Пока весь мир ждал результатов церемонии награждения «Оскар» (ну ладно, я ждала, получит ли статуэтку Юра Борисов), оставалось лишь задаваться вопросом: что мешает нам провести свою премию?

Да ничего, поэтому сегодня чествуем тех, кто оставил свой след в истории кибербезопасности, но не совсем так, как хотелось бы. Эти люди и группировки оказались в центре внимания, потому что получили несанкционированный доступ к чужим данным.

В 2024 году номинанты поразили своими достижениями, оставив без защиты базы данных крупнейших компаний мира. От утечек личной информации миллионов пользователей до масштабных атак на государственные структуры – каждый случай уникален по масштабу и последствиям.

Это объемная статья, поэтому вот краткое содержание по номинациям

Отрасль здравоохранения: кому вакцину от беспечности?

Сфера здравоохранения — желанная цель для злоумышленников, во многом из-за того, что медицинские данные являются настолько деликатной и ценной информацией, что компании готовы платить многомиллионные выкупы, лишь бы не столкнуться с юридическими последствиями кражи данных. Кроме того, атаки на сферу здравоохранения опасны в буквальном смысле — из-за них пациенты рискуют не получить своевременную медицинскую помощь.

И в категории «самая резонансная атака в сфере здравоохранения» с большим отрывом побеждает инцидент с безопасностью Change Healthcare.

22 февраля 2024 года стало известно об атаке на Change Healthcare — технологическую компанию в сфере здравоохранения США. По официальным сведениям была похищена медицинская и личная информация 100 млн человек. Атака привела к остановке работы платформы по обмену данными между страховыми и медицинскими компаниями, что осложнило пациентам доступ к полному спектру медуслуг.

Ответственность за вирус-вымогатель на себя взяла кибергруппировка, известная как Blackcat и Alphv. Эндрю Витти, СЕО UnitedHealth — материнской компании Change Healthcare — сообщил, что утечка затронула «возможно, треть всех американцев». По сообщениям, хакеры получили от UnitedHealth выкуп в размере 22$ млн за украденные данные.

Шокирующим поворотом сюжета, который и приносит атаке на Change Healthcare победу в этой категории, стала информация о причине утечки: атака произошла из-за того, что UnitedHealth не использовала многофакторную аутентификацию — отраслевой стандарт защиты критически важных активов.

Небрежность в виде устаревшего протокола безопасности стоила UnitedHealth $872 млн (на I квартал 2024 г.), потраченных на устранение последствий атаки, а всего убытки составили более $6 млрд, которые включают в себя авансовое финансирование и беспроцентные займы для поддержки медицинских учреждений, пострадавших от утечки.

Honorable mentions. Конкурентами Change Healthcare в этой номинации были:

Octapharma Plasma, «дочерняя» компания швейцарского фармацевтического гиганта Octapharma AG.

Специализация компании — сбор человеческой плазмы для производства лекарственных препаратов, использующихся для лечения серьезных заболеваний крови и иммунных нарушений.

17 апреля 2024 года на сайте компании появился баннер, оповещающий о приостановке деятельности более 150 американских центров по сдаче плазмы. Источник, близкий к компании, заявил, что это произошло из-за обнаружения несанкционированной сетевой активности, характерной для кибератаки, предположительно с использованием программы-вымогателя BlackSuit

Вредонос BlackSuit использует тактику двойного вымогательства: 

  • крадет конфиденциальные файлы ⇒ 

  • шифрует данные в скомпрометированных сетях ⇒

  • требует выкуп.

Деплой вируса-вымогателя удался благодаря тому, что хакеры использовали системы VMware для проникновения в OctaPharma. Источник также указал, что вынужденный простой донорских центров в США негативно повлияет на европейские заводы компании, поскольку порядка 75% плазмы, которую они используют, имеет американское происхождение, и подчеркнул, что случившееся – результат халатного отношения руководства компании к вопросам безопасности.

Интересно, что согласно аналитике Министерства здравоохранения и социальных служб США, BlackSuit агрессивно атакует именно организации здравоохранения и социального обеспечения.

Больница Симоны Вейль в Каннах (CHC-SV)

Крупная больница в городе Канны во Франции в апреле 2024 года подверглась атаке, которая вынудила персонал вернуться к ручкам и блокнотам вместо компьютеров и цифровых баз данных и парализовала работу медучреждения, лишив пациентов доступа ко многим врачебным манипуляциям, для которых необходимо специализированное ПО.

Яркий пример — отмена порядка 30% плановых хирургических операций, в результате которой пришлось направлять пациентов в другие лечебные учреждения и переносить консультации.

Такие действия были вызваны протоколом безопасности самой больницы, сотрудникам пришлось отключить все компьютеры из-за кибератаки, оставив для связи только телефонные системы.

Хакерская группировка LockBit 3.0 организовала атаку при помощи своей программы-вымогателя и потребовала заплатить выкуп, угрожая в противном случае опубликовать украденные данные. Больница Симоны Вейль отказалась платить злоумышленникам. В ответ LockBit 3.0 опубликовали 61 ГБ внутренних данных на своем сайте в даркнете.

По оценкам экспертов, украденная информация больше похожа на содержимое жёсткого диска, чем на файлы с больничного сервера, так как содержат лишь внутренние заметки и листы ожидания на получение лекарств, дополненные некоторыми личными данными пациентов.

Этому городу нужен кибергерой: когда цифровое правительство становится аналоговым

Атаки, направленные на госструктуры и околоправительственные организации, преследуют многие цели — саботаж, удар по репутации, удорожание и замедление работы электронного правительства, финансовая выгода, хактивизм. 

Среди множества прошлогодних кибератак в госсекторе выделяется атака на Национальный центр обработки данных (PDNS) 2 в Индонезии, которая и побеждает в номинации «самая выдающаяся атака на госструктуру».

20 июня 2024 года стало известно о перебоях в работе индонезийского Национального центра обработки данных. Четырьмя днями позже глава Национального агентства по кибербезопасности и шифрованию (BSN) Хинса Сибуриан признал, что Центр был взломан.

Атака вызвала неполадки в работе более 230 учреждений, в том числе иммиграционной службы и крупных аэропортов. 

В июле в сети всплыл документ со списком юзернеймов и паролей для доступа к облачному хранилищу взломанного Национального центра обработки данных. Впечатляет тот факт, что администратор Центра использовал пароль «Admin#1234». Разумеется, такой ключ безопасности сделал систему уязвимой к нападению.

В этом инциденте была использована уже упоминавшаяся выше программа-вымогатель LockBit 3.0, точнее, ее новый вариант под названием Brain Cipher.

Индонезийские власти отказались платить выкуп в размере $8 млн, который хакеры требовали за восстановление зашифрованной информации. Группировка позже внезапно принесла извинения за инцидент и добровольно предоставила ключ для расшифровки данных.

К последствиям атаки, помимо нарушения работы правительственных организаций, можно отнести и отставку Семуэля Абрияни Пангерапана, генерального директора по приложениям и информации в Министерстве связи и информационных технологий Индонезии. Это первый случай, когда госслужащий подал в отставку из-за кибератаки.

Honorable mentions. В этой номинации за победу также боролись:

Инцидент с национальным авиаперевозчиком Японии — Japan Airlines — который произошел 26 декабря 2024 года.

Авиакомпания заявила, что в сетевом оборудовании, соединяющем внутренние и внешние системы, произошел сбой, что привело к задержке внутренних и международных рейсов более чем на 30 минут. Ситуация крайне нетипичная и болезненная для пунктуальной Японии.

Проблема возникла из-за DoS-aтаки, при этом утечки данных клиентов или заражения вредоносным ПО не произошло, безопасность рейсов также не пострадала. Japan Airlines временно отключила сетевой маршрутизатор, который был признан причиной сбоя.

Местные СМИ сообщили, что нарушения в работе коснулись систем покупки билетов и обработки багажа, средств внешней связи, приложения авиакомпании.

Несмотря на то, что устранить сбой и восстановить штатную работу всех сервисов удалось довольно быстро, инцидент усилил обеспокоенность общественности по поводу уязвимостей в авиационных ИТ-системах.

Три атаки за один месяц на муниципальные власти округов США произошли в апреле 2024 года.

2 апреля власти округа Джексон, второго по численности населения в штате Миссури, объявили, что из-за кибератаки произошел сбой в работе цифровой инфраструктуры округа, которая возобновилась только через 2 недели. Инцидент привел к задержке сделок с недвижимостью в округе и повлиял на налоговые платежи, выдачу разрешений на брак и, как ни странно, на обыски у заключенных.

Ответственность за произошедшее взяла на себя кибергруппировка BlackSuit, которая заявила, что украла паспортные данные сотрудников, сведения о семьях и медицинские записи, финансовую информацию (аудиторские проверки, отчеты, платежи и контракты), и другие данные из общих и личных папок. 

BlackSuit также потребовала выкуп в обмен на то, что данные не будут проданы или обнародованы, однако представители округа Джексон не подтвердили утечку.

Следом об атаке на свою систему 4 апреля объявили власти округа Эрнандо, Флорида. В результате инцидента с программой-вымогателем муниципалитету пришлось на несколько недель отключить некоторые веб-сайты. 

Цифровое правительство на время превратилось в аналоговое, а работа муниципальных служащих была парализована. Спустя несколько дней округ Эрнандо постепенно начал восстанавливать работу сервисов, но для устранения последствий потребовались недели.

17 апреля кибернападению подверглось Управления шерифа округа Робсон, Северная Каролина. 

Ответственность за атаку взяла на себя группировка RansomHub. Вместе с требованием выкупа они заявили, что украли более 1 ТБ «сенсационных» конфиденциальных данных. 

Шериф округа заявил, что к кибератаке были причастны несколько высокопоставленных сотрудников правоохранительных органов, но не раскрыл их роль в произошедшем.

Эти инциденты выявили уязвимости в цифровых инфраструктурах, а каскадные последствия таких сбоев для государственных служб показали, что угроза для веб-сайтов, управляемых правительством на всех уровнях, будет сохраняться, а для их защиты требуются человеческие ресурсы и другие средства.

Чем они заняты в кибертени: самые неожиданные цели атак

Победителем в этой номинации можно назвать атаку на Big Issue Group, британскую некоммерческую организацию, которая занимается помощью бездомным.

В марте 2024 года ИТ-система Big Issue Group подверглась нападению с использованием программы-вымогателя, ответственность за которое взяла на себя группировка Qilin. 

Хакеры заявили, что украли 550 ГБ данных компании, в том числе персональные данные, финансовые отчеты и другую конфиденциальную информацию.

Хакеры опубликовали некоторые файлы в подтверждение своих слов

The Big Issue Group признали киберинцидент, сообщив, что приняли меры по ограничению доступа к системам, сотрудничая с внешними экспертами по ИТ-безопасности, и начали процесс восстановления и работы с небольшими перебоями. К счастью, инцидент, по заявлению компании, не повлиял на выпуск и распространение журнала Big Issue.

По словам Кевина Бомонта, эксперта по кибербезопасности, цель атаки довольно странная, поскольку бездомные продают журнал, который почти не приносит прибыли.

С этической точки зрения НКО вроде The Big Issue Group, а также больницы и благотворительные организации можно назвать морально неприемлемыми целями атак. Разумеется, не все хакеры, к сожалению, разделяют это убеждение.

Honorable mentions. Конкурентами The Big Issue Group в этой номинации были атаки, которые можно назвать менее драматичными, чем инцидент с НКО, помогающей бездомным, но уж точно не менее неожиданными.

И первая из них — атака на организацию, занимающуюся майнингом, но не тем, о котором все подумали.

Evolution Mining, одна из крупнейших золотодобывающих компаний Австралии, выпустила официальное заявление о том, что 8 августа 2024 года подверглась кибератаке с применением программы-вымогателя.

Компания утверждала, что по состоянию на 12 августа 2024 года инцидент был взят под контроль, деятельность Evolution Mining в результате нападения не пострадала, велось расследование в сотрудничестве с Австралийским центром кибербезопасности (ACSC). Особо подчеркнули тот факт, что проблема была решена с упором на защиту здоровья, безопасности и конфиденциальности людей, а также систем и данных компании. 

Что интересно, ответственность за инцидент не взяла на себя ни одна из хакерских группировок, а Evolution Mining не сообщили, какого рода информация пострадала.

Для сравнения, за два месяца до этого австралийская добывающая промышленность уже пережила одну кибератаку, но она протекала совершенно по-другому, а целью стала компания Northern Minerals Limited.

Группировка BianLian, взявшая на себя ответственность, украла корпоративную, операционную и финансовую информацию, а также сведения о текущем и бывшем персонале и информацию об акционерах. Компания подтвердила факт атаки, сообщив также, что в соответствии с официальной позицией правительства Австралии и конкретными обстоятельствами инцидента, отказывается платить выкуп. Злоумышленники же в отместку опубликовали украденные данные в даркнете.

И ещё одной неожиданной целью злоумышленников стал Совет по крикету Англии и Уэльса (ECB).

Можно подумать, что массовый спорт вряд ли станет целью для хакеров, но где данные, там и потенциальная прибыль.

В марте 2024 года хакер, известный как IntelBroker, загрузил на BreachForums украденную информацию, которая включает в себя данные зарегистрированных в период 2014-2021 гг. пользователей платформы icoachcricket (онлайн-инструмент для обучения, размещенный и управляемый третьей стороной).

В утечку попали адреса электронной почты, хешированные пароли, резервные пароли и другие регистрационные данные, в том числе, информация о высокопоставленных сотрудниках ECB и детях, которых тренировали при помощи этой платформы. По оценкам, кибератака затронула порядка 43 000 человек.

Совет по крикету Англии и Уэльса не подтвердил инцидент, но посоветовал пользователям icoachcricket сменить пароли учетных записей, одновременно настаивая на уверенности в безопасности своих систем и в том, что конфиденциальная информация Совета о сотрудниках и финансах не пострадала.

Если бы мы знали, что это такое: инциденты Шредингера

С нарушением кибербезопасности обычно все ясно: хакер взламывает систему компании, компания признает факт взлома, хакер продает данные или получает за них выкуп, компания устраняет последствия атаки.

Но иногда все идет не так, как обычно, и именно для таких случаев следующая номинация: «инциденты Шредингера». В ней побеждает атака на Nokia.

4 ноября 2024 года уже упоминавшийся IntelBroker на сайте BreachForums выставил на продажу, как он утверждал, исходный код Nokia, полученный им в результате взлома сервера неназванной третьей стороны — стороннего подрядчика финской компании.

IntelBroker выложил пост об утечке данных

Помимо исходного кода, украденная информация также включала в себя ключи SSH, исходный код, ключи RSA, логины BitBucket, учётные записи SMTP, веб-перехватчики и жёстко заданные учетные данные.

Компания отреагировала, выпустив три дня спустя заявление, в котором указала, что внутреннее расследование не выявило никаких доказательств того, что были затронуты их системы или данные.

В ответ на это IntelBroker, собиравшийся продавать украденное за $20 000, сообщил в X, что, раз Nokia отрицает кражу данных, он предоставляет их для бесплатного скачивания.

После этого появился ещё один комментарий Nokia, в котором они уточнили, что утечка исходного кода произошла для приложения, разработанного не компанией, а сторонним разработчиком, поэтому критические важные системы Nokia или данные, включая код, не пострадали, клиентам финнов также ничего не угрожает. 

Несмотря на такое обнадеживающее заверение, в Nokia заявили, что продолжают пристально следить за ситуацией.

Honorable mentions:

За победу в этой номинации также боролся инцидент с Dr. Web.

Группа хакеров DumpForums заявила, что в сентябре ей удалось взломать инфраструктуру разработчика антивирусных программ Dr.Web и украсть около 10 ТБ данных с корпоративного сервера GitLab, на котором хранились внутренние разработки и проекты. Также пострадали почтовый сервер компании, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, в которых велась разработка и обсуждались задачи — и база клиентских данных.

Версии злоумышленников и пострадавшей стороны отличаются — первые утверждают, что утечка содержит информацию о пользователях, а вторые отрицают, что данные были скомпрометированы.

Завершает подборку номинантов на звание «инцидент Шредингера» атака на неизвестную компанию.

В ноябре 2024 года появились новости о том, что группа хакеров, известная как APT28, совершила кибернападение на американскую компанию, находясь за тысячу километров от нее. Произошло это при помощи новой тактики, которую назвали «атака на ближайшего соседа» (nearest neighbor attack).

Тактика заключается в следующем: злоумышленники взламывают одну организацию и выполняют атаки с использованием учетных данных, чтобы взломать другие организации, находящиеся в непосредственной физической близости, через их сети Wi-Fi.

В отчете Volexity цель взлома фигурирует как «Организация А», на новостных сайтах — «неизвестная компания», «компания из США». Таким образом, известны акторы атаки, механизм новой тактики, но конкретная цель нападения остается загадкой.

Цифровые войны: атаки на поп-культуру

Оригинальная обложка к ролику: https://www.youtube.com/watch?v=0LtUb5a-u3s

Мир развлечений в прошлом году также попадал под прицел злоумышленников. Подобные инциденты резонансны потому, что жертвы известны практически всем, в отличие от атак на специализированные компании. 

И в категории «атака на популярную культуру» побеждает инцидент с Disney.

В июле 2024 года хакерская группа NullBulge выложила в сеть пакет данных объемом 1 ТБ. По утверждению группы, информация получена с внутреннего канала Slack компании Walt Disney и содержит исходный код и изображения (в том числе еще не выпущенных проектов), а также некоторые логины и личные данные.

Заявление NullBullge об утечке

Можно предположить, что атака связана с критикой компании и судебными разбирательствами из-за ее отношения к авторам и художникам. Писатели, в том числе Алан Дин Фостер (который, например, адаптировал сценарии некоторых частей «Звездных войн» в книги), раскритиковали решение Disney прекратить выплаты роялти за новеллизации и графические романы, основанные на принадлежащих Disney произведениях. Это повлияло на авторов, работающих над масштабными франшизами вроде «Чужого» и уже упомянутых «Star Wars».

NullBulge позиционируют себя как защитников прав артистов и художников, поэтому, возможно, группа рассматривает свои действия как акт возмездия или катализатор изменений в отрасли.

Помимо очевидной опасности утечки конфиденциальных данных сотрудников, этот инцидент также представляет опасность для Disney в сфере интеллектуальной собственности.

В теории конкуренты медиагиганта вполне могут ознакомиться с содержимым утекших файлов — включая, как уже было сказано, невыпущенные проекты и концепт-арты — и использовать их элементы в своей работе, что может ударить по деятельности диснеевской студии. 

Honorable mentions:

За победу в номинации также боролась атака на BBC.

Любите «Доктора Кто»? Хотите узнать больше о съемочной группе легенды сай-фая — сценаристах, дизайнерах по костюмам, декораторах? А о тысячах других работников канала ВВС?

Это стало возможным в мае 2024 года, когда в результате кибератаки на пенсионную программу компании утекли данные 25 000 бывших и нынешних сотрудников британской вещательной корпорации. Украденная информация содержала имена, домашние адреса, номера национального страхования, пол и указание на участие в пенсионной программе BBC.

Представители корпорации не предоставили пострадавшим объяснений, как произошла утечка, сообщив лишь, что записи были скопированы из облачного хранилища.

Неизвестно, кто стоит за атакой, однако, по словам BBC, в ходе расследования не было найдено никаких доказательств того, что инцидент был нацелен на получение выкупа. Также представитель пенсионной программы BBC подтвердил, что в результате взлома не были скомпрометированы пароли, банковские реквизиты или адреса электронной почты.

Еще одним номинантом стала атака на LEGO.

5 октября 2024 года неизвестные злоумышленники взломали сайт датского производителя конструкторов и добавили на главную страницу баннер, рекламирующий поддельный токен LEGO, который можно было купить за Ethereum.

Поддельный баннер, помещенный хакерами на главную страницу сайта LEGO

В отличие от обычных схем криптовалютного мошенничества, в которых используют криптодрейнеры (вредоносное ПО, которое предназначено для быстрого автоматизированного опустошения криптокошельков, выводя активы на кошельки злоумышленников), в данном инциденте кнопка «Купить сейчас» вела на криптовалютную платформу Uniswap, где можно было приобрести мошеннический токен LEGO за Ethereum.

Удивительным кажется тот факт, что злоумышленники, получив доступ к такому популярному сайту, вместо кражи данных клиентов, которые можно продать, использовать или получить за них выкуп, решили использовать его для криптомошеннической схемы.

Ведь в целом атака провалилась — фальшивый токен купили лишь несколько человек за несколько сотен долларов. Возможно, именно поэтому хакеры пожелали остаться неизвестными — до сих пор никто не взял на себя ответственность за нападение.

LEGO оперативно отреагировали на инцидент — баннер провисел на главной странице около 75 минут, затем контроль над сайтом был восстановлен. Компания также успокоила публику, сообщив, что личные данные клиентов не были скомпрометированы — но не пояснила, как злоумышленники получили доступ к сайту.

Вместо заключения

2024 год продемонстрировал рост количества атак, а вместе с ним и увеличение ущерба — как репутационного, так и финансового, особенно учитывая постоянно растущую популярность программ-вымогателей среди злоумышленников. Но вымогатели — не единственная угроза для кибербезопасности, в 2024 можно было наблюдать также атаки типа «отказ в обслуживании», внутрисистемные угрозы, фишинг, спуфинг, которые нанесли не меньший вред.

Нападения становятся все изощреннее, что требует адекватного ответа в сфере кибербезопасности — и желательно превентивного, ведь предотвратить атаку легче и дешевле, чем устранять ее последствия.

Что каждый из нас может сделать, чтобы хотя бы немного снизить профит злоумышленников от очередной утечки? Как минимум обновить и усилить все свои пароли, и поможет в этом небольшая карточка-памятка: зашифруйте любимую фразу, чтобы пароль было легко запомнить. 

Пишите в комментариях, какая номинация с кибератаками заинтересовала больше всего (и какому фильму отдали бы настоящий «Оскар»).