бизнес

Garmin-апокалипсис с русским следом

Квартальные финансовые итоги Garmin вновь удивляют аналитиков. Прибыль на акцию превзошла консенсус-прогноз более чем на 8 % и достигла 0,91 доллара. Биржевая лихорадка, вызванная пандемией, не сильно повлияла на капитализацию и прибыльность производителя навигационного оборудования. Не обрушит ли стоимость акций кибератака, которая парализовала системы и приложения Garmin? На негативном новостном фоне индексы забегали вверх-вниз.

24 июля компания подверглась нападению хакеров. Они требовали 10 млн долларов за «лекарство» от вируса. Виновными бизнес объявил московскую группировку Evil Corp., которую считают ответственной за нападения и на другие компании. За «голову» руководителя хакерской банды госдепартаментом США назначено рекордное вознаграждение в 5 млн долларов.

Американские СМИ подозревают, что Garmin решилась удовлетворить требования цифровых вымогателей, так как ресурсы постепенно возвращают работоспособность. Иностранные издания поспешили назвать историю беспрецедентной. Впрочем, отечественные эксперты по кибербезопасности уверены, что не так страшен вирус WastedLocker, как его малюют, и предостерегают от превращения кейса в политическую историю.

Атака на бегунов

24 июля в очередной раз был развеян миф, что кибератакам подвергаются только беспечные граждане, «раскидывающие» свои данные как попало. Уж в таких компаниях, как Garmin, все должно было быть за семью замками.

Однако вирус-вымогатель без труда преодолел все рубежи обороны. В результате сначала встали сборочные цеха компании на Тайване: роботизированные производства были заражены вредоносным ПО, потому «прилег» корпоративный сайт.

Дальше возникли проблемы с работой навигационного оборудования Garmin, используемого в яхтинге и малой авиации. И наконец, фитнес-трекеры фирмы, горячо любимые бегунами и велосипедистами, перестали передавать информацию о тренировках спортсменов в Garmin Connect. Это вызвало наибольшее волнение в соцсетях, хотя не мешало тренироваться, но лишало мотивации: не было лайков от «коллег», а также не позволяло  ранжировать бегунов, участвующих в онлайн-забегах.

Компания пыталась замолчать проблему: для успокоения публики выпустили лишь два твита за три дня, чем еще больше возбудили общественность.

А через три дня последовало заявление, что за полномасштабным сбоем стоят хакеры из Evil Corp. При этом в компании уверяли, что пользовательские данные — личная информация, сведения об активности и состоянии здоровья, а также платежные сервисы — не пострадали.

По данным СМИ, «Корпорация зла» базируется в Москве, а возглавляет ее 33-летний Максим Якубец, по работе и лично связанный с ФСБ.

В декабре группировка была осуждена за кражу более 100 млн долларов с помощью вредоносной программы Dridex. Тогда атаке подверглись банки более чем в 40 странах мира. В конце 2019 года ФБР назначило награду в 5 млн долларов за информацию, которая позволит задержать Максима Якубца. Это самое крупное вознаграждение, связанное с киберпреступностью.

В июне стало известно, что Evil Corp. запустила новую волну атак вымогателей, затронувшую более 30 американских компаний, в том числе восемь из списка Fortune 500.

От Garmin киберпреступники требовали 10 млн долларов за отключение вируса-вымогателя WastedLocker. Пикантности ситуации добавляет то, что Evil Corp. давно под пристальным вниманием правоохранительных органов США и любые сделки с ними попадают под санкции. Однако то, что ресурсы компании стали постепенно выздоравливать, позволяет предполагать, что «лекарство» все-таки купили. На четвертые сутки атаки некоторые функции всё еще работали с «ограниченной» производительностью или с задержками.

Цена взлома

В компании признают, что ущерб значительный: финансовые потери будут сочетаться с репутационными.

«С последствиями атакованные компании могут разбираться долго, так как бизнес-процессы сыпятся как домино, — отмечает начальник отдела информационной безопасности SearchInform Алексей Дрозд. — Но даже при минимальном ущербе для бизнеса, когда компании нужно просто восстановить данные из бекапа, это отнимает у нее много времени. Мало просто поднять резервную копию, нужно развернуть ее «по-новому», сделав выводы по результатам прошедшей атаки. Судя по всему, это и происходит с Garmin, сервисы которого оказались недоступны на несколько дней».

По словам Алексея Дрозда, пока атака на компанию не выглядит беспрецедентной. Хакеры и ранее создавали проблемы компаниям. В качестве примеров Алексей Дрозд приводит норвежскую нефтегазовую и металлургическую компанию Norsk Hydro, которая в результате атаки "потеряла связь" с банками и не могла осуществлять платежи; австралийскую пивоваренную компанию Lion, сорвавшую из-за хакеров сроки отгрузки продукции. Суммы ущерба в некоторых случаях превышали 50 млн $.

Участившиеся успешные атаки вымогателей наглядно демонстрируют абсолютную неготовность многих организаций к противостоянию кибератакам, даже несмотря на то, что зачастую злоумышленниками используются довольно типовые тактики, техники и процедуры.

Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB, описывает сценарий атаки.

Обычно первоначальный доступ в сетевую инфраструктуру целевой организации осуществляется с использованием фреймворка SocGholish: жертве демонстрируется веб-страница с предложением обновить браузер, при этом под видом обновления пользователем загружается вредоносный скрипт. Для последующей компрометации используется Cobalt Strike — популярный инструмент для проведения тестов на проникновение, который последние годы все активнее используется киберпреступниками. Атакующие стараются внимательно относиться к атакуемым системам и в первую очередь шифруют наиболее критичные из них, предварительно избавившись от доступных резервных копий.

Будет ли компания атакована — лишь вопрос времени. Об этом говорит Ладислав Зезула, старший специалист по исследованию вредоносного ПО Avast. Злоумышленники могут сканировать корпоративные сети на наличие открытых портов и, если они найдут их, могут начать атаку –— сканировать легкоугадываемые пароли или уязвимости служб.

Эксперты уверены, что полностью защититься от хакеров невозможно, но можно максимально усложнить процесс взлома и заражения, чтобы сделать атаку дорогой и неоправданной с точки зрения приложенных усилий.

«Тестирование на проникновение — это отличный способ для компаний увидеть, в чем заключаются их слабые стороны и что хакеры могут использовать в автономном режиме. Тестирование на проникновение следует проводить несколько раз в год, поскольку хакеры всегда ищут и находят новые способы проникновения в бизнес», — утверждает Ладислав Зезула.

Среди киберпреступников есть группировки со специализацией, атакующие только какие-то категории организаций (например, банки или фармкомпании). Но чаще всего мошенники, атакующие бизнесы, исходят из принципа коммерческой выгоды. Поэтому целью кибермошенников может быть кто угодно. C вымогателями сталкиваются и крупные, и мелкие бизнесы. В основном взламывают либо тех, у кого есть деньги, либо тех, кого легко взломать.

Директор по производству «Ланит-Терком» Вадим Сабашный считает, что информационный резонанс характеризует историю как «очередной подход американских СМИ к преувеличению агрессивности российских хакеров в рамках предвыборной гонки в США». Он полагает, что причастность московской группировки к кибератаке на Garmin сложно объяснить. По его словам, обычно такими вещами занимаются конкуренты, а не абстрактные хакеры.

«Хотя "чужая душа — потемки", и всегда есть риск какого-то временного душевного неспокойствия отдельного технического специалиста, которое может привести к потребности взлома сайта», — добавляет Вадим Сабашный.