставки. В 2019 году больница стала жертвой атаки программы-вымогателя, в результате которой была отключена их ИТ-инфраструктура. Больница не проинформировала Кидда о нападении. Согласно статье, Кидд и ее ребенок получили «ограниченную помощь» и пропустили ключевые тесты, которые могли бы предотвратить тяжелую черепно-мозговую травму ребенка, которая привела к ее смерти девять месяцев спустя. Это всего лишь один пример, и мы, вероятно, увидим более ужасные способы воздействия кибератак на человеческую жизнь.

Крупные атаки программ-вымогателей в 2021 году

В 2021 году мы стали свидетелями множества громких атак на корпорации и фирмы по всей стране и по всему миру. Всего шесть групп программ-вымогателей несут ответственность за нарушение системы защиты кибербезопасности 292 организаций. Эти преступные организации получили выкуп на сумму более 45 миллионов долларов. (ZDNet)

Вот 10 самых крупных атак с использованием программ-вымогателей, которые стали заголовками в 2021 году.

Колониальный трубопровод

Из всех кибер-атак и атак с использованием программ-вымогателей в 2021 году наибольшее освещение в новостях вызвало нарушение Colonial Pipeline в конце апреля. Как отмечает Джо Джордано, директор программы кибербезопасности колледжа Туро, штат Иллинойс, «атака на Colonial Pipeline оказала такое влияние, потому что трубопровод является важной частью национальной системы критической инфраструктуры. Выключение системы привело к нарушению поставок газа по всему восточному побережью Соединенных Штатов, что вызвало хаос и панику ».

Поскольку большинство американцев напрямую страдают от нехватки бензина, эта атака ударила по многим потребителям недалеко от дома. За атакой стояла банда DarkSide, нацеленная на биллинговую систему и внутреннюю бизнес-сеть фирмы, что привело к повсеместному дефициту во многих штатах.Чтобы избежать дальнейшего сбоя, Colonial Pipeline в конце концов уступила требованиям и выплатила группе 4,4 миллиона долларов в биткойнах.

Эта атака была особенно опасной, потому что потребители начали паниковать и игнорировали меры безопасности. Некоторые жители Восточного побережья пытались складывать бензин в легковоспламеняющиеся пластиковые пакеты и баки, и одна машина даже загорелась. После того, как хаос утих, правительственные чиновники подтвердили, что меры кибербезопасности Colonial Pipeline не на должном уровне и, возможно, их можно было предотвратить, если бы была более надежная защита.

К счастью, правоохранительные органы США смогли вернуть большую часть выкупа в размере 4,4 миллиона долларов. ФБР смогло отследить деньги, отслеживая движение криптовалюты и цифровые кошельки. Но найти настоящих хакеров, стоящих за атакой, будет намного сложнее. (Нью-Йорк Таймс)

Brenntag

Примерно в то же время, в начале мая 2021 года, та же пресловутая хакерская группа, нацелившаяся на Colonial Pipeline, DarkSide, также нацелена на Brenntag, компанию по распространению химикатов.После кражи данных на 150 ГБ DarkSide потребовала сумму, эквивалентную 7,5 миллионам долларов в биткойнах.

Brenntag вскоре уступил требованиям и заплатил 4,4 миллиона долларов. Несмотря на то, что это было немногим более половины первоначального спроса, он по-прежнему остается одним из самых высоких в истории платежей, связанных с программами-вымогателями. (Управление ИТ)

Acer

Также в мае этого года производитель компьютеров Acer подвергся атаке со стороны хакерской группы REvil, той же группы, которая ответила за атаку на лондонскую валютную фирму Travelex.Выкуп в размере 50 миллионов долларов стал самым крупным из известных на сегодняшний день. Хакеры REvil использовали уязвимость на сервере Microsoft Exchange, чтобы получить доступ к файлам Acer и просочиться к изображениям конфиденциальных финансовых документов и электронных таблиц.

JBS Foods

Хотя весна 2021 года принесла обнадеживающие новости об окончании пандемии, тенденция к усилению кибератак, начавшаяся в 2020 году, не показала никаких признаков замедления. Еще одна громкая атака программ-вымогателей произошла в мае этого года на JBS Foods, одну из крупнейших мясоперерабатывающих компаний в мире.Предполагается, что за атакой стоит та же российская хакерская группа, которая атаковала Acer, REvil. (CNN)

Хотя в результате атаки не было серьезной нехватки продовольствия, правительственные чиновники посоветовали потребителям не паниковать, покупая мясо в ответ. 10 июня после консультации со специалистами по кибербезопасности было подтверждено, что JSB выплатила выкуп в размере 11 миллионов долларов. Этот крупный платеж в биткойнах — один из крупнейших платежей в области вымогательства за все время. (Новости CBS)

Quanta

Как и в случае с атакой Acer, в апреле банда REvil потребовала выкуп в размере 50 миллионов долларов от производителя компьютеров Quanta.Хотя Quanta, возможно, и не нарицательное, компания является одним из основных деловых партнеров Apple. После того, как фирма отказалась от переговоров с хакерской группой, REvil вместо этого нацелился на Apple. После утечки чертежей продуктов Apple, полученных от Quanta, они пригрозили опубликовать более конфиденциальные документы и данные. К маю REvil, похоже, отменили атаку.

Национальная баскетбольная ассоциация (НБА)

Предприятия и организации из самых разных отраслей становятся жертвами атак программ-вымогателей.Одной из самых неожиданных в списке этого года была Национальная баскетбольная ассоциация (НБА). В середине апреля этого года хакерская группа Бабук заявила о краже 500 ГБ конфиденциальных данных о Houston Rockets. Бабук предупредил, что эти конфиденциальные документы, включая финансовую информацию и контракты, будут обнародованы, если их требования не будут выполнены. На момент публикации выкуп не производился.

AXA

В мае этого года европейская страховая компания AXA подверглась нападению банды Avaddon.Атака произошла вскоре после того, как компания объявила о важных изменениях в своем страховом полисе. По сути, AXA заявила, что прекратит возмещать многим своим клиентам платежи за программы-вымогатели. Об этой уникальной (и в некоторой степени иронии) атаке на киберстраховую фирму заговорили заголовки, и хакерская группа получила доступ к огромным 3 ТБ данных. (Черный туман)

CNA

Ранее в этом году, в марте, еще одна крупная страховая компания стала жертвой атаки программы-вымогателя. Сеть CNA подверглась атаке 21 марта, и хакерская группа зашифровала 15 000 устройств, в том числе многие компьютеры сотрудников, работающих удаленно. Атака предположительно связана с хакерской группировкой Evil Corp и использует новый тип вредоносного ПО под названием Phoenix CryptoLocker.

CD Projekt

CDProjekt Red — популярная компания по разработке видеоигр, базирующаяся в Польше. В феврале этого года фирму взломала банда HelloKitty. Группа хакеров получила доступ к исходному коду игровых проектов в разработке и на зашифрованных устройствах. Однако CDProjekt отказалась платить выкуп и подготовила резервные копии для восстановления потерянных данных. (ExtremeTech)

Касея

REvil, та же группа хакеров, которая нацелена на Acer, Quanta и JBS Foods, снова попала в заголовки газет в июле, атаковав Касею.Несмотря на то, что имя не широко известно потребителям, Касея управляет ИТ-инфраструктурой крупных компаний по всему миру. Подобно атакам на Colonial Pipeline и JBS Foods, этот взлом мог серьезно подорвать ключевые области экономики.

Для проведения атаки REvil через виртуального системного администратора Касеи разослал поддельное обновление программного обеспечения, которое проникло как в прямых клиентов Касеи, так и их клиентов. Согласно REvil, один миллион систем был зашифрован и удерживался с целью выкупа.По словам Кайесы, пострадали около 50 их клиентов и около 1000 предприятий. Хакерская группа потребовала 70 миллионов долларов в биткойнах. Чтобы проиллюстрировать влияние кибератаки, шведская сеть супермаркетов Coop была вынуждена закрыть 800 магазинов на целую неделю. (ZDNet)

Вскоре после атаки ФБР получило доступ к серверам REvil и ключи шифрования для устранения взлома. К счастью, выкуп не был уплачен, и Kaseya смогла восстановить ИТ-инфраструктуру своих клиентов.Хотя вначале это была одна из крупнейших атак с использованием программ-вымогателей, в конце концов ситуацию удалось спасти. (ZDNet)

Прогресс в борьбе с программами-вымогателями

Хотя организация и не спонсируется государством, группа, стоящая за атакой на Касею, базируется в России. По сообщению Associated Press, масштабное событие, связанное с безопасностью, стало причиной телефонного разговора между президентом Байденом и президентом Путиным в июле. Во время разговора Байден оказал давление на Путина, чтобы тот занял более жесткую позицию в отношении атак злоумышленников в его стране.Хотя точно, что произошло после этого телефонного звонка, неясно, ФБР получило доступ к серверам REvil, и вскоре после этого сайт и инфраструктура REvil перестали работать. Хотя неясно, повлиял ли призыв Байдена на ситуацию, Белый дом утверждает, что он будет продолжать оказывать давление на Россию, чтобы та продолжила сотрудничество.

Несмотря на продолжающийся натиск атак программ-вымогателей, произошли некоторые обнадеживающие события. В ноябре стало известно, что пять подозреваемых в соучастии в группе REvil были арестованы европейским правоохранительным агентством Европол.По данным Fortune.com, «предполагаемые хакеры подозреваются в причастности примерно к 5000 заражений программами-вымогателями и получили около полумиллиона евро (579 000 долларов) в качестве выкупа».

Используя прослушивание телефонных разговоров и другие методы, полиция смогла получить доступ к инфраструктуре группы и выследить предполагаемых хакеров. Два последних ареста стали результатом сотрудничества 17 стран, включая такие крупные мировые державы, как США, Великобритания и Франция.

Один из мужчин, 22-летний Ярослав Васинский, предположительно несет ответственность за нападение на Касею.Оба мужчины, арестованные в ноябре, могут быть приговорены к пожизненному заключению. Хотя REvil по-прежнему является активным игроком в мире киберпреступности, власти надеются найти и привлечь к ответственности больше хакеров и прекратить их деятельность. (NPR)

Острая потребность в экспертах по кибербезопасности

Для решения этой проблемы необходимы два ключевых компонента. Во-первых, компании должны серьезно относиться к кибербезопасности и вкладывать в нее соответствующие ресурсы. Во-вторых, должно быть больше высокообразованных экспертов по кибербезопасности, готовых бороться с бедствием атак программ-вымогателей, с которыми мы сейчас сталкиваемся.Как отмечает Джордано, «у многих компаний и учреждений все еще слабая безопасность, а высокая безопасность требует постоянной бдительности и обновлений, а не единовременного обновления. Когда больше организаций начнут серьезно относиться к кибербезопасности и вкладывать время и ресурсы в борьбу с угрозами, мы начнем видеть, как эти угрозы уменьшаются ».

В отличие от некоторых других областей STEM, вам не нужен магистр, чтобы начать работу в области кибербезопасности. Получение диплома о высшем образовании часто является одним из лучших способов получить соответствующую вакансию.Программа получения сертификатов выпускников колледжа Туро, штат Иллинойс, по кибербезопасности для здравоохранения направлена ​​на удовлетворение важнейших потребностей сектора. Наши практические курсы позволяют получить опыт в области сетевой безопасности, HIPAA, облачной безопасности, безопасности медицинских устройств, а также реагирования на инциденты и восстановления.

По словам генерального директора компании из США, до 1500 предприятий, пострадавших от атак программ-вымогателей,

ВАШИНГТОН, 5 июля (Рейтер). От 800 до 1500 предприятий по всему миру подверглись атаке программ-вымогателей, сосредоточенной на США. Об этом сообщил в понедельник исполнительный директор компании S. информационных технологий Kaseya.

Фред Воккола, генеральный директор компании из Флориды, сказал в интервью, что трудно оценить точные последствия атаки в пятницу, поскольку жертвами атаки стали в основном клиенты клиентов Kaseya.

Kaseya — это компания, которая предоставляет программные инструменты ИТ-аутсорсинговым компаниям: компаниям, которые обычно выполняют бэк-офисную работу для компаний, слишком маленьких или со скромными ресурсами, чтобы иметь свои собственные технические отделы.

Зарегистрируйтесь сейчас и получите БЕСПЛАТНЫЙ неограниченный доступ к Reuters.com

Зарегистрируйтесь

Один из этих инструментов был взломан в пятницу, что позволило хакерам парализовать сотни предприятий на всех пяти континентах. Хотя большинство из пострадавших были небольшими предприятиями, такими как кабинеты стоматологов или бухгалтеров, разрушение ощущалось более остро в Швеции, где пришлось закрыть сотни супермаркетов из-за того, что их кассовые аппараты не работали, или в Новой Зеландии, где были школы и детские сады. выбил оффлайн.

Хакеры, взявшие на себя ответственность за взлом, потребовали 70 миллионов долларов для восстановления данных всех затронутых предприятий, хотя в частных беседах с экспертом по кибербезопасности и с Reuters они выразили готовность смягчить свои требования.

«Мы всегда готовы к переговорам», — заявил агентству Рейтер представитель хакеров. Представитель, который разговаривал через чат на сайте хакеров, не назвал свое имя.

Воккола отказался сообщить, готов ли он принять предложение хакеров.

«Я не могу комментировать« да »,« нет »или« может быть », — сказал он, когда его спросили, будет ли его компания разговаривать с хакерами или платить им. «Никаких комментариев по поводу переговоров с террористами в любом случае».

Тема выкупа становится все более острой, поскольку атаки программ-вымогателей становятся все более разрушительными и прибыльными.

Воккола сказал, что разговаривал с официальными лицами Белого дома, Федерального бюро расследований и Министерства внутренней безопасности о нарушении, но отказался сообщить то, что они сказали ему об оплате или ведении переговоров.

Напечатанная на 3D-принтере модель человека, работающего на компьютере, светодиодные фонари и фигурки игрушечных человечков видны перед отображаемым двоичным кодом и словами «Утечка данных» на этой иллюстрации, сделанной 5 июля 2021 года. REUTERS / Dado Ruvic / Illustration

Подробнее

В воскресенье Белый дом заявил, что проверяет, существует ли какой-либо «национальный риск», связанный со вспышкой программ-вымогателей, но Воккола сказал, что — пока — ему не известно о поражении какой-либо общенациональной организации.

«Мы не рассматриваем массивную критически важную инфраструктуру», — сказал он.«Это не наше дело. У нас нет сети AT&T или службы 911 Verizon. Ничего подобного».

Поскольку фирма Вокколы занималась исправлением уязвимости в программном обеспечении, которое использовалось хакерами во время атаки программы-вымогателя, некоторые профессионалы в области информационной безопасности предположили, что хакеры могли следить за коммуникациями его компании изнутри.

Воккола сказал, что ни он, ни следователи, привлеченные его компанией, не видели никаких признаков этого.

«Мы не верим, что они были в нашей сети», — сказал он. Он добавил, что подробности взлома будут обнародованы, «как только он станет« безопасным »и можно будет это сделать».

Некоторые эксперты полагают, что все последствия взлома станут предметом внимания во вторник, когда американцы вернутся с праздничных выходных, проведенных в четвёртое июля. За пределами Соединенных Штатов наиболее заметные нарушения произошли в Швеции, где сотни супермаркетов Coop были вынуждены закрыть свои двери из-за того, что их кассовые аппараты не работали, и в Новой Зеландии, где пострадали 11 школ и несколько детских садов.

В разговоре с Reuters представитель хакеров охарактеризовал сбои в Новой Зеландии как «несчастный случай».

Но они не выразили такого сожаления по поводу сбоев в Швеции.

Закрытие супермаркетов было «не более чем бизнесом», — сказал представитель.

Согласно исследованию, опубликованному компанией ESET, занимающейся кибербезопасностью, примерно в десятке разных стран были организации, которые так или иначе пострадали от взлома.

Зарегистрируйтесь сейчас и получите БЕСПЛАТНЫЙ неограниченный доступ к Reuters.com

Регистр

Отчет Рафаэля Саттера; Дополнительный репортаж Правина Менона из Веллингтона, Новая Зеландия. Под редакцией Ким Когхилл, Роберт Бирсель, Уильям Маклин, Джонатан Оатис и Дайан Крафт

Наши стандарты: принципы доверия Thomson Reuters.

Новая атака программ-вымогателей поразила сотни американских компаний: NPR

На этой файловой фотографии от 23 февраля 2019 г. изображена внутренняя часть компьютера.По словам исследователя кибербезопасности, чья компания реагировала на инцидент, атака вымогателя парализовала сети как минимум 200 американских компаний. Дженни Кейн / AP скрыть подпись

переключить подпись Дженни Кейн / AP

На этой файловой фотографии от 23 февраля 2019 г. видна внутренняя часть компьютера.По словам исследователя кибербезопасности, чья компания реагировала на инцидент, атака вымогателя парализовала сети как минимум 200 американских компаний.

Дженни Кейн / AP

, ВАШИНГТОН. По словам исследователя кибербезопасности, чья компания занималась реагированием на инцидент, в пятницу в результате атаки вымогателя были парализованы сети не менее 200 американских компаний.

Похоже, за атакой стоит банда REvil, крупный русскоязычный синдикат вымогателей, сказал Джон Хаммонд из охранной фирмы Huntress Labs.По его словам, злоумышленники напали на поставщика программного обеспечения под названием Kaseya, используя его пакет сетевого управления в качестве канала для распространения вымогателей через поставщиков облачных услуг. Другие исследователи согласились с оценкой Хаммонда.

«Kaseya занимается крупными предприятиями вплоть до малых предприятий по всему миру, поэтому в конечном итоге (это) может распространиться на бизнес любого размера или масштаба», — сказал Хаммонд в прямом сообщении в Twitter.«Это колоссальная и разрушительная атака на цепочку поставок».

Такие кибератаки обычно проникают в широко используемое программное обеспечение и распространяют вредоносное ПО по мере его автоматического обновления.

Не сразу стало ясно, сколько клиентов Kaseya могут быть затронуты и кем они могут быть. В заявлении на своем веб-сайте Kaseya призвала клиентов немедленно выключить серверы, на которых запущено уязвимое программное обеспечение. Он сказал, что атака была ограничена «небольшим количеством» его клиентов.

Бретт Кэллоу, эксперт по программам-вымогателям из компании Emsisoft, занимающейся кибербезопасностью, сказал, что ему ничего не было известно о каких-либо предыдущих атаках на цепочки поставок программ-вымогателей такого масштаба.По его словам, были и другие, но довольно незначительные.

«Это SolarWinds с программой-вымогателем», — сказал он. Он имел в виду обнаруженную в декабре российскую хакерскую кампанию по кибершпионажу, которая распространилась путем заражения программного обеспечения для управления сетью и проникла в федеральные агентства США и множество корпораций.

Атака, похоже, приурочена к выходным 4 июля

Исследователь кибербезопасности Джейк Уильямс, президент Rendition Infosec, сказал, что он уже работал с шестью компаниями, пострадавшими от вымогателя. Он добавил, что это не случайно, что это произошло до выходных четвертого июля, когда у ИТ-персонала в целом мало.

«У меня нет никаких сомнений в том, что время здесь было выбрано намеренно», — сказал он.

Хаммонд из Huntress сказал, что ему известно о четырех поставщиках управляемых услуг — компаниях, которые размещают ИТ-инфраструктуру для нескольких клиентов — пострадавших от программы-вымогателя, которая шифрует сети до тех пор, пока жертвы не расплатятся с злоумышленниками. По его словам, пострадали тысячи компьютеров.

«В настоящее время у нас есть три партнера Huntress, на которых воздействуют примерно 200 предприятий, которые были зашифрованы», — сказал Хаммонд.

Хаммонд написал в Твиттере: «Судя по всему, что мы видим сейчас, мы твердо уверены, что это REvil / Sodinikibi». ФБР связало того же поставщика программ-вымогателей с майской атакой на JBS SA, крупного мирового переработчика мяса.

Федеральное агентство по кибербезопасности и ФБР оценивают атаку.

Федеральное агентство по кибербезопасности и безопасности инфраструктуры сообщило в заявлении поздно в пятницу, что оно внимательно следит за ситуацией и работает с ФБР для сбора дополнительной информации о ее последствиях.

CISA призвал всех, кто может пострадать, «следовать указаниям Касеи и немедленно выключить серверы VSA». Kaseya запускает так называемый виртуальный системный администратор, или VSA, который используется для удаленного управления и мониторинга сети клиента.

Частная компания Kaseya утверждает, что базируется в Дублине, Ирландия, со штаб-квартирой в США в Майами. Miami Herald недавно охарактеризовала ее как «одну из старейших технологических компаний Майами» в отчете о своих планах нанять до 500 сотрудников к 2022 году для работы на недавно приобретенной платформе кибербезопасности.

Брайан Хонан, ирландский консультант по кибербезопасности, сообщил по электронной почте в пятницу, что «это классическая атака на цепочку поставок, когда преступники скомпрометировали надежного поставщика компаний и злоупотребили этим доверием, чтобы атаковать своих клиентов».

Он сказал, что малым предприятиям может быть сложно защититься от этого типа атак, потому что они «полагаются на безопасность своих поставщиков и программное обеспечение, которое они используют.«

» «Единственная хорошая новость, — сказал Уильямс из Rendition Infosec, — это то, что« у многих наших клиентов нет Kaseya на каждой машине в их сети », что затрудняет злоумышленникам переход через компьютерные системы организации».

Это облегчает выздоровление, сказал он.

Действующая с апреля 2019 года группа, известная как REvil, предоставляет программы-вымогатели как услугу, то есть разрабатывает программное обеспечение, парализующее сеть, и сдает его в аренду так называемым аффилированным лицам, которые заражают цели и получают львиную долю выкупа.

REvil входит в число банд программ-вымогателей, которые крадут данные у целей перед активацией программы-вымогателя, усиливая свои усилия по вымогательству. Средняя сумма выкупа, выплачиваемая группе в прошлом году, составила около полумиллиона долларов, говорится в недавнем отчете фирмы Palo Alto Networks, занимающейся кибербезопасностью.

Некоторые эксперты по кибербезопасности предсказали, что банде может быть сложно вести переговоры о выкупе, учитывая большое количество жертв, хотя длинные выходные в США могут дать ей больше времени для начала работы со списком.

юридических фирм осваивают атаки программ-вымогателей

Изд. примечание : Сегодня мы рады опубликовать первую из новой серии статей, Кибербезопасность: советы из окопов , , написанные нашими друзьями из Sensei Enterprises, специализированного поставщика услуг ИТ, кибербезопасности и цифровой криминалистики.

Старые добрые времена программ-вымогателей

Да, действительно были «старые добрые времена программ-вымогателей». Мы называем это Ransomware Version 1.0. Программа-вымогатель «приземлилась» в вашей сети, зашифровала ваши данные и потребовала выкуп за ключ для дешифрования ваших данных. Довольно невинная эпоха по сравнению с программой-вымогателем версии 2.0, которая предшествовала пандемии, но затем процветала, когда юристы отправились домой в небезопасные домашние сети в марте 2020 года.

Программа-вымогатель «Дьявол», версия 2.0

Банды вымогателей выяснили, что два выкупа лучше, чем один. Итак, теперь атаки программ-вымогателей крадут ваши данные до того, как они зашифруют вашу сеть.Если вы действительно создали надежную сеть, возможно, вы сможете восстановить ее, не уплачивая выкуп. С другой стороны, время простоя и снижение производительности может быть настолько велико, что вы все равно решите заплатить, особенно если платеж принимает ваша киберстраховочная компания.

Сравнительно недавно атаки включают поиск и уничтожение любых резервных копий, подключенных к сети, а также отключение или завершение работы самого программного обеспечения, которое вы используете, для обнаружения атаки программ-вымогателей.

Но даже если вы не заплатите первое требование выкупа, большинство фирм получат второе требование выкупа за (вы надеетесь, но никогда не узнаете) за уничтожение ваших данных. Тем временем они могут утечь некоторые из ваших конфиденциальных данных в Интернете на «стену стыда программ-вымогателей» или предупредить журналистов о взломе, чтобы заставить вас заплатить выкуп и подтвердить, что они владеют данными.

Маленький луч света и зловещее предупреждение

Компания Coveware, занимающаяся кибербезопасностью, сообщила в конце третьего квартала этого года, что средний платеж за вымогателей остался на уровне 140 000 долларов, как и в прошлом квартале.
Но вот предупреждение, которое юридические фирмы должны принять во внимание:

Coveware сообщает, что малые и средние фирмы, оказывающие профессиональные услуги, особенно юридические и финансовые, больше всего подвержены риску атак программ-вымогателей из-за недостаточной готовности к кибербезопасности, по-видимому, потому, что они думают, что они слишком малы для того, чтобы стать мишенью.

Это мышление всегда было неправильным, но сейчас оно еще более ошибочно. Почему? Потому что правительства и правоохранительные органы оказывают огромное давление на банды вымогателей. Эти усилия активизировались после атаки на колониальный трубопровод весной 2021 года.

Coveware сообщает: «Мы видели статистические данные и данные, свидетельствующие о том, что участники программ-вымогателей пытаются избежать более крупных целей, которые могут вызвать реакцию национальных политиков или правоохранительных органов. Этот переход от «охоты на крупную дичь» к «охоте в середине игры» олицетворяется как в статистике суммы выкупа, так и в демографических характеристиках размера жертвы за квартал.”

Другими словами, банды вымогателей могут избежать атаки на AmLaw 100, но не компании среднего размера, которые, тем не менее, хранят очень ценные данные.

По мере того, как банды вымогателей переходят от крупной игры к игре среднего размера, что делать юридической фирме?

Для ответа потребуется гораздо больше места, чем может вместить одна статья. Но следуйте приведенным ниже советам, и у вас будет хорошее начало!

1. Включите 2FA (двухфакторную аутентификацию) где угодно. Остановится 99.9% всех атак по захвату учетных записей на основе учетных данных. Microsoft и Google начинают принуждать всех пользователей к использованию двухфакторной аутентификации. Это должно тебе кое-что сказать. И пока вы занимаетесь этим, начните изучать архитектуру Zero Trust, которая полностью отказывается от устаревшего представления о защите периметра юридической фирмы и принимает мантру «никогда не доверяйте, всегда проверяйте».

2. Обеспечьте защиту от обнаружения и отклика конечных точек (EDR) для всех устройств, подключенных к вашей сети. Это решение будет отслеживать поведение, указывающее на наличие вредоносного ПО или наличие атаки.

3. Создавайте несколько резервных копий, часто тестируйте их и всегда имейте хотя бы одну изолированную резервную копию, чтобы ее нельзя было зашифровать или уничтожить!

4. Своевременно применяйте обновления и исправления — если вы опасаетесь, что они что-то «ломают», попросите стороннюю организацию протестировать их перед применением (некоторые компании продают эту услугу по разумной цене).

5. Контролировать или отключать сетевые службы, особенно ненужные. Не используйте протокол удаленного рабочего стола.

6. Ограничьте привилегированный доступ и разверните решение для управления привилегированным доступом.

7. Проводите обучение сотрудников по вопросам кибербезопасности не реже одного раза в год — лучше дважды — периодические напоминания о фишинге, социальной инженерии и т. Д. Полезны — наряду с симуляциями фишинга.

8. Одним из лучших доступных ресурсов (написанных простым английским языком) является веб-сайт универсального магазина CISA.

9. Получите полис киберстрахования, но будьте осторожны. Затраты растут, а покрытие сокращается. Заявки на киберстрахование намного длиннее, и большинство юридических фирм не могут предоставить страховщикам необходимые им гарантии кибербезопасности.

10. Имейте (или разработайте) комплексный план реагирования на инциденты (IRP), чтобы избежать паники и ошибок, если вы действительно пострадали от атаки программы-вымогателя. Тренируйтесь по плану — используйте хотя бы настольные упражнения, складывая и вычитая вещи, например, управляющий партнер поднимается на гору и недоступен, электронная сеть вышла из строя, ваши сотрудники распространили информацию о нарушении в социальных сетях — как вы могли бы представьте, существует длинный список возможных осложнений. Но отсутствие IRP вообще (а у большинства малых и средних фирм нет) непростительно и, вероятно, неэтично, учитывая вашу обязанность по разумной защите конфиденциальных данных компании.Во что бы то ни стало, убедитесь, что IRP хранится где-нибудь (в бумажном или электронном виде), чтобы программы-вымогатели не могли зашифровать его и сделать недоступным.

Последние слова

В кибербезопасности нет принципа «установил и забыл». Мы будем возвращаться каждый месяц с новыми данными и советами….

---

Шэрон Д. Нельсон ([email protected]) — практикующий поверенный и президент Sensei Enterprises, Inc. В прошлом она была президентом Коллегии адвокатов штата Вирджиния, Коллегии адвокатов Фэрфакса и Юридического фонда Фэйрфакса.Она является соавтором 18 книг, опубликованных ABA.

Джон В. Симек ([email protected]) — вице-президент Sensei Enterprises, Inc. Он является сертифицированным специалистом по безопасности информационных систем (CISSP), сертифицированным этическим хакером (CEH) и всемирно известным экспертом в этой области. цифровой криминалистики. Он и Шэрон предоставляют услуги в области юридических технологий, кибербезопасности и цифровой криминалистики в своей фирме в Фэрфаксе, штат Вирджиния.

Майкл С. Машке (mmaschke @ senseient.com) является генеральным директором / директором по кибербезопасности и цифровой криминалистике Sensei Enterprises, Inc. Он является сертифицированным экспертом EnCase, сертифицированным компьютерным экспертом (CCE # 744), сертифицированным этическим хакером и сертифицированным экзаменатором AccessData. Он также является сертифицированным специалистом по безопасности информационных систем.

Момент расплаты: необходимость решительных и глобальных ответных мер в области кибербезопасности

Последние недели непростого года оказались еще более трудными из-за недавнего разоблачения последней серьезной кибератаки на национальные государства в мире.Эта последняя кибератака фактически представляет собой атаку на Соединенные Штаты и их правительство, а также на другие важные институты, включая охранные фирмы. Он проливает свет на то, как ландшафт кибербезопасности продолжает развиваться и становится еще более опасным. Как бы то ни было, эта атака дает момент расплаты. Это требует, чтобы мы ясно смотрели на растущие угрозы, с которыми мы сталкиваемся, и привержены более эффективному и совместному руководству со стороны правительства и технологического сектора в Соединенных Штатах, чтобы возглавить сильные и скоординированные меры глобальной кибербезопасности.

Развивающиеся угрозы

Последние 12 месяцев стали переломным годом с развитием угроз кибербезопасности на трех фронтах, открывающих глаза.

Первый — это продолжающийся рост решимости и изощренности атак на национальные государства. На прошлой неделе об этом снова заговорили заголовки с рассказом об атаке на фирму FireEye с использованием вредоносного ПО, внедренного в программное обеспечение для управления сетью, предоставленное клиентам технической компанией SolarWinds.Это уже привело к последующим новостным сообщениям о проникновении в различные части правительства США. Мы все должны быть готовы к рассказам о дополнительных жертвах в государственном секторе и на других предприятиях и организациях. Как заявил генеральный директор FireEye Кевин Мандиа после раскрытия информации о недавней атаке: «Мы являемся свидетелями атаки нации, обладающей высочайшими наступательными возможностями».

Поскольку эксперты Microsoft по кибербезопасности помогают в ответе, мы пришли к такому же выводу. К сожалению, атака представляет собой широкое и успешное шпионское нападение на конфиденциальную информацию США. S. Правительство и технические инструменты, используемые фирмами для их защиты. Атака продолжается, активно расследуется и решается группами кибербезопасности в государственном и частном секторах, включая Microsoft. Поскольку наши команды действуют как первые реагенты на эти атаки, продолжающееся расследование выявляет атаку, которая отличается своим масштабом, изощренностью и воздействием.

Есть и более широкие разветвления, которые еще больше сбивают с толку. Во-первых, хотя правительства веками шпионили друг за другом, недавние злоумышленники использовали метод, который поставил под угрозу цепочку поставок технологий для экономики в целом.Как сообщает SolarWinds, злоумышленники установили свое вредоносное ПО в обновление продукта компании Orion, которое могло быть установлено более чем 17 000 клиентов.

Характер начальной фазы атаки и широта уязвимости цепочки поставок ясно показаны на карте ниже, которая основана на телеметрии антивирусного программного обеспечения Microsoft Defender. Это позволяет идентифицировать клиентов, которые используют Defender и установили версии программного обеспечения SolarWinds Orion, содержащего вредоносные программы злоумышленников.Как видно из этого, этот аспект атаки создал уязвимость цепочки поставок почти глобального значения, достигнув многих крупных национальных столиц за пределами России. Это также свидетельствует о повышенном уровне уязвимости в Соединенных Штатах.

Установка этого вредоносного ПО дала злоумышленникам возможность отслеживать и выбирать среди этих клиентов организации, которые они хотели атаковать, что, по-видимому, они сделали в более узкой и целенаправленной манере.В то время как расследования (и сами атаки) продолжаются, Microsoft выявила и работала на этой неделе, чтобы уведомить более 40 клиентов о том, что злоумышленники нацелены более точно и скомпрометированы с помощью дополнительных и сложных мер.

Несмотря на то, что примерно 80% этих клиентов находятся в Соединенных Штатах, в ходе этой работы также были выявлены жертвы еще в семи странах. Сюда входят Канада и Мексика в Северной Америке; Бельгия, Испания и Великобритания в Европе; а также Израиль и ОАЭ на Ближнем Востоке.Несомненно, число и местонахождение жертв будут расти.

Дополнительный анализ проливает свет на масштаб этих атак. Первоначальный список жертв включает не только государственные учреждения, но и охранные и другие технологические компании, а также неправительственные организации, как показано в таблице ниже.

Крайне важно сделать шаг назад и оценить значимость этих атак в их полном контексте. Это не «обычный шпионаж» даже в эпоху цифровых технологий.Вместо этого он представляет собой акт безрассудства, который создал серьезную технологическую уязвимость для Соединенных Штатов и всего мира. По сути, это нападение не только на конкретные цели, но и на доверие и надежность критически важной мировой инфраструктуры с целью продвижения разведывательной службы одной страны. Хотя последнее нападение, по-видимому, отражает особое внимание к Соединенным Штатам и многим другим демократическим странам, оно также является мощным напоминанием о том, что люди практически в каждой стране подвергаются риску и нуждаются в защите независимо от правительства, при котором они живут.

Как мы уже неоднократно видели, Кремниевая долина — не единственный дом для гениальных разработчиков программного обеспечения. В 2016 году российские инженеры выявили слабые места в защите паролем и в платформах социальных сетей, проникли в американские политические кампании и использовали дезинформацию, чтобы посеять разногласия среди электората. Они повторили упражнение во время президентской кампании во Франции 2017 года. По данным Центра анализа угроз и отдела по борьбе с цифровыми преступлениями Microsoft, эти методы затронули жертв более чем в 70 странах, включая большинство демократических стран мира.Последняя атака отражает неудачную, но столь же гениальную способность выявлять слабые места в защите кибербезопасности и использовать их.

Эти типы изощренных атак на национальные государства все чаще дополняются другой технологической тенденцией, которая заключается в возможности расширения человеческих возможностей с помощью искусственного интеллекта (ИИ). Одним из наиболее пугающих событий в этом году стали новые шаги по использованию ИИ для вооружения больших украденных наборов данных о людях и распространения целевой дезинформации с помощью текстовых сообщений и приложений для обмена зашифрованными сообщениями. Мы все должны исходить из того, что, как и изощренные атаки из России, это тоже станет постоянной частью ландшафта угроз.

К счастью, существует ограниченное количество правительств, которые могут инвестировать в таланты, необходимые для атаки с таким уровнем изощренности. В нашем первом отчете Microsoft Digital Defense Report, выпущенном в сентябре, мы проанализировали нашу оценку 14 групп национальных государств, вовлеченных в атаки кибербезопасности. Одиннадцать из 14 находятся всего в трех странах.

Все это меняется из-за второй развивающейся угрозы, а именно растущей приватизации кибербезопасных атак через новое поколение частных компаний, похожих на наемников 21-го века. Это явление дошло до того, что приобрело собственный акроним — PSOA, обозначающий наступательных субъектов частного сектора. К сожалению, это не аббревиатура, которая сделает мир лучше.

Примером компании в этом новом секторе является NSO Group, базирующаяся в Израиле и в настоящее время участвующая в судебных процессах в США. NSO создала и продала правительствам приложение под названием Pegasus, которое можно было установить на устройство, просто позвонив на устройство через WhatsApp; владельцу устройства даже не пришлось отвечать.По данным WhatsApp, NSO использовала Pegasus для доступа к более чем 1400 мобильным устройствам, в том числе принадлежащим журналистам и правозащитникам.

NSO представляет собой растущее слияние сложных технологий частного сектора и национальных злоумышленников. Citizen Lab, исследовательская лаборатория Университета Торонто, выявила более 100 случаев злоупотреблений только в отношении НСО. Но это далеко не один. Все чаще ходят слухи о том, что другие компании присоединяются к новому мировому технологическому рынку с оборотом 12 миллиардов долларов.

Это представляет собой растущую возможность для национальных государств создать или купить инструменты, необходимые для изощренных кибератак. И если за последние пять десятилетий в мире программного обеспечения была одна константа, так это то, что денег всегда больше, чем талантов. Сегмент отрасли, который способствует наступательным кибератакам, несет плохие новости по двум направлениям. Во-первых, это добавляет еще больше возможностей ведущим атакующим национальным государствам, а во-вторых, вызывает распространение кибератак на правительства других стран, у которых есть деньги, но не у людей, чтобы создавать собственное оружие.Короче говоря, это добавляет еще один важный элемент в ландшафт угроз кибербезопасности.

Существует , третья и последняя отрезвляющая разработка, заслуживающая внимания в этот, очевидно, сложный год. Это происходит из-за пересечения кибератак и самого COVID-19.

Можно было надеяться, что пандемия, унесшая жизни миллионов людей, могла, по крайней мере, получить защиту от мировых кибератак. Но это было не так. После кратковременного затишья в марте кибератаки нацелились на больницы и органы здравоохранения, от местных органов власти до Всемирной организации здравоохранения (ВОЗ).Пока человечество стремилось разработать вакцины, группы безопасности Microsoft обнаружили трех субъектов в национальном государстве, нацеленных на семь известных компаний, непосредственно участвующих в исследованиях вакцин и методов лечения Covid-19. Кажется, что кризис всегда обнажает лучшее и худшее в людях, поэтому, возможно, нам не стоит удивляться тому, что этот глобальный кризис не стал исключением.

Вместе взятые, однако, эти три тенденции указывают на то, что ситуация в области кибербезопасности еще более устрашающая, чем в начале года. Наиболее решительные атакующие национальные государства становятся все более изощренными.Риски как растут, так и распространяются на правительства других стран через новые частные компании, которые помогают и подстрекают к атакующим национальным государствам. И ничто, даже пандемия, не является закрытым для злоумышленников.

Мы живем в более опасном мире, и он требует более сильного и скоординированного ответа.

Более эффективная стратегия в начале нового года

Проще говоря, нам нужна более эффективная национальная и глобальная стратегия защиты от кибератак. Для этого потребуется несколько частей, но, пожалуй, самое главное, это должно начаться с признания того, что правительствам и технологическому сектору необходимо действовать сообща.

Новый год дает возможность перевернуть страницу недавней американской односторонности и сосредоточиться на коллективных действиях, которые необходимы для защиты кибербезопасности. Соединенные Штаты выиграли Вторую мировую войну, холодную войну или даже свою независимость не в одиночку. В мире, где авторитарные страны начинают кибератаки против мировых демократий, для демократических правительств как никогда важно работать вместе — обмениваться информацией и передовым опытом и координировать не только защиту кибербезопасности, но и защитные меры и ответные меры.

В отличие от прошлых атак, угрозы кибербезопасности также требуют уникального уровня сотрудничества между государственным и частным секторами. Современная технологическая инфраструктура, от центров обработки данных до оптоволоконных кабелей, чаще всего принадлежит и управляется частными компаниями. Они представляют собой не только большую часть инфраструктуры, которую необходимо защитить, но и поверхность, на которой обычно впервые обнаруживаются новые кибератаки. По этой причине для эффективной киберзащиты требуется не только коалиция мировых демократий, но и коалиция с ведущими технологическими компаниями.

Чтобы добиться успеха, этой коалиции в будущем необходимо будет делать три вещи более эффективно:

Во-первых, , нам нужно сделать важный шаг вперед в обмене и анализе информации об угрозах. В новом году, который будет отмечать 20-ю годовщину 11 сентября, мы должны помнить один из уроков трагического дня, который Комиссия 11 сентября назвала «шоком, но не сюрпризом». Постоянной темой выводов комиссии была неспособность правительственных агентств накапливать коллективные знания путем соединения точек данных.Поэтому комиссия сосредоточила свою первую рекомендацию на «объединении стратегической разведки» и переходе от «необходимости знать» к «необходимости делиться».

Если есть первоначальный вопрос к приходящей к власти администрации Байдена-Харриса и союзникам Америки, то он таков: обмен разведданными об угрозах кибербезопасности сегодня лучше или хуже, чем это было в случае террористических угроз до 11 сентября?

После этой последней атаки, возможно, ни одна компания не выполнила больше работы, чем Microsoft, для поддержки агентств федерального правительства. Как бы мы ни ценили приверженность и профессионализм стольких преданных своему делу государственных служащих, для нас очевидно, что нынешнее состояние обмена информацией в правительстве далеко от того, что должно быть. Слишком часто кажется, что федеральные агентства в настоящее время не действуют скоординированно или в соответствии с четко определенной национальной стратегией кибербезопасности. В то время как некоторые части федерального правительства поспешили запросить информацию, обмен информацией с оперативными службами, имеющими возможность действовать, был ограничен.Во время киберинцидента общенационального значения нам необходимо сделать больше для того, чтобы сделать обмен информацией и сотрудничество в приоритетном порядке, необходимые для быстрых и эффективных действий. Во многих отношениях мы как нация рискуем упустить из виду некоторые из наиболее важных уроков, определенных Комиссией 11 сентября.

Одним из индикаторов текущей ситуации является настойчивое требование федерального правительства ограничить с помощью своих контрактов нашу способность сообщать даже одной части федерального правительства о том, какая другая часть подверглась нападению. Вместо поощрения «необходимости делиться» это превращает обмен информацией в нарушение контракта. Это буквально перевернуло рекомендации Комиссии 11 сентября с ног на голову.

Для новой администрации Байдена-Харриса будет критически важно действовать быстро и решительно, чтобы разрешить эту ситуацию. Одна из готовых возможностей — назначить национального директора по кибербезопасности, как это рекомендовано Комиссией по соляриям и предусмотрено в Законе о полномочиях национальной обороны.

Для эффективного прогресса также потребуется второе осознание, выходящее за рамки всего, что Комиссии 11 сентября нужно было противопоставить.Аналитика угроз кибербезопасности существует в еще более разрозненных хранилищах, чем более традиционная информация об угрозах национальной безопасности. Это связано с тем, что он распространяется не только среди различных агентств и правительств, но и среди множества компаний частного сектора. Даже в такой крупной компании, как Microsoft, мы узнали, что для нашего центра анализа угроз критически важно агрегировать и анализировать данные из наших центров обработки данных и служб. А когда возникает серьезная угроза, нам нужно делиться информацией и коллективными оценками с другими технологическими компаниями.

В последние годы было сделано несколько важных шагов для улучшения обмена информацией о кибербезопасности, и мы высоко ценим самоотверженность и поддержку многих ключевых людей в правительстве США. Но у нас по-прежнему отсутствует формальная и согласованная национальная стратегия для обмена информацией об угрозах кибербезопасности между государственным и частным секторами. Хотя необходимы важные меры безопасности для защиты государственных секретов и частной жизни частных лиц, настало время для более системного и новаторского подхода к обмену и анализу разведывательной информации об угрозах с теми, кто лучше всех подготовлен к действию.

Во-вторых, , нам необходимо укрепить международные правила, чтобы вывести за рамки безрассудное поведение национальных государств и обеспечить, чтобы внутренние законы препятствовали росту экосистемы кибератак. Хотя в мире существуют важные международные нормы и законы для борьбы с атаками на национальные государства, мы по-прежнему считаем важным заполнить пробелы и продолжить разработку четких и обязательных юридических обязательств для киберпространства.

Это должно основываться на уроках 2020 года и расставлять приоритеты в ключевых и конкретных областях.Например, он должен включать постоянную разработку правил, прямо запрещающих широкую и безрассудную деятельность, используемую против SolarWinds и ее клиентов, которая подделывает законное программное обеспечение и угрожает стабильности более широкой цепочки поставок программного обеспечения. Международное сообщество движется в этом направлении, основываясь на отчете Группы правительственных экспертов Организации Объединенных Наций за 2015 год, который получил широкую поддержку ООН в прошлом году, а также многостороннюю поддержку со стороны Глобальной комиссии по стабильности киберпространства (GCSC). .Правительство США и его союзники должны четко заявить о своей точке зрения о том, что этот тип атаки на цепочку поставок выходит за рамки международного права.

Нам нужны такие же решительные и эффективные подтверждения правил, которые запрещают нападения на медицинские учреждения и поставщиков вакцин. (В рамках недавно созванного Оксфордского процесса была проделана важная работа по выявлению мер защиты, предоставляемых существующим международным правом в этом контексте.) И международные правила должны включать более надежную защиту демократических и избирательных процессов, как это отражено в принципах Парижского призыва к доверию и безопасности в Киберпространство, которое сейчас насчитывает более 1000 подписантов — крупнейшая многосторонняя группа заинтересованных сторон, когда-либо созданная для поддержки международного соглашения, ориентированного на кибербезопасность.

Кроме того, правительства должны предпринять новые согласованные шаги, чтобы помешать росту наступательных субъектов частного сектора. Как описано выше, эти компании фактически создали новую экосистему для поддержки наступательных атак на национальные государства. Чем раньше правительства примут меры, чтобы вывести эту экосистему из строя, тем лучше.

Первой возможностью для администрации Байдена-Харриса станет рассмотрение апелляционного судебного дела с участием самой NSO Group. NSO обжаловало решение суда низшей инстанции о том, что оно не застраховано от исков о нарушении U.S. Закон о компьютерном мошенничестве и злоупотреблениях путем доступа к мобильным устройствам без разрешения. Его аргумент состоит в том, что он неуязвим для закона США, поскольку действует от имени иностранного государственного заказчика и, следовательно, разделяет правовой иммунитет этого правительства. Предложенный NSO рецепт только усугубит проблему, поэтому Microsoft вместе с другими компаниями выступает против такой интерпретации. Администрация Байдена / Харриса должна поддержать аналогичную точку зрения.

Правовой подход NSO, хоть и сбивает с толку, но оказывает миру услугу, указывая путь, необходимый для предотвращения этой новой экосистемы кибератак. Он призван обеспечить, чтобы внутреннее законодательство четко и строго запрещало компаниям помогать правительствам участвовать в незаконных и наступательных кибератаках, а инвесторам — сознательно финансировать их.

Рассмотрим аналогию с другими формами вредной для общества деятельностью, такими как торговля людьми, наркотики или сам терроризм. Правительства не только принимают решительные меры для запрещения самой незаконной деятельности, такой как участие в незаконном обороте наркотиков, но и следят за тем, чтобы авиакомпании не перевозили наркотики, а инвесторы не финансировали эту деятельность.

Аналогичный подход необходим для сдерживания наступательных субъектов частного сектора. Нам нужны шаги, чтобы гарантировать, например, что американские и другие инвесторы сознательно не подпитывают рост этого вида незаконной деятельности. И Соединенным Штатам следует активно проводить обсуждения с другими странами, которые создают эти компании, в том числе с Израилем, который имеет сильную экосистему кибербезопасности, которая может быть использована для опасной поддержки авторитарных режимов.

Наконец, , нам нужны более решительные шаги, чтобы привлечь к ответственности национальные государства за кибератаки. Правительства и частные компании в последние годы предприняли более решительные шаги по привлечению национальных государств к публичной ответственности за кибератаки. Нам нужно развивать этот курс и продолжать продвигаться вперед, при этом правительства должны гарантировать, что эти атаки будут иметь более серьезные последствия в реальном мире, чтобы способствовать стабильности и препятствовать конфликтам.

Демократические страны мира предприняли важные шаги в 2017 и 2018 годах во главе с США. После публичных заявлений о WannaCry и NotPetya несколько правительств публично приписали эти атаки правительствам Северной Кореи и России соответственно.Эти типы скоординированной общественной атрибуции стали важным инструментом в ответ на атаки национального государства. Соединенные Штаты предприняли более жесткие меры сдерживания для защиты промежуточных выборов 2018 г. и предприняли еще более согласованные усилия по успешному сдерживанию иностранного вмешательства в процесс голосования на президентских выборах 2020 г.

В частном секторе обстоятельства также резко изменились с первых дней в 2016 году, когда мы в Microsoft подали в суд на пресечение российских кибератак на американские политические кампании, но не хотели говорить об этом публично.С тех пор такие компании, как Microsoft, Google, Facebook и Twitter, действовали и говорили прямо и публично, отвечая на кибератаки национальных государств. Более того, коалиция из более чем 145 глобальных технологических компаний подписала Соглашение о технологиях кибербезопасности, взяв на себя обязательство соблюдать четыре принципа ответственного поведения для обеспечения мира и безопасности в Интернете, включая противодействие кибератакам против ни в чем не повинных гражданских лиц и предприятий.

Ближайшие месяцы станут серьезным испытанием не только для Соединенных Штатов, но и для других ведущих демократических стран и технологических компаний. В предстоящие недели будет наблюдаться рост числа атак, и мы верим в неопровержимые доказательства источника этих недавних атак. Становится еще яснее, что они отражают не только новейшие технологии, применяемые в традиционном шпионаже, но и безрассудную и серьезную угрозу цифровой цепочке поставок и нашим важнейшим экономическим, гражданским и политическим институтам. Это тип международного нападения, требующий коллективного ответа, который показывает, что серьезные нарушения имеют последствия.

Если можно извлечь общий урок из последних нескольких лет, так это важность сочетания непрерывного обучения с новыми инновациями, более тесным сотрудничеством и постоянным мужеством. На протяжении четырех веков люди мира полагались на правительства, чтобы защитить их от внешних угроз. Но цифровые технологии создали мир, в котором правительства не могут действовать в одиночку. Защита демократии требует, чтобы правительства и технологические компании работали вместе в новых и важных направлениях — для обмена информацией, усиления защиты и реагирования на атаки. Поскольку мы оставляем 2020 год позади, новый год дает новую возможность продвинуться вперед по всем этим направлениям.

---

Примечание редактора: 17.12.2020, 19:50 PT

После новостных сообщений о влиянии проблемы SolarWinds на Microsoft, компания опубликовала следующее заявление:

«Как и другие клиенты SolarWinds, мы активно ищем индикаторы этого субъекта и можем подтвердить, что мы обнаружили вредоносные двоичные файлы SolarWinds в нашей среде, которые мы изолировали и удалили.Мы не нашли доказательств доступа к производственным услугам или данным клиентов. Наши расследования, которые продолжаются, не обнаружили абсолютно никаких признаков того, что наши системы использовались для атаки других ».

Теги: COVID-19, кибератаки, кибербезопасность, Программа защиты демократии, ElectionGuard

Кибербезопасность | FINRA.org

Учитывая меняющийся характер, увеличивающуюся частоту и растущую изощренность атак кибербезопасности, а также возможность нанесения ущерба инвесторам, фирмам и рынкам, практика кибербезопасности является ключевым направлением для фирм и FINRA.

FINRA оценивает подходы компаний к управлению рисками кибербезопасности посредством анализа их средств контроля в таких областях, как: управление технологиями, оценка рисков, технический контроль, управление доступом, реагирование на инциденты, управление поставщиками, предотвращение потери данных, управление изменениями системы, контроль филиалов и обучение персонала. . Посредством этих обзоров FINRA также оценивает способность фирмы защищать конфиденциальность, целостность и доступность конфиденциальной информации о клиентах.

Эти страницы предназначены для помощи фирмам в построении своей программы кибербезопасности путем рассмотрения индивидуальных рисков и обсуждения соответствующих мер контроля, необходимых для защиты конфиденциальных данных клиентов и фирмы.FINRA обновило эту страницу кибербезопасности, включив в нее следующие ресурсы:

• В случае подрывной атаки или взлома
• Распространенные угрозы кибербезопасности
• События
• Отчеты
• Инструменты соответствия
• Контактное лицо по вопросам кибербезопасности FINRA

---

В случае подрывной атаки или взлома

Фирмы должны познакомиться со своим местным Федеральным бюро расследований (ФБР) и заранее спланировать атаку или нарушение кибербезопасности.

В случае, если ваша компания стала жертвой разрушительной атаки или взлома, например, к вашим данным был осуществлен доступ или ваши клиенты не могут вести бизнес, вы должны немедленно сообщить об инциденте на ваш:

Если вам нужна помощь в ПРОГРАММНОМ ОБЕСПЕЧЕНИИ, один из полезных ресурсов — Stop Ransomware от CISA!

Для неудачных и успешных инцидентов, связанных с киберпреступлениями, может потребоваться заполнение SAR. Для получения дополнительной информации посетите руководство Сети по борьбе с финансовыми преступлениями (FinCEN).

---

Распространенные угрозы кибербезопасности

В этом разделе описаны некоторые из распространенных угроз кибербезопасности, с которыми сталкиваются брокеры-дилеры. В ряде случаев FINRA обнаружило, что различные типы атак были скоординированными и частично совпадающими.

• Фишинг
• Сайты-самозванцы
• Вредоносное ПО
• Поглощение счета клиента (ATO)
• Взлом или захват корпоративного аккаунта

• Мошеннические транзакции с проводами или ACH
• Программа-вымогатель
• Распределенные атаки типа «отказ в обслуживании» («DDoS»)
• Нарушения поставщика

Узнайте больше об общих угрозах кибербезопасности

---

События

Ближайшие события

Учебные курсы виртуального соответствия

Виртуальные учебные курсы по соответствию требованиям

FINRA — это одночасовые интерактивные виртуальные занятия в классе, которые включают обучение по различным темам, включая кибербезопасность. Включены темы прошедших мероприятий:

• Технический контроль малых фирм: глубокоэшелонированная защита
• Захват учетной записи клиента
• Использование контрольного списка для малых фирм FINRA

Прошедшие события

Конференция FINRA для малых фирм: откровенный разговор о кибербезопасности

Очень важно, чтобы небольшие финансовые компании принимали надлежащие меры кибербезопасности для защиты своих клиентов и фирмы. Присоединяйтесь к сотрудникам FINRA и отраслевым экспертам, которые обсуждают «почему» эффективные методы работы с информацией об угрозах, применимые к небольшим компаниям, и как они могут вписать вопросы кибербезопасности в свой и без того перегруженный график.

Модератор: Дэвид (Дэйв) Келли, член Наблюдательного совета FINRA

Эксперты: Питер Фалько, Центр обмена информацией и анализа финансовых услуг (FS-ISAC), Дженнифер Саро, CRCP ^® , XML Securities, LLC

2021 Виртуальная технологическая конференция FINRA

23 июня 2021 г.
Присоединяйтесь к лидерам FINRA в области кибербезопасности, которые обсуждают текущее состояние кибербезопасности и постоянно меняющийся ландшафт угроз.Обсуждение будет сосредоточено на трех аспектах инициатив FINRA в области кибербезопасности: как FINRA защищает свои собственные системы, уникальные функции безопасности системы Consolidated Audit Trail (CAT) и как FINRA поддерживает программы кибербезопасности фирм-членов.

Конференция по кибербезопасности 2020

14 января 2020 г. • Нью-Йорк, штат Нью-Йорк
Конференция FINRA по кибербезопасности поможет вам оставаться в курсе сегодняшних вызовов кибербезопасности и способов, с помощью которых организации могут понять уязвимости и угрозы и повысить устойчивость к кибератакам.

---

Отчет 2021 г. по программе проверки и мониторинга рисков FINRA

Раздел «Кибербезопасность и управление технологиями» Отчета за 2021 год о деятельности FINRA по мониторингу и проверке рисков (Отчет) информирует программы соответствия фирм-членам, предоставляя ежегодную аналитическую информацию о текущих регуляторных операциях FINRA, включая (1) соответствующие нормативные обязательства и соответствующие соображения, ( 2) результаты экзаменов и эффективные методы и (3) дополнительные ресурсы.

---

Инструменты соответствия

Контрольный список кибербезопасности для малых предприятий
FINRA разработало контрольный перечень для программы кибербезопасности для малых фирм, чтобы помочь малым фирмам в создании программы кибербезопасности.

Справочник поставщиков нормативных требований (CVD)
Стремясь предоставить расширенные инструменты и ресурсы для обеспечения соблюдения нормативных требований, FINRA разработало Справочник поставщиков нормативных требований (CVD). FINRA CVD предназначена для того, чтобы дать фирмам больше возможностей для поиска поставщиков, которые предоставляют предложения, связанные с соблюдением требований, в том числе поставщиков и услуг в области кибербезопасности.

Основные средства контроля кибербезопасности для малых фирм
Основные средства контроля кибербезопасности для малых фирм — это список основных средств контроля, которые могут иметь отношение к программам кибербезопасности многих малых фирм. Этот список был разработан, чтобы помочь небольшим компаниям в создании эффективной программы кибербезопасности.

Отчет об избранных практиках кибербезопасности
Отчет об избранных практиках кибербезопасности — 2018 представляет собой подробный обзор эффективных мер контроля информационной безопасности в компаниях, занимающихся ценными бумагами.Отчет призван помочь брокерам-дилерам, в том числе небольшим фирмам, в дальнейшем развивать свои программы кибербезопасности. В отчете рассматриваются области, которые компании, как правило, считают наиболее сложными: контроль кибербезопасности в филиалах; методы ограничения фишинговых атак; выявление и устранение внутренних угроз; элементы сильной программы тестирования на проникновение; а также создание и поддержание контроля на мобильных устройствах.

Отчет о практике кибербезопасности
В 2014 и 2011 годах FINRA проанализировало практику кибербезопасности компаний, чтобы лучше понять типы угроз кибербезопасности, с которыми сталкиваются компании, и то, как они противостоят этим угрозам.В этом отчете освещаются эффективные практики в отрасли и обсуждается подход к кибербезопасности, основанный на управлении рисками.

Ресурсы, не относящиеся к FINRA
FINRA составило список отраслевых и государственных ресурсов кибербезопасности, которые компании могут использовать для управления своими рисками кибербезопасности.

Кибератака на норвежскую медиа-компанию Amedia заблокировала издание газеты.

Во вторник в норвежской медиа-компании Amedia произошла кибератака, в результате которой было отключено несколько систем.

Amedia, одна из крупнейших медиа-компаний в Норвегии, подверглась «серьезной» кибератаке и была вынуждена отключить свои компьютерные системы.

Компания является полным или частичным владельцем 50 местных и региональных газет с онлайн-газетами и типографиями, а также собственного информационного агентства Avisenes Nyhetsbyrå. Корпорация также владеет и управляет группой типографий под торговой маркой Prime Print в России.

Атака произошла в ночь с 27 на 28 декабря и поражена системами, администрируемыми Amedia Teknologi, ИТ-компанией группы.

В результате атаки были заблокированы печатные машины, и невозможно было напечатать выпуск обычных газет за среду. Кибератака также затронула рекламные системы и системы подписки компании.

«Ночью во вторник, 28 декабря, несколько центральных компьютерных систем Амедии были отключены. Выпуск интернет-газет идет в обычном режиме, но в среду бумажные газеты публиковаться не будут. Это связано с тем, что системы для публикации бумажных газет, рекламы и управления подпиской не работают как обычно.»- говорится в сообщении компании.

Amedia заявляет, что все доступные ресурсы сейчас работают над решением проблем и раскрытием масштабов кибератаки, пока она работает над восстановлением операций. Об этом медиа-компания сообщила местным властям.

В настоящее время неясно, пострадала ли компания от атаки вымогателя или злоумышленники украли личную информацию подписчиков и сотрудников.

Затронутые системы подписки содержали пользовательские данные, включая имена и адреса, номера телефонов, формы подписки и историю, это означает, что разумно предположить, что данные могли быть раскрыты, и в этом случае компания уведомит затронутых лиц.Кибератака не повлияла на финансовую информацию.

«Атакованная система подписки содержит имя, адрес, номер телефона, форму подписки и историю подписчиков.