Три громкие кибератаки с использованием вирусов-вымогателей

Среди жертв действий хакеров — полицейские и пациенты больниц

Фото: Pexels

В последнее время выросла частота и изощренность кибератак с применением вирусов-вымогателей. Это вредоносные программы, которые полностью или частично блокируют доступ к компьютерной системе и позволяют хакерам требовать выкуп за его восстановление. Тенденция отчасти связана с распространением криптовалют: транзакции с использованием анонимного средства платежа сложно отследить, что затрудняет поимку преступников. Только в 2020 году жертвы выплатили злоумышленникам в криптовалюте $350 млн, что на 311% больше, чем годом ранее. Об этом сообщает отчет американской оперативной группы по борьбе с кибервымогательством Ransomware Task Force. При этом средняя сумма платежа выросла на 171% по сравнению с 2019 годом и составила $312 тыс. В 2021 году тоже было совершено несколько киберпреступлений, которые повлекли за собой серьезные последствия.

Атака на топливопровод Colonial Pipeline

Жертвой одной из последних кибератак стала американская компания Colonial Pipeline, отвечающая за работу одноименного топливопровода. Система труб протяженностью 8,8 тыс. км ежедневно перекачивает 2,5 млн баррелей (341 тыс. т) топлива и других продуктов нефтепереработки из Хьюстона, штат Техас, в Линден, штат Нью-Джерси. Это один из крупнейших в стране трубопроводов, поставляющий на Восточное побережье США почти половину топлива (45%), которое там потребляется. Восьмого мая в Colonial Pipeline сообщили, что вирус-вымогатель заразил компьютерные сети, не связанные с производственными процессами. В компании решили отключить трубопровод в целях предосторожности: существовала вероятность того, что хакеры будут атаковать уязвимые участки инфраструктуры. На востоке страны возникли перебои с поставками топлива, цены на бензин начали расти и впервые с 2014 года достигли показателя в $3 за галлон (4,5 л).

Десятого мая в Федеральном бюро расследований (ФБР) сообщили, что нападение организовали хакеры из группировки DarkSide, якобы российского происхождения. Эти подозрения связаны с тем, что злоумышленники никогда не атакуют системы, работающие на русском языке. Позднее хакеры из DarkSide подтвердили свою причастность к преступлению. Они назвали себя «аполитичной» организацией и подчеркнули, что их цель состоит в «зарабатывании денег, а не в создании проблем для общества». Президент США Джо Байден заявил, что российские власти не имеют отношения к атаке, но они, по его мнению, должны «разобраться с этим». Однако пресс-секретарь президента России Дмитрий Песков отрицает обвинения. «Россия не имела отношения и к имевшим место ранее хакерским атакам, — сказал он. — Мы категорически не приемлем какие-либо обвинения в наш адрес в этой связи». Президент компании — разработчика технологий для кибербезопасности Info Watch Наталья Касперская в свою очередь предполагает, что за кибератакой могут стоять хакеры из Центрального разведывательного управления США (ЦРУ). Эксперт рассказала, что в ЦРУ есть подразделение UMBRAGE, которое имитирует работу хакерских группировок из разных стран, включая Россию, Северную Корею, Китай и Иран. Поэтому, по ее словам, сказать с полной уверенностью, что нападение на Colonial Pipeline совершили взломщики из России, нельзя.

По данным издания Bloomberg, за разблокировку системы компания отправила взломщикам криптовалюту на сумму около $5 млн. С 12 мая работа топливопровода начала восстанавливаться, с 15 мая он работает в штатном режиме. Однако многие заправочные станции продолжали испытывать нехватку бензина: 15 мая топлива не было на 80% заправочных станций в Вашингтоне, на 63% — в Северной Каролине, на более чем 40% — в Джорджии и Южной Каролине и на 38% — в Вирджинии. Об этом сообщила компания GasBuddy, разрабатывающая приложение, которое помогает искать самые дешевые заправки поблизости.

Нападение на полицию в Колумбии

Фото: Unsplash

Этой весной злоумышленники также напали на сервера управления полиции столичного округа Колумбия. В апреле хакеры из группировки Babuk Locker получили несанкционированный доступ к 250 Гб информации на серверах ведомства. Данные включали отчеты о расследованиях, личные дела сотрудников, досье на преступные группировки, административные файлы и фотографии. Хакеры угрожали слить файлы в сеть. А чтобы этого не произошло, они потребовали выкуп в размере $4 млн. В анонимной сети преступники опубликовали предполагаемый разговор с полицией, в котором говорится, что сотрудники управления предложили заплатить $100 тыс. «Полиция также хотела заплатить нам, но сумма оказалась слишком маленькой», — цитирует хакеров издание Forbes. В результате 11 мая хакеры все же опубликовали данные более чем 20 сотрудников полицейского управления. В файлах содержалась такая конфиденциальная информация, как номера социального страхования, даты рождения, результаты психологических обследований, копии водительских прав, отпечатки пальцев, результаты проверки на детекторе лжи, адреса, информация о финансовом и семейном положении. Журналисты связались с двумя пострадавшими полицейскими и выяснили, что те ничего не знали об утечке.

В полицейском управлении не отрицают факта хакерской атаки и подтверждают, что к расследованию привлечено ФБР. По мнению экспертов, злоумышленники располагают настоящими данными. Но есть вероятность того, что они вводят общественность в заблуждение относительно их объемов. «Я никогда не слышал, чтобы данные можно было подделать, — говорит Бретт Кэллоу, сотрудник компании Emsisoft, разрабатывающей антивирусы. — Однако они преувеличивают количество похищенной информации. Организациям требуется время, чтобы понять, что именно было взято, и группировки пытаются использовать этот период неопределенности в своих интересах».

По данным американского разработчика антивирусного обеспечения McAfee, программа-вымогатель Babuk впервые была обнаружена в начале 2021 года. Некоторые СМИ пишут, что хакеры, стоящие за ее разработкой, имеют российское происхождение. Это может объясняться тем, что они размещают рекламу как на русскоязычных, так и на англоязычных форумах в даркнете.

Взлом систем здравоохранения

В начале мая ирландская система здравоохранения дважды пострадала от вирусов-вымогателей. Сначала атаке подверглись информационные системы Министерства здравоохранения, а затем Национальной службы здравоохранения (Health Service Executive, HSE). В частности, HSE была вынуждена временно отключить свои системы для защиты от дальнейших нападений. Семнадцатого мая в ведомстве сообщили об отмене записей на получение амбулаторных и радиологических услуг, а также предупредили, что работа сервисов для получения результатов тестов на коронавирус и отслеживания контактов зараженных может замедлиться. В течение нескольких дней в Ирландии не обновляли статистику по заболеваемости.

Сейчас работа систем постепенно восстанавливается. Как сообщает ирландская телекомпания RTÉ, за обеими атаками стоит группировка Wizard Spider. Она базируется в Санкт-Петербурге и состоит из 80 человек. Для атаки на ирландскую систему здравоохранения хакеры использовали программу-вымогатель Conti. Они потребовали выкуп, размер которого, по некоторым данным, составляет $20 млн. В HSE подтвердили, что злоумышленники требовали денег. Однако, по словам премьер-министра Ирландии Мишеля Мартина, власти не намерены платить хакерам. Расследованием преступления занимается ирландская полиция в сотрудничестве с Национальным центром по кибербезопасности.