Когда произошла атака на Атланту?
22 марта 2018 года власти города Атланта обнаружили, что их операционные системы и службы безопасности стали жертвой атаки программы-вымогателя. Во время утечки данных были также утеряны некоторые документы городской администрации, и многим государственным служащим пришлось создавать бумажные копии документов.
Что произошло?
Перед атакой было обнаружено, что ИТ-инфраструктура Атланты ослаблена, что делает ее более уязвимой для потенциальной кибератаки. В аудиторском отчете от января 2018 года было указано, что:
- Городская система управления информационной безопасностью включала «отсутствующие или устаревшие политики, процедуры и руководящие документы»
- Было обнаружено до 1500–2000 серьезных уязвимостей
- Почти на 100 правительственных серверах было установлено устаревшее программное обеспечение
- Имело место «отсутствие формальных процессов для выявления, оценки и снижения рисков»
Отсутствие надежных протоколов безопасности вкупе с халатностью сотрудников в отношении кибербезопасности создали идеальные условия для кибератаки. 22 марта Департамент управления информацией Атланты был уведомлен о сбоях в работе нескольких внутренних и клиентских приложений, «включая некоторые приложения, которые клиенты используют для оплаты счетов или доступа к судебной информации».
Заразив общедоступные сети Wi-Fi, включая сети Wi-Fi в аэропортах, а также муниципальные системы и сети города, атака программы-вымогателя затронула возможность граждан получать доступ к конфиденциальным или секретным данным, использовать приложения, ориентированные на клиентов, выполнять финансовые операции и оплачивать счета через Интернет. Кроме того, было зашифровано до трети локальных приложений, из-за чего системы, файлы и документы стали недоступными. Чтобы адаптироваться к возникшим сложностям, компаниям пришлось вернуться к рукописным заметкам и записям.
В результате атаки программы-вымогателя, идентифицированной как SamSam, государственным служащим, пытавшимся получить доступ к пораженным системам и сетям, предлагалось заплатить до 50 000 долларов в биткоинах, чтобы получить секретный ключ, с помощью которого можно будет удалить вирус и вернуть доступ к своим приложениям.
Что такое SamSam?
Программа-вымогатель SamSam — это тип вредоносного ПО, который отслеживает сетевую активность для получения дополнительной информации о текущих операциях и оценки потенциальных уязвимостей. В этом она отличается от других известных программ-вымогателей, таких как WannaCry и Petya, которые начинают атаку сразу после проникновения в целевые сети. SamSam позволяет злоумышленнику проникнуть глубоко в сеть, чтобы гарантировать максимальный ущерб и огромные суммы выкупа. Программа также удаляет все существующие резервные копии, которые можно было бы использовать для нейтрализации атаки.
Хакеры могут вручную получить доступ к устаревшим сетевым серверам и системным данным следующими способами:
Проникнув в сеть, хакер может получить полномочия и привилегии администратора, которые позволят ему незаметно внедрить дополнительные вредоносные программы и отключить средства защиты, такие как двухфакторная аутентификация, чтобы избежать обнаружения.
Программа-вымогатель SamSam уникальна в том, что она шифрует данные, файлы и серверы, а также все базовые элементы и приложения, которые могут помочь в перезагрузке оборудования. Это делает восстановление данных крайне трудоемким процессом. Создание файлов и их шифрование уникальными ключами передового стандарта шифрования (AES) и открытыми ключами RSA сделает доступ к файлам невозможным и гарантирует, что для успешной расшифровки придется заплатить выкуп.
Осуществив задуманное, киберпреступник требует выкуп, запрашивая оплату через веб-сайт даркнета с открытым исходным кодом. После оплаты предоставляется криптографический ключ, позволяющий расшифровать сеть.
Как отреагировали городские власти?
Неизвестно, заплатило ли правительство Атланты выкуп, но финансовые последствия атаки программы-вымогателя оказались беспрецедентными. После требования выплаты 50 000 долларов США в биткойнах хакеры удалили страницу, позволяющую произвести платеж, что вынудило город принять чрезвычайные меры для ликвидации последствий.
Каковы были последствия атаки программы-вымогателя на Атланту?
Власти Атланты потратили более 2,6 млн долларов США по контрактам на оказание экстренной помощи, чтобы ликвидировать последствия атаки SamSam и восстановить свои компьютерные системы и сервисы. Кибератака затронула пять из 13 отделов местного самоуправления в течение пяти дней. В счет вошли услуги по реагированию на инциденты от Edelman стоимостью 50 000 долларов США, расходы на персонал в Atlanta Information Management (AIM), экспертиза от частной фирмы Secureworks, а также услуги экспертов государственного сектора из Cisco и Microsoft Cloud по возвращению систем в рабочее состояние.
В период с 22 марта по 2 апреля от атаки программы-вымогателя пострадали системы муниципального суда Атланты, службы коммунальных платежей и парковки, которые были вынуждены вернуться к ручной обработке данных. Сюда также входили системы электронных и личных платежей за базовые услуги, такие как водоснабжение.
Среди важных транспортных объектов, которые остались незатронутыми, оказался международный аэропорт Хартсфилд-Джексон Атланта, в котором по рекомендации ФБР, Секретной службы и Министерства внутренней безопасности отключены общедоступные сети Wi-Fi. В отличие от атаки программ-вымогателей на больницы Великобритании, которая нанесла серьезный удар по критически важным службам, таким как пожарные, полиция и здравоохранение, медицинские службы Атланты напрямую не пострадали.
Через пять дней после атаки городские власти Атланты запустили информационный центр, сообщив сотрудникам и жителям, что они снова могут включить свои компьютеры, но большое количество услуг по-прежнему остается недоступным. Хотя сотрудникам были сразу же доступны некоторые услуги, такие как электронная почта, Oracle и Accela, в числе недоступных оказались доступ к Wi-Fi в аэропорту, онлайн-платежи за воду (заработали только в мае) и онлайн-платежи за компенсацию судебных издержек (заработали только в июне). Однако некоторые услуги или данные остались безвозвратно потеряны, включая ряд юридических документов и полицейских видеофайлов.
После атаки мэр Атланты Киша Лэнс-Боттомс (Keisha Lance Bottoms) и несколько руководителей высшего звена заявили, что данные граждан не были скомпрометированы и что кибербезопасность останется в центре внимания правительственной политики в будущем. Город назначил новым директором по информационным технологиям Гэри Брэнтли (Gary Brantley) в сентябре 2018 года, а в июне следующего года выбрал нового главного операционного директора и директора по подготовке к чрезвычайным ситуациям.
В декабре 2018 года Министерство юстиции США объявило, что большое жюри федерального суда Атланты обвинило двух граждан Ирана в сложной атаке с использованием программы-вымогателя, в результате которой было заражено около 3789 компьютеров, принадлежащих Атланте, включая серверы и рабочие станции. Правительство признало, что атака «значительно нарушила работу Атланты, нанесла ущерб некоторым государственным органам и привела к существенным расходам в ближайшие недели и месяцы. На сегодняшний день атака принесла миллионные убытки.»
Чему можно научиться на примере атаки программы-вымогателя в Атланте?
Атака программы-вымогателя в Атланте не была уникальной: эти атаки продолжают развиваться и становятся все более масштабными и изощренными, поэтому для государственных и частных предприятий крайне важно внедрять надежные процессы кибербезопасности.
В результате снижения эффективности или устаревания защитного программного обеспечения и подходов в сфере ИТ хакеры могут использовать потенциальные уязвимости в корпоративных сетях и шифровать данные и службы до тех пор, пока не будет произведена оплата. Другим примером громкой атаки является инцидент с применением программы-вымогателя в Балтиморе в 2019 году, когда киберпреступники заразили правительственные системы и серверы программой-вымогателем, воспользовавшись недостаточными и устаревшими протоколами кибербезопасности.
Хотя некоторые компании предпочитают заплатить выкуп, нет никакой гарантии, что хакеры предоставят средства для расшифровки, позволяющие восстановить зашифрованные системы и службы. Поскольку программы-вымогатели остаются постоянной угрозой для компаний, крайне важно предотвращать и защищать свою сеть, реализуя эффективный план аварийного восстановления и инвестируя в надежные средства защиты.