Журнал "КО", 25/08/21
С каждым годом число кибератак на бизнес растет. Только в первом квартале 2021 г. их количество увеличилось на 17% по сравнению с тем же периодом прошлого года, отмечали аналитики Positive Technologies. По их словам, заметно растут и аппетиты взломщиков, которые требуют все большие суммы за украденные данные. Журнал "Компания" составил рейтинг десяти крупнейших выкупов, которые когда-либо бизнес платил хакерам.
1. CNA Financial – 40 млн долларов
Одна из самых крупных страховых американских страховых компаний, CNA Financial, была вынуждена заплатить 40 млн долларов за восстановление доступа к своим системам после кибератаки. Это произошло в мае 2021 г.
Источники Bloomberg сообщали, что хакеры успели похитить конфиденциальные данные, однако неизвестно, какая именно информация была украдена. В компании заверили, что системы регистрации, урегулирования претензий и системы андеррайтинга, в которых хранится большая часть данных страховщиков, не пострадали.
При этом CNA Financial отказалась комментировать процесс выкупа. Опрошенные агентством эксперты считают, что хакеры для взлома использовали вирус Phoenix Locker, разработанного российской хакерской группировкой Evil Corp. По словам экспертов, это самый крупных выкуп из известных на сегодняшний день.
2. JBS – 11 млн долларов
Кибератака на серверы заводов крупнейшей в мире мясоперерабатывающей компании JBS произошла 30 мая. Это привело к приостановке работы ее предприятий в Канаде, Австралии и США.
Каким образом и когда был выплачен выкуп неизвестно. На момент оплаты большая часть предприятий JBS вернулась к работе. Гендиректор JBS USA Андре Ногейра отметил, что выплата была "очень трудным решением для компании" и для него лично. "[Решение] должно быть принято для предотвращения любого потенциального риска для наших клиентов", – объяснил он. Кибератака грозила разорвать цепочки поставок продуктов питания и привести к росту и без того высоких цен на них, писал BBC.
Компания поддерживала связь с властями США и ФБР в ходе всего инцидента. Если в Бюро вымогателей назвали "одной из самых изощренных киберпреступных группировок в мире", то в заявлении Белого дома было больше конкретики – власти подозревают в атаке хакеров из России. СМИ не исключали, что речь шла о группировке REvil, также известная как Sodinokibi.
3. Garmin – 10 млн долларов
В конце июля прошлого года владельцы умных часов Garmin начали жаловаться на сбой – у них не получалось синхронизировать свои данные через мобильное приложение. В компании объясняли это побочным эффектом техобслуживания серверов, однако позже Garmin все-таки признала сбой.
Тогда же некоторые СМИ уже начали подозревать след хакеров в этой истории. В начале августа источники изданий заявили, что хакеры группировки Evil Corp взломали серверы Garmin и с помощью вируса-вымогателя WastedLocker требовали выкуп в 10 млн долларов.
Посредником в переговорах между хакерами и Garmin выступила компания Arete IR. Ее специальность заключается именно в переговорах с вымогателями. По данным Arete IR, связи между вымогателем WastedLocker и хакерами из Evil Corp нет, однако другие данные компания не раскрыла. Garmin и Arete IR отказываются от детальных комментариев из-за соблюдения конфиденциальности в рамках договоренностей.
4. CWT Global – 4,5 млн долларов
Практически сразу за атакой на Garmin произошла атака на Carlson Wagonlit Travel (CWT) – компанию управления деловыми путешествиями. Хакеры из Ragnar Locker потребовали от компании 4,5 млн долларов в биткоинах. Сначала ими называлась сумма в 10 млн долларов, но после того, как представитель CWT рассказал о финансовых потерях во время пандемии коронавируса, хакеры снизили сумму выкупа.
Журналист Джек Стаббс предоставил скриншоты переписки между представителем CWT и хакерами. В чате хакеры даже предложили "бонус" – совет, как CWT может улучшить свои меры безопасности, если они решат заплатить. Среди рекомендаций – ежемесячное обновление паролей, постоянная работа как минимум трех системных администраторов и проверка привилегий пользователей. После того, как CWT произвел оплату, хакеры завершили разговор словами: "Приятно работать с профессионалами".
5. Colonial Pipeline – 4,4 млн долларов
Возможные последствия кибератаки на один из крупнейших трубопроводных операторов США обсуждали все мировые СМИ. Атака произошла 6 мая, а уже на следующий день Colonial Pipeline приостановила работу трубопровода. Поставки горючего на автозаправки в нескольких крупных штатов на Восточном побережье оказались под угрозой. Оператор обеспечивает 45% топливных поставок на востоке США, а кибератака могла привести к резкому росту цен на бензин в Соединенных Штатах до самого высокого с 2014 г. уровня, предупреждал Bloomberg.
Хакерам удалось похитить большой объем данных Colonial Pipeline и заблокировать сети компании. Они пригрозили слить внутренние данные компании и оставить все системы заблокированными, если оператор не заплатит выкуп в 75 биткоинов (около 4,4 млн долларов) в обмен на ключи дешифрования.
Изначально компания отказалась выплачивать требуемую сумму, но вскоре пошла на уступки. СМИ и ФБР заявляли, что за кибератакой стояла хакерская группа DarkSide. 8 июня замгенерального прокурора США Лиза Монако заявила, что Минюст нашел и вернул большую часть выкупа. Властям удалось изъять 63,7 биткоина (около 2,3 млн долларов).
6. FatFace – 2 млн долларов
В марте этого года британский ритейлер одежды и аксессуаров FatFace разослал своим покупателям электронные письма. В них ритейлер рассказал о хакерской атаке и попросил "сохранить конфиденциальность".
Во время кибератаки были похищены имена и фамилии клиентов, адреса их электронных почт, а также некоторые данные о платежных картах – последние четыре цифры номера карты клиента и срок ее действия. Никаких подробностей о самой кибератаке FatFace не привел.
Однако по информации Computer Weekly, за взломом и хищением 200 ГБ данных стояла группировка Conti, требовавшая выкуп в размере 8 млн долларов. Переговорщик от ритейлера пожаловался хакерам, что после закрытия магазинов в связи с пандемией FatFace получал только 25% от своей обычной выручки за счет онлайн-магазина, а выплата 8 млн долларов будет означать "крах бизнеса". На это киберпреступники указали, что страховой полис ритейлера покрывает вымогательство как страховой случай на более 10,6 млн долларов. Но в конечном итоге стороны сошлись на более щадящей выплате в 2 млн долларов.
7. Калифорнийский университет – 1,14 млн долларов
Одной из жертв хакеров стал крупный университет. Так, в начале июня 2020 г. взломщики заразили вирусом-вымогателем важные исследования Калифорнийский университета в Сан-Франциско. В обмен на криптовалюту хакеры предоставили дешифровщик.
В университете рассказали, что для остановки вредоносного программного обеспечения смогли только выключить компьютеры от сети. После они решили вступить в диалог с хакерами. Сотрудники перешли по ссылке, оставленной в сообщениях на заблокированных компьютерах, и оказались в "даркнете", где и связались со взломщиками. Сотрудники университета пытались снизить сумму до 780 тыс. долларов. Но хакеров это не устроило, они заявили, что "не работают бесплатно". Виртуальные торги продолжались еще два дня.
В итоге стороны договорились о сумме в 116 биткоинов. Университет назвал выплату "трудным решением".
8. Nayana – 1 млн долларов
Более 3,4 тыс. сайтов компаний перестали работать после атаки на южнокорейскую хостинговую компанию Nayana в июне 2017 г.. Хакеры заразили вирусом-шифровальщиком Erebus 153 Linux-сервера. При этом у компании были сохранены резервные копии серверов, но и они оказались зашифрованы при атаке.
Глава Nayana Хван Чилхон позже сообщил, что после переговоров с хакерами компания начала "готовить деньги на покупку биткоинов" для оплаты выкупа и восстановления работы зашифрованных серверов. В компании утверждают, что другого выхода у нее не было, поскольку иначе под удар были бы поставлены сотни тысяч людей, работающих с клиентами компании.
9. Sapiens International – 250 тыс. долларов
Атака на серверы израильской корпорации Sapiens International произошла в марте-апреле 2020 г. Хакеры заразили серверы вирусами-вымогателями и потребовали выкуп в биткоинах.
В день атаки корпорация переводила своих сотрудников на удаленку, из-за ситуации с коронавирусом в стране. В этот момент хакеры могли воспользоваться уязвимостью системы, которая вскрылась при подключении удаленного доступа.
Компания не комментировала произошедшее. Данных о том, кто стоял за хакерской атакой на данный момент нет.
10. Uber – 100 тыс. долларов
Не все компании готовы открыто признавать свои выплаты мошенникам, некоторые пытаются урегулировать все в максимально закрытом режиме. Так решил поступить бывший начальник службы безопасности Uber Джозеф Салливан. Он скрыл взлом, в результате которого произошла утечка данных 57 млн водителей и пользователей сервиса.
Сама атака произошла в октябре 2016 г. Хакеры получили доступ к именам, адресам электронной почты и номерам телефонов пассажиров и водителей. Компания не стала говорить об этом властям, вместо этого Салливан заплатил хакерам 100 тыс. долларов в биткоинах и попросил не разглашать данные.
Об инциденте стало известно только через год – после увольнения начальника службы безопасности и смены главы Uber. Салливан, а позже и сами хакеры, были арестованы. Все они признали вину, причем Салливан отметил, что действовал с одобрения юридического отдела Uber и обвинения против него не обоснованы. Дальнейшей информации по делу Салливана не поступало.
Источник Журнал "КО"
