Ransomware

UnitedHealth потвърди, че при ransomware атака срещу нейната дъщерна компания Change Healthcare са били откраднати личните и здравните данни на над 100 милиона души. Това е най-големият пробив в сектора на здравеопазването в историята. 

Откраднатите данни включват здравноосигурителна информация, медицински досиета, диагнози, резултати от тестове, финансова и банкова информация, номера на шофьорски книжки и лични карти и др. 

Атаката през февруари беше извършена от бандата BlackCat ransomware, известна още като ALPHV. Тя използва откраднати идентификационни данни, за да пробие услугата за отдалечен достъп Citrix на компанията. По време на атаката нападателите са откраднаха 6TB данни и криптираха компютрите в мрежата. 

UnitedHealth Group призна, че е платила искания откуп, за да получи ключа за декриптиране. Предполага се, че той е бил в размер на 22 млн. долара. Освен това компанията разкри, че атаката е причинила общи загуби на стойност 872 млн. долара. 

Ако не искате вашата фирма да попадне в ситуацията на UnitedHealth:  

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;  
• проверявайте редовно резервните копия, за да сте сигурни, че работят правилно;  
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;  
• използвайте софтуери за киберсигурност;  
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за автентикация и оторизация;  
• провеждайте постоянно обучения по киберсигурност на служителите си. 

Последен ъпдейт на 25 септември 2024 в 12:39 ч.

Училищатa и университетите са изправени пред нарастващи разходи, свързани с ransomware атаки, от една страна, а от друга – срещат все повече трудности да се възстановят след тях. 

Организациите от образователния сектор плащат най-високата средна стойност след подобни кампании – 6,6 млн. USD, като сумата е сравнима само с откупите, платени от федералното правителство на САЩ.  

Докладът State of Ransomware in Education 2024 на компанията за киберсигурност Sophos установява, че 44% от училищата в 14 държави от различни глобални региони, в това число и Европа, са се сблъскали с искане за откуп в размер на 5 млн. USD или повече. На 32% от висшите учебни заведения са им били искани между 1 и 5 млн. USD, а на 35% – над 5 млн. USD. 

Кампаниите срещу образователни институции са намалели през 2024 г. в сравнение с 2023, но остават повече спрямо 2022. 

В същото време 95% от атакуваните образователни институции са съобщили, че киберпрестъпниците са се опитали да компрометират и резервните копия на данните им, като при 71% тези опити са успешни. 

Въпреки че България не е след изследваните държави, училищата у нас не са застраховани по никакъв начин. За да се предпазят от ransomware атаки, те трябва да: 

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн; 
• сте сигурни, че резервните копия работят правилно, което изисква постоянни проверки; 
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани; 
• използват софтуери за киберсигурност; 
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация; 
• провеждат постоянно обучения по киберсигурност на служителите си. 

По-голямата част от ransomware атаките се извършват между 1 и 5 ч. сутринта, когато е най-вероятно екипите за киберсигурност да бъдат изненадани, според доклада „ThreatDown 2024 State of Ransomware” на компанията за киберсигурност Malwarebytes. 

Други основни заключения в него показват, че: 

• хакерите все по-често използват техники, при които разчитат на вградени инструменти за системно администриране, за да затруднят откриването и предотвратяването на атаките от екипи без Security Operations Center (SOC);
• целият процес на ransomware атаката – от първоначалния достъп до криптирането на данните – се съкращава от седмици до часове. 

Най-засегнатите сектори са услугите и производството, като във втория броят на ransomware атаките се е увеличил със 71% на годишна база. ИТ услугите, строителството, технологиите, логистиката, търговията на дребно, здравеопазването, образованието и търговията на едро допълват топ 10 на най-често атакуваните индустрии. 

Друга лоша новина е, че атаките, извършени от групи извън най-известните 15, също се увеличават – от 25% на 31%. Това подчертава, че те стават достъпни за по-широк кръг киберпрестъпници. 

За да защитите критичните си данни, вашите системи трябва да бъдат наблюдавани 24/7/365. 

Австралийското правителство включи използването на рансъмуер в списъка на криминалните престъпления. Специално наказателно преследване грози хора,  които атакуват критична инфраструктура с криптовируси.

Това е част от националния план за действие при рансъмуер атака, който не одобрява плащането на откуп на киберпрестъпници, с цел да се прекъсне порочен бизнес модел.

Планът въвежда нов задължителен режим за докладване на инциденти с рансъмуер, който ще изисква организации с оборот над 10 млн. AU$ годишно да уведомяват официално правителството, ако претърпят кибератака.

Критичната инфраструктура, която не може да си позволи прекъсвания на работата, е все по-често срещана цел на киберпрестъпници. В края на ноември 2021 г. инцидент с откуп се случи в държавна компания за производство на електроенергия в Куинсланд.

През последните няколко години станахме свидетели на значителен брой инциденти с рансъмуер. От лятото на 2021 г. ще запомним атаките срещу американски петролопровод с национално значение и международна софтуерна компания, които засегнаха доставчици на услуги (MSP) и техните клиенти надолу по веригата.

Да припомним:

Рансъмуер е злонамерен софтуер, предназначен да криптира файлове върху вашите устройства, така че те да станат неизползваеми за системата ви. Традиционно, атакуващите искат паричен откуп в замяна на декриптиране. С течение на времето хакерите подобриха своите тактики, с което заплахите станаха още по-разрушителни. Злонамерените участници все по-често ексфилтрират данните ви и след това заплашват да ги продадат или пуснат безплатно в мрежата ако откупът не бъде платен.

Когато откраднатото включва чувствителна или лична информация или данни за достъп до засегнатите системи, дейността и репутацията на компанията ви може сериозно да пострадат.

Препоръки за предотвратяване на рансъмуер атаки

Каквато и да е организацията ви, съществува риск да станете жертва на инцидент с рансъмуер. Затова и отговорността за защитата на чувствителни и лични данни, съхранявани в системите ви, е ваша – като управляващ бизнеса или като отговарящ за киберсибурността.

Ето какво е добре да направите:

1. Поддържайте офлайн криптирани архиви на данни и редовно ги тествайте.

Архивирането трябва да се извършва редовно. Важно е да поддържате офлайн копия, тъй като много варианти на рансъмуер се опитват да намерят и изтрият или криптират достъпни архиви.

2. Създайте, поддържайте и упражнявайте основен план за реакция при киберинциденти, план за устойчивост и свързан с тях комуникационен план:

• Планът за реакция при киберинциденти трябва да включва процедури за реакция и уведомяване в случай на рансъмуер атака
• Планът за устойчивост трябва да предвижда начин на работа, ако загубите достъп или контрол над критични функции

3. Обърнете особено внимание на уязвимости и неправилни конфигурации на всичките си критични системи. По този начин ще намалите възможността даден актив да бъде атакуван успешно:

• Прилагайте най-добрите практики за използване на протокол за отдалечен достъп (RDP). Атакуващите често получават първоначален достъп до мрежата чрез открити и лошо защитени отдалечени услуги, които дават възможност за разпространение на рансъмуер.
• Одитирайте мрежата за всички критични системи, използващи RDP; затваряйте неизползвани RDP портове; налагайте блокиране на акаунт след определен брой опити; прилагайте многофакторно удостоверяване (MFA); регистрирайте опитите за влизане в RDP
• Провеждайте редовно сканиране на уязвимости, за да ги идентифицирате и отстраните, особено тези на устройства с интернет. Възползвайки се от услуги на външни експертни екипи, за да намалите експозицията си и вероятността да станете жертва на рансъмуер.
• Актуализирайте своевременно софтуера, включително операционните системи, приложенията и фърмуера. Приоритизирайте своевременното закърпване на критични уязвимости и уязвимости на сървъри в интернет, както и софтуерна обработка на интернет данни, като уеб браузъри, приставки за браузъри и четци на документи. Ако бързото закърпване не е осъществимо, приложете съветите, предоставени от доставчика на съответния софтуер, за по-сигурна работа.
• Уверете се, че устройствата ви са правилно конфигурирани и функциите за защита са активирани. Например, деактивирайте портовете и протоколите, които не се използват за бизнес цели.
• Деактивирайте или блокирайте протокола за входящи и изходящи сървърни съобщения (SMB) и премахнете или забранете остарелите му версии.

4. Намалете риска фишинг имейлите да достигнат до крайните потребители

• Активирайте силни филтри за спам
• Прилагайте програма за повишаване на осведомеността и обучение на потребителите в областта на киберсигурността, която включва насоки за това как да се идентифицират и докладват подозрителни дейности (например фишинг) или инциденти

5. Практикувайте добра киберхигиена

• Осигурете си актуален антивирусен софтуер
• Приложете списък с разрешени приложения и забранете всички останали
• Ограничете използването на привилегировани акаунти чрез политики за използване, контрол и управление
• Използвайте MFA за всички услуги, доколкото е възможно, особено за уеб поща, виртуални частни мрежи (VPN) и акаунти, които имат достъп до критични системи

6. Следете каква лична и чувствителна информация се съхранява във вашите системи и кой има достъп до нея

• Ограничете данните, като съхранявате само информация, необходима за бизнес операциите ви. Уверете се, че данните се унищожават правилно, когато вече не са необходими.
• Идентифицирайте компютрите и сървърите, на които се съхранява чувствителна лична информация. Не съхранявайте чувствителни или лични данни в системи или лаптопи, свързани с интернет, освен ако това не е от съществено значение за бизнес операциите ви. Ако лаптопите ви съдържат чувствителни данни, ги шифровайте и обучете служителите си на правилата за физическа сигурност на устройствата.

7. Шифровайте чувствителната информация в покой и при транспортиране

• Внедрете защитни стени от ново поколение за елиминиране на злонамерен или ненужен мрежов трафик
• Обмислете прилагането на сегментиране на мрежата за допълнителна защита на системи, съхраняващи чувствителна или лична информация

8. Уверете се, че вашите планове за реакция при киберинциденти и комуникационни планове включват процедури за реакция и уведомяване за инциденти при нарушаване на данни

В случай че все пак станете жертва на рансъмуер:

• Определете кои системи са засегнати и незабавно ги изолирайте. Ако повече от една система е засегната, веднага изолирайте цялата мрежа на ниво суич. Ако това не е възможно, намерете кабела на мрежата (например Ethernet) и изключете засегнатите устройства или ги премахнете от Wi-Fi, за да ограничите инфекцията.
• Само в краен случай, ако засегнатите устройства не могат да бъдат премахнати от мрежата или мрежата не може да бъде временно спряна, изключете засегнатите устройства, за да избегнете по-нататъшно разпространение на заразата

Забележка: Тази стъпка трябва да се извършва само ако е необходимо, тъй като може да доведе до загуба на артефакти на инфекцията и потенциални доказателства, съхранявани в  паметта

• Ангажирайте вашите вътрешни и външни екипи и заинтересованите страни, като ги информирате как могат да ви помогнат да се възстановите от инцидента
• Сериозно обмислете да поискате помощ от реномиран доставчик на услуги по киберсигурност и реакция при инциденти
• Ако лична информация, съхранявана от името на други фирми, бъде открадната, уведомете тези фирми за нарушението
• Ако инцидента включва лична идентифицираща информация, уведомете засегнатите лица, за да могат те да предприемат стъпки за намаляване на вероятността с тяхната информация да се злоупотреби

Още по темата прочетете ТУК.

В петъчната вечер (13 август 2021 г.) е установена рансъмуер атака срещу вътрешната мрежа на секретариата на Националната хазна, разкри бразилското Министерството на икономиката. Специалистите по сигурността все още разследват степента на сериозност на пробива и последиците от него.

Националната хазна (Tesouro Nacional) е специализиран орган на Министерството на икономиката на Бразилия, който отговаря за администрирането на финансовите ресурси на федералното правителство, както и за управлението и финансирането на държавния дълг на страната. Сред основните задачи на секретариата е да финансира държавния дефицит чрез емитиране на дългови държавни ценни книжа.

Смята се, че атаката по никакъв начин не е засегнала платформата за търговия на Бразилската фондова борса и сделките могат да се извършват нормално.

Това не е първата подобна атака срещу бразилски държавни институции. През април 2021 г. съдебната система в Рио Гранде до Сул беше засегната от рансъмуера REvil.

А по-рано, през ноември 2020 г., бандата RansomEXX атакува Върховния съд на Бразилия, като криптира системите, а уебсайтовете на множество други бразилски федерални правителствени агенции също бяха изключени.

Заключение

Заразяването с криптовирус и последващото възстановяване е неприятно и скъпо „преживяване“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите и минимизиране на негативните последици за дейността и репутацията.

Както многократно сме писали, рансъмуер е вид злонамерен софтуер, който заключва компютъра ви или криптира данните ви, като изисква да платите откуп, за да си възвърнете контрола върху засегнатото устройство или файлове.

За да противодействат на заплахата, Европейският център за киберпрестъпления на Европол, Националното звено за високотехнологична престъпност на холандската полиция и McAfee създават No More Ransom (NMR). Инициативата подпомага жертвите на рансъмуер да извлекат своите криптирани данни, без да се налага да плащат на престъпниците.

NMR отбелязва петата година на проекта, като стартира нов уебсайт. Модерен и лесен за употреба, той предлага актуализирана информация за рансъмуер, както и съвети как да предотвратите зараза.

В момента сайтът предлага 121 безплатни инструмента, способни да дешифрират 151 семейства криптовируси.  Порталът е достъпен на 37 езика и обединява 170 партньори от публичния и частния сектор.

NMR работи в помощ на пострадалите, но създателите му припомнят, че добрата хигиена на работа е първото ниво на защита:

• Редовно архивирайте данните, съхранявани на вашите електронни устройства
• Внимавайте върху какво кликате – винаги проверявайте къде води линкът
• Пазете се от прикачени файлове в имейли
• Поддържайте софтуера за сигурност и операционната ви система актуални
• Ако станете жертва, не плащайте! Подайте сигнал за престъплението и потърсете на No More Ransom за инструменти за декриптиране

Рансъмуер атака срещу международната ИТ компания Kaseya изглежда е засегнала стотици нейни клиенти по веригата за доставки (supply chain attack).

Kaseya призовава всички потребителите на продукта на компанията VSA да го изключат веднага, за да елиминират евентуален хакерски достъп.

Kaseya предлага софтуерни продукти на доставчици на управлявани услуги (MSP) – компании, предоставящи отдалечено ИТ обслужване на по-малки фирми, които не разполагат с вътрешни ресурси. MSP използват облачната платформа на Kaseya VSA за да управляват и изпращат актуализации на софтуера на своите клиенти.

Смята се, че рансъмерът е проникнал във VSA чрез злонамерена актуализация и впоследствие е засегнал не само MSP, които използват платформата, но и техни клиенти. Смята се, че зад атаката стои небезизвестната групировка REvil / Sodinikibi.

Японският мултинационален конгломерат Fujifilm заяви, че е отказал да плати откуп на киберпрестъпниците, криптирали мрежата му в Япония преди седмица. Компанията разчита на резервни копия за възстановяване на дейността си.

На 4 юни 2021 г. рансъмуер атака причини изключването на всички мрежи и сървърни системи.

Fujifilm обяви, че няма риск за мрежата, сървърите и оборудването в региона на EMEA или за клиенти в EMEA.

Експертите по киберсигурност съветват да не се плаща откуп, тъй като няма гаранция, че системите ще бъдат възстановени или че откраднатите данни няма да бъдат продадени.

Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.