За последние несколько лет мы неоднократно описывали атаки программ-вымогателей на организации. Мишенью становились больницы, муниципальный транспорт и даже компьютеры государственных учреждений в целом округе. Затем настала эра эпидемий WannaCry, ExPetr и Bad Rabbit. Они распространялись как лесной пожар, грозя множеству компаний по всему миру убытками и помехами в работе.
К счастью, в последние двенадцать месяцев атак такого масштаба не наблюдалось, но это не значит, что преступники одумались и решили вести добропорядочный образ жизни. Во вторник, 19 марта, норвежский промышленный гигант Hydro, один из крупнейших производителей алюминия в мире, объявил, что попал под удар программы-вымогателя. Эта кибератака повлияла на всю компанию.
Атака на Hydro: описание инцидента
Как сообщил представитель Hydro на экстренной пресс-конференции, штатные специалисты по кибербезопасности впервые заметили необычную активность на серверах компании около полуночи. Увидев, что заражение распространяется, они попытались его остановить. Сделать это получилось лишь частично : к тому времени, как были изолированы заводы, зловред уже обосновался в глобальной сети Hydro. Сколько компьютеров подверглось заражению, на конференции не говорилось. Но если учесть, что в компании работает около 35 000 человек, скорее всего, их немало.
Специалисты Hydro работают в режиме 24/7, чтобы устранить последствия инцидента – и уже добились определенного успеха. Принадлежащие Hydro электростанции не пострадали совсем, потому что были изолированы от основной сети, — и это правильный подход к критической инфраструктуре. Однако плавильные заводы изолированы не были, а степень их автоматизации за последние годы значительно выросла. В результате шифровальщик поразил ряд заводов, расположенных в Норвегии. Персоналу Hydro удалось полностью восстановить работу некоторых из них, хотя и в более медленном, полуавтоматическом режиме. И все же, как сообщают представители Hydro, «неспособность подключиться к основным системам вызвала проблемы на производстве и временные остановки на нескольких заводах».
Несмотря на огромный масштаб атаки, работа компании все-таки не была остановлена полностью. Вредоносные программы зашифровали данные на компьютерах с Windows, выведя их из строя, но под удар не попали телефоны и планшеты с другими ОС, так что сотрудники по-прежнему могли общаться между собой и оперативно выполнять первоочередные для компании задачи. Кроме того, атака, по всей видимости, не затронула дорогостоящие компоненты критической инфраструктуры, в том числе электролизные ванны для производства алюминия, каждая из которых стоит около 10 млн евро. Инцидент также не привел к появлению угрозы для жизни — никто из сотрудников не пострадал. Что же касается зашифрованных данных, то в Hydro надеются, что все их можно будет восстановить из резервных копий.
Анализ инцидента: что было сделано правильно, а что нет
Скорее всего, Hydro не скоро сумеет полностью восстановить работу в штатном режиме. Да и расследование инцидента займет очень много времени как у самой компании, так и у норвежских правоохранительных органов. Пока эксперты не пришли к единому мнению о том, какое вредоносное ПО было использовано и кто проводил атаку.
Рассматриваются несколько гипотез. Согласно одной, Hydro была атакована вымогателем LockerGoga, который Bleeping Computer называет «медленным» (наши аналитики согласны с этой оценкой) и «неаккуратным», прибавляя, что он «не делает ни малейших попыток избежать обнаружения». В сообщении с требованием выкупа не сообщалось, какую сумму злоумышленники хотели получить за разблокировку компьютеров, только содержался адрес, по которому с ними можно было связаться.
Хотя анализ происшествия все еще ведется, уже можно говорить о том, что Hydro сделала правильно, а что неправильно до инцидента и во время него.
Правильно:
- Станции энергоснабжения были изолированы от основной сети, поэтому не пострадали.
- Специалисты по безопасности сумели довольно быстро отсоединить от сети плавильные заводы, что позволило тем продолжить работу (хотя часть пришлось перевести в наполовину ручной режим).
- Сотрудники могли нормально взаимодействовать даже после инцидента — значит, коммуникационные системы, скорее всего, были защищены достаточно надежно и инфекция их не затронула.
- У Hydro есть резервные архивы, с помощью которых можно восстановить зашифрованные данные и продолжить работу.
- У Hydro есть киберстраховка, которая должна покрыть хотя бы часть ущерба от инцидента.
Неправильно:
- Скорее всего, сеть не была должным образом сегментирована, в противном случае остановить распространение шифровальщика было бы гораздо проще.
- Установленное Hydro защитное решение не сумело перехватить шифровальщик. Между тем, несмотря на свою сравнительную новизну, LockerGoga хорошо известен, например, системе Kaspersky Endpoint Security for Business под обозначением Trojan-Ransom.Win32.Crypgen.afbf.
- Периметр безопасности можно было дополнить специализированным продуктом по защите от вымогателей, в частности нашей бесплатной утилитой Kaspersky Anti-Ransomware для бизнеса, которую можно установить параллельно с решениями сторонних вендоров. Она вполне способна защитить инфраструктуру от всех видов шифровальщиков и некоторых других зловредов.