Информационная безопасность в 2021: самые громкие взломы и утечки
Уходящий 2021 год запомнится не только продолжающей бушевать пандемией Covid-19, но и рядом беспрецедентных событий кибербезопасности, обрушившихся как на правительственные организации и государственные структуры, так и на частный бизнес и головы простых граждан.
Каждая кибератака на любой объект, будь то крупнейший трубопровод, правительственная база данных, сеть розничных магазинов или небольшая частная клиника, может обернуться серьезными убытками, репутационными потерями и, что самое страшное, человеческими жизнями.
Positive Technologies вспоминает самые громкие случаи уходящего года.
Атака на Colonial Pipeline
В начале мая крупнейший в США трубопровод Colonial Pipeline стал жертвой шифровальщика DarkSide. В результате сеть компании была зашифрована, а преступники стали обладателями большого массива данных. Colonial Pipeline была вынуждена приостановить работу топливопровода. Спустя два дня после атаки власти объявили чрезвычайное положение в 17 штатах и округе Колумбия. Часть АЗС были временно закрыты, а средняя по стране цена галлона бензина поднялась до рекордных значений за последние 7 лет. Из-за нехватки топлива авиакомпания American Airlines была вынуждена изменить некоторые рейсы.
За дешифровщик компания заплатила выкуп в размере $4,4 млн.
Утечка удостоверений личности граждан Аргентины
В середине октября стало известно, что злоумышленник получил доступ к базе данных правительства Аргентины, в которой содержится информация обо всех удостоверениях личности граждан. Данные были выставлены на продажу: в интернете оказались ID-карты всего населения Аргентины, вся украденная база содержит информацию о более 45 млн граждан. В качестве подтверждения злоумышленник предоставлял данные 44 известных личностей, в том числе президента страны и политических деятелей, а также предлагал посмотреть данные любого гражданина Аргентины.
Преступник продавал эти данные, давая возможность реализации других атак, например, мошенничества в отношении пользователей.
Атака REvil на Kaseya
Атака REvil на Kaseya в июле 2021 года затронула более 1500 организаций, которые использовали продукт Kaseya VSA для администрирования своей IT-инфраструктуры. Злоумышленники использовали 0-day уязвимость в продукте компании и атаковали ее клиентов. При этом большинство пользователей Kaseya VSA являлись MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. Таким образом, преступникам удалось заразить шифровальщиком тысячи корпоративных сетей.
В результате атаки пострадали компании по всему миру, ее последствия ощутили на себе и обычные люди. Например, шведская сеть супермаркетов Coop была вынуждена закрыть почти все из 800 розничных магазинов на шесть дней.
Атака на Memorial Health System
Наиболее крупной атакой шифровальщиков на медицинские учреждения в 2021 году можно назвать атаку группировки Hive на Memorial Health System. Злоумышленники вызвали коллапс IT-инфраструктуры трех больниц, сорвали несколько плановых операций, нарушили процесс приема пациентов и похитили 1,5 ТБ персональных данных, включая медицинские сведения о пациентах. Впоследствии группировка получила выкуп в размере 1,8 млн долларов за дешифратор и непубликацию похищенной информации.
Атака на департамент полиции Вашингтона
В полицейском управлении столицы США произошла массовая утечка внутренней информации после атаки программы-вымогателя. Группировка Babuk опубликовала в дарквебе тысячи конфиденциальных документов столичного департамента полиции. Были обнаружены сотни личных дел полицейских, данные об информаторах и разведывательные отчеты, которые включают информацию из других агентств, включая ФБР и Секретную службу.
Утечка информации из полиции считается очень серьезной и опасной из-за последствий, которые она может представлять для офицеров и гражданских лиц, в первую очередь это угроза жизни людей.
Атака на JBS Foods
В июне 2021 года крупнейший в мире поставщик мяса JBS Foods подвергся атаке программы-вымогателя, которая затронула IT-системы в Северной Америке и Австралии. Из-за атаки компании временно пришлось закрыть все мясное производство в США. Несмотря на то, что JBS Foods смогла восстановить большинство систем из резервных копий, руководство приняло решение заплатить злоумышленникам 11 миллионов долларов.
Требование крупнейшего выкупа у Acer
В марте компания Acer, тайваньский производитель электроники и компьютеров, подверглась атаке программы-вымогателя REvil, в ходе которой злоумышленники потребовали одну из самых больших сумм выкупа – 50 миллионов долларов. Была украдена конфиденциальная информация, в том числе финансовые документы, информация о банковских кредитных счетах, а также информация о сотрудниках. На фоне новостей об атаке акции компании временно потеряли в цене 1,64%.
Атака на АЗС в Иране
Осенью иранские власти сообщили о кибератаке на автозаправочные станции страны. Злоумышленники взломали государственную систему, которая связана с АЗС и предоставляет гражданам субсидии на бензин. Атака привела к перебоям в работе около 4000 автозаправок по всей территории страны. По сообщениям иранских государственных телеканалов, на автозаправочных станциях в Тегеране выстраивались очереди автомобилей, при этом сами станции не работали.
Утечка данных Twitch
В октябре американский стриминговый сервис Twitch объявил в своем аккаунте Twitter, что стал жертвой кибератаки. В результате утечки в открытом доступе было опубликовано более 100 Гб данных, в том числе информация о платежах стримерам за 3 года, что вызвало волну обсуждений в сообществе.
Также злоумышленники украли внутренние документы компании, исходный код Twitch, инструменты безопасности и многое другое. Перечисленные данные представляют особую ценность – анализируя исходный код и в том числе механизмы защиты, злоумышленники могут найти неизвестные ранее уязвимости, которые потенциально могут быть использованы для атаки как на стриминговый сервис, так и на его пользователей.
Киберпандемия Log4shell
В декабре 2021 года была опубликована информация об обнаружении уязвимости нулевого дня в популярной библиотеке журналирования Apache Log4j, который приводит к удаленному выполнению кода (RCE). Многие крупные компании уже сообщили, что их решения оказались уязвимы, среди них Cisco, CloudFlare, FedEx, GitHub, IBM, Apple, Amazon, Twitter, разработчик игры Minecraft и другие. Библиотека Log4j используется во многих проектах с открытым исходным кодом, к примеру Elasticsearch и Redis.
Злоумышленники начали эксплуатировать уязвимость сразу после ее публикации. Например, она уже используется для распространения банковского трояна Dridex и ряда шифровальщиков.
***
За всеми этими кажущимися отстраненными страшилками о гигантских утечках, зашифрованных или взломанных на продажу данных, вымогательском ПО и кибершпионаже стоят вполне понятные каждому обывателю словосочетания: нехватка топлива, отмена авиарейсов, приостановка производства и перебои с поставками продовольствия, неработающие АЗС, срыв плановых операций. А ещё десятки миллионов долларов, потерянных частными компаниями по всему миру, и уничтоженные репутации. Такова цена, которую все мы платим за небрежное отношение к информационной безопасности. Которую заплатит каждый, если отношение к важности кибербезопасности в мире не изменится в самое ближайшее время.
Каждая кибератака на любой объект, будь то крупнейший трубопровод, правительственная база данных, сеть розничных магазинов или небольшая частная клиника, может обернуться серьезными убытками, репутационными потерями и, что самое страшное, человеческими жизнями.
Positive Technologies вспоминает самые громкие случаи уходящего года.
Атака на Colonial Pipeline
В начале мая крупнейший в США трубопровод Colonial Pipeline стал жертвой шифровальщика DarkSide. В результате сеть компании была зашифрована, а преступники стали обладателями большого массива данных. Colonial Pipeline была вынуждена приостановить работу топливопровода. Спустя два дня после атаки власти объявили чрезвычайное положение в 17 штатах и округе Колумбия. Часть АЗС были временно закрыты, а средняя по стране цена галлона бензина поднялась до рекордных значений за последние 7 лет. Из-за нехватки топлива авиакомпания American Airlines была вынуждена изменить некоторые рейсы.
За дешифровщик компания заплатила выкуп в размере $4,4 млн.
Утечка удостоверений личности граждан Аргентины
В середине октября стало известно, что злоумышленник получил доступ к базе данных правительства Аргентины, в которой содержится информация обо всех удостоверениях личности граждан. Данные были выставлены на продажу: в интернете оказались ID-карты всего населения Аргентины, вся украденная база содержит информацию о более 45 млн граждан. В качестве подтверждения злоумышленник предоставлял данные 44 известных личностей, в том числе президента страны и политических деятелей, а также предлагал посмотреть данные любого гражданина Аргентины.
Преступник продавал эти данные, давая возможность реализации других атак, например, мошенничества в отношении пользователей.
Атака REvil на Kaseya
Атака REvil на Kaseya в июле 2021 года затронула более 1500 организаций, которые использовали продукт Kaseya VSA для администрирования своей IT-инфраструктуры. Злоумышленники использовали 0-day уязвимость в продукте компании и атаковали ее клиентов. При этом большинство пользователей Kaseya VSA являлись MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. Таким образом, преступникам удалось заразить шифровальщиком тысячи корпоративных сетей.
В результате атаки пострадали компании по всему миру, ее последствия ощутили на себе и обычные люди. Например, шведская сеть супермаркетов Coop была вынуждена закрыть почти все из 800 розничных магазинов на шесть дней.
Атака на Memorial Health System
Наиболее крупной атакой шифровальщиков на медицинские учреждения в 2021 году можно назвать атаку группировки Hive на Memorial Health System. Злоумышленники вызвали коллапс IT-инфраструктуры трех больниц, сорвали несколько плановых операций, нарушили процесс приема пациентов и похитили 1,5 ТБ персональных данных, включая медицинские сведения о пациентах. Впоследствии группировка получила выкуп в размере 1,8 млн долларов за дешифратор и непубликацию похищенной информации.
Атака на департамент полиции Вашингтона
В полицейском управлении столицы США произошла массовая утечка внутренней информации после атаки программы-вымогателя. Группировка Babuk опубликовала в дарквебе тысячи конфиденциальных документов столичного департамента полиции. Были обнаружены сотни личных дел полицейских, данные об информаторах и разведывательные отчеты, которые включают информацию из других агентств, включая ФБР и Секретную службу.
Утечка информации из полиции считается очень серьезной и опасной из-за последствий, которые она может представлять для офицеров и гражданских лиц, в первую очередь это угроза жизни людей.
Атака на JBS Foods
В июне 2021 года крупнейший в мире поставщик мяса JBS Foods подвергся атаке программы-вымогателя, которая затронула IT-системы в Северной Америке и Австралии. Из-за атаки компании временно пришлось закрыть все мясное производство в США. Несмотря на то, что JBS Foods смогла восстановить большинство систем из резервных копий, руководство приняло решение заплатить злоумышленникам 11 миллионов долларов.
Требование крупнейшего выкупа у Acer
В марте компания Acer, тайваньский производитель электроники и компьютеров, подверглась атаке программы-вымогателя REvil, в ходе которой злоумышленники потребовали одну из самых больших сумм выкупа – 50 миллионов долларов. Была украдена конфиденциальная информация, в том числе финансовые документы, информация о банковских кредитных счетах, а также информация о сотрудниках. На фоне новостей об атаке акции компании временно потеряли в цене 1,64%.
Атака на АЗС в Иране
Осенью иранские власти сообщили о кибератаке на автозаправочные станции страны. Злоумышленники взломали государственную систему, которая связана с АЗС и предоставляет гражданам субсидии на бензин. Атака привела к перебоям в работе около 4000 автозаправок по всей территории страны. По сообщениям иранских государственных телеканалов, на автозаправочных станциях в Тегеране выстраивались очереди автомобилей, при этом сами станции не работали.
Утечка данных Twitch
В октябре американский стриминговый сервис Twitch объявил в своем аккаунте Twitter, что стал жертвой кибератаки. В результате утечки в открытом доступе было опубликовано более 100 Гб данных, в том числе информация о платежах стримерам за 3 года, что вызвало волну обсуждений в сообществе.
Также злоумышленники украли внутренние документы компании, исходный код Twitch, инструменты безопасности и многое другое. Перечисленные данные представляют особую ценность – анализируя исходный код и в том числе механизмы защиты, злоумышленники могут найти неизвестные ранее уязвимости, которые потенциально могут быть использованы для атаки как на стриминговый сервис, так и на его пользователей.
Киберпандемия Log4shell
В декабре 2021 года была опубликована информация об обнаружении уязвимости нулевого дня в популярной библиотеке журналирования Apache Log4j, который приводит к удаленному выполнению кода (RCE). Многие крупные компании уже сообщили, что их решения оказались уязвимы, среди них Cisco, CloudFlare, FedEx, GitHub, IBM, Apple, Amazon, Twitter, разработчик игры Minecraft и другие. Библиотека Log4j используется во многих проектах с открытым исходным кодом, к примеру Elasticsearch и Redis.
Злоумышленники начали эксплуатировать уязвимость сразу после ее публикации. Например, она уже используется для распространения банковского трояна Dridex и ряда шифровальщиков.
***
За всеми этими кажущимися отстраненными страшилками о гигантских утечках, зашифрованных или взломанных на продажу данных, вымогательском ПО и кибершпионаже стоят вполне понятные каждому обывателю словосочетания: нехватка топлива, отмена авиарейсов, приостановка производства и перебои с поставками продовольствия, неработающие АЗС, срыв плановых операций. А ещё десятки миллионов долларов, потерянных частными компаниями по всему миру, и уничтоженные репутации. Такова цена, которую все мы платим за небрежное отношение к информационной безопасности. Которую заплатит каждый, если отношение к важности кибербезопасности в мире не изменится в самое ближайшее время.