Как в США борются с хакерами‑вымогателями

Один пароль ценой в 4 миллиона

Подробности операции, проведенной ФБР в сотрудничестве с оператором Colonial Pipeline, как ожидается, в ближайшее время раскроет Министерство юстиции США.

В настоящий момент известно, что Colonial Pipeline — крупнейшая трубопроводная система в США, поставляющая газ и нефтепродукты с заводов Мексиканского залива на Восточное побережье Америки, стала жертвой кибератаки, организаторы которой получили более 4 млн долларов в BTC.

По мнению старшего вице-президента курирующей кибербезопасность Colonial Pipeline компании  Mandiant Чарльза Кармакала, преступники могли совершить кибератаку на  трубопровод   с помощью одного пароля, выложенного в даркнет.

Предположительно хакеры получили доступ к сетям Colonial Pipeline через личный аккаунт, позволявший сотрудникам удаленно получать доступ к компьютерным сетям компании. Не смотря на то, что к моменту  атаки этот аккаунт сотрудниками уже не использовался, он все еще открывал доступ к сетям.  Пароль к данному аккаунту был слит в даркнет, но кто это сделал и как хакеры сопоставили именно этот пароль с нужным логином, установить не удалось.  Для входа в аккаунт компании хакерам не потребовалось прохождение многофакторной аутентификации.

Произведенная атака вынудила компанию отключить некоторые системы, чтобы сдержать угрозу, которая прервала все операции, связанные с трубопроводом. В результате простоя трубопровода в США повысились оптовые цены на бензин, возникли перебои с топливом на некоторых автозаправках, несколько авиарейсов пришлось посадить для дозаправки. Агентство по окружающей среде США с целью помочь рынку топлива приостановило действие ряда стандартов.

Впоследствии работу трубопровода удалось восстановить, однако компания была вынуждена заплатить хакерам более 4 миллионов долларов выкупа вкриптовалюте.

«Компания стала  жертвой изнурительной кибератаки хакеров-вымогателей и выполнила требование о выкупе в размере 4,4 миллиона долларов, поскольку масштабы вторжения хакеров не были известны и непонятно было, сколько времени потребуется для восстановления работы», – рассказал генеральный директор Colonial Pipeline Джозеф Блаунт в интервью  The Wall Street Journal.

Однако за кулисами компания предприняла первые шаги, чтобы уведомить ФБР, и выполнила инструкции, которые помогли следователям отследить платеж на криптовалютный кошелек, используемый хакерами, предположительно находящимися в России.

Переход на темную сторону силы

Официальные лица США связывают атаку на Colonial Pipeline с преступной хакерской группой, известной как Darkside, которая, как говорят, делится своими вредоносными инструментами с другими преступными хакерами.

Сообщается, что официальные лица США искали любые возможные уязвимости в операционной или личной безопасности хакеров, пытаясь установить виновных. В частности, отслеживались любые зацепки, обусловленные используемым хакерами способом перемещения деньги.

Администрация Байдена сосредоточилась на менее регулируемой архитектуре криптовалютных платежей, которая обеспечивает большую анонимность. Усилия по пресечению растущих и все более разрушительных атак программ-вымогателей наращиваются после двух крупных инцидентов в критически важной инфраструктуре.

Помимо Colonial Pipeline, жертвой кибератаки с предположительно российским следом недавно стала транснациональная компания JBC, специализирующаяся на поставках говядины и свинины. Хакеры-вымогатели взломали IT-системы  крупнейшей в мире мясоперерабатывающей компании и заблокировали их путем шифрования данных. За разблокирование киберпреступники назначили высокий выкуп, точная сумма которого не разглашается.

Больше выкупов – чаще атаки

«Злоупотребление криптовалютой является здесь серьезным фактором, - сказала CNN заместитель советника по национальной безопасности Энн Нойбергер. – Вот так люди получают деньги. Благодаря росту анонимности и криптовалют, распространению сервисов, которые по сути отмывают деньги».

«Отдельные компании испытывают давление, особенно если они не выполнили работу по обеспечению кибербезопасности,  они вынуждены выплатить выкуп и двигаться дальше, - добавила Нойбергер. – Но в долгосрочной перспективе это то, что является движущей силой продолжающихся атак с требованием выкупа. Чем больше людей получают такие выкупы, тем чаще будут повторяться такого рода ситуации и тем значительнее будут выкупы».

Администрация Байдена ясно дала понять, что ей нужна помощь частных компаний, чтобы остановить  волну атак программ-вымогателей, однако стало очевидно, что федеральные агентства умеют отслеживать валюту, используемую для выплат группам вымогателей.

Тем не менее, способность правительства эффективно реагировать на атаки программ-вымогателей сильно зависит от конкретной ситуации, заявили  CNN два источника. Один из них отметил, что помощь в возвращении денег, выплаченных злоумышленникам, безусловно, является областью, в которой правительство США может оказать содействие, но   успех значительно варьируется и во многом зависит от того, есть ли в системе злоумышленников дыры, которые можно выявить и использовать.

В некоторых случаях официальные лица США могут находить операторов программ-вымогателей и управлять их сетью в течение нескольких часов после атаки, пояснил один из источников, отметив, что это позволяет соответствующим агентствам отслеживать коммуникации злоумышленника и потенциально выявлять дополнительных ключевых игроков в группе, ответственной за атаку.

Источники добавили, что когда участники программ-вымогателей уделяют больше внимания своей операционной безопасности, в том числе, осторожнее перемещают деньги, нарушение работы их сетей или отслеживание валюты усложняется.

«Это действительно смешанная картина», - сказали эксперты CNN, имея в виду разную степень изощренности, продемонстрированную группами, участвовавшими в этих атаках.

Один из источников также предостерег от того, чтобы слишком много внимания уделять действиям правительства США, заявив, что уникальные обстоятельства каждого нападения и уровень детализации, необходимый для эффективных действий против этих групп, являются одной из причин, по которым нельзя всегда эффективно противодействовать атакам программ-вымогателей.

«Потребуются усиленная защита, снижение прибыльности программ-вымогателей и целенаправленные действия против злоумышленников, чтобы остановить это», - добавил источник, дав понять, что прерывание и отслеживание платежей в криптовалюте - это только одна часть уравнения.

Это мнение разделяют эксперты по кибербезопасности, которые согласны с тем, что злоумышленники используют криптовалюту для отмывания своих транзакций.

«В эпоху биткойнов отмывание денег - это то, что может сделать любой ботаник. Вам больше не нужен большой аппарат организованной преступности», - говорит Алекс Стамос, бывший начальник службы безопасности Facebook и соучредитель Krebs Stamos Group.

«Единственный способ, которым мы сможем дать отпор этому как всему обществу, - это сделать это незаконным... Я действительно думаю, что мы должны объявить [такие] платежи вне закона, - добавил он. – Это будет действительно сложно. Первые компании, которые пострадают, когда станет незаконным совершать такие платежи, окажутся в очень тяжелом положении. И мы увидим много боли и страданий».