По всему Парагваю хакеры отключили онлайн-сервисы, предоставляемые министерством иностранных дел и компаниями. В Швеции они нанесли ущерб системам расчета заработной платы и управления персоналом более чем 100 правительственных органов, включая центральный банк и парламент, а также больницы, предприятия розничной торговли и другие, пишет Bloomberg.
В США злоумышленники взломали систему программного обеспечения, которую крупнейшие банки используют для обработки сделок, и нанесли вред сети, соединяющей поставщиков медицинских услуг и аптеки со страховыми компаниями. Эти атаки на EquiLend и подразделение Change Healthcare UnitedHealth Group Inc. нанесли ущерб Уолл-стрит и американской системе здравоохранения.
Все эти инциденты произошли в этом году. Они являются частью растущего явления, когда финансово мотивированные киберпреступники атакуют важнейшие звенья глобальной цепочки поставок ИТ — провайдеров интернет-решений, о которых вы меньше всего можете подозревать в качестве целей, разрушая вместе с ними отрасли и правительства целых стран.
Жертвы зачастую малоизвестны за пределами своей ниши, но они поставляют программное обеспечение и услуги для бэк-офиса, которые обеспечивают работу значительной части цифровой экономики.
Эксперты по кибербезопасности говорят, что хакеры находят возможности в эволюции облаков, которая фундаментально изменила способы выполнения организациями своих ИТ-задач. Все больше и больше критически важных услуг теперь предоставляются через программные приложения в облаке, а также на серверах, принадлежащих и управляемых третьими лицами, что повышает риск каскадных сбоев всякий раз, когда один из этих внешних поставщиков попадает в руки хакеров.
По словам Федерико Чароски, основателя и главного исполнительного директора компании по кибербезопасности Quorum Cyber, Шотландия, последние атаки показывают, что многие отрасли не осознают слабые места в своих собственных сетях, которые могут нанести им вред, а также степень, в которой они стали зависимы от уязвимых третьих сторон.
«К сожалению, мы живем с уязвимостью в базовой инфраструктуре всего этого: подключенный мир – мы этого не понимаем», – сказал он. «Это сложно, технологии быстро развиваются, и способность атаковать созданный нами бизнес растет намного быстрее, чем способность его защитить».
Попытка подсчитать, сколько точек сбоя существует в конкретных отраслях, например в сфере финансов, является непростой задачей.
Например, в то время как финансовые регуляторы потратили годы, пытаясь поддержать банки, которые могут представлять системные риски для рынков в случае их банкротства, мало публичной информации о количестве поддерживающих их компаний-разработчиков программного обеспечения, которые могли бы повлиять на операции в случае их взлома.
В прошлом году Уолл-стрит получил представление о том, как выглядят такие потрясения. Три отдельные атаки программ-вымогателей выявили различные и малоизученные слабости в технологической основе финансовой системы.
В январе нью-йоркская компания EquiLend, занимающаяся финансовыми технологиями, чье программное обеспечение ежемесячно обрабатывает транзакции на триллионы долларов, отключила ключевые сервисы из-за взлома, из-за которого торговые отделы некоторых крупнейших банков мира вернулись к вводу транзакций вручную.
За два месяца до этого атака на американское подразделение Industrial and Commercial Bank of China Ltd., крупнейшего в мире банка, перевернула рынок торговли казначейскими облигациями США стоимостью $26 трлн. Банк играет ключевую роль в клиринге сделок с казначейскими облигациями для многих крупнейших фирм Уолл-стрит.
А в начале прошлого года вторжение в компанию ION Trading UK, производителя программного обеспечения для автоматизации торговли деривативами, затронуло операции более 40 клиентов компании.
Во всех трех случаях клиентам взломанных компаний пришлось вернуться к ручным средствам обработки сделок, возродив практику эпохи до появления электронной торговли. Ответственность за нарушения взяла на себя плодовитая группировка, занимающаяся вымогательством LockBit, которая сама была уничтожена в результате многонациональных действий правоохранительных органов в феврале.
Эксперты по кибербезопасности заявили, что маловероятно, что EquiLend, ICBC и ION Trading стали объектом нападения из-за их уникальной роли в финансовой системе. Компании, скорее всего, стали жертвами хакерских групп, которые заявляют о большем количестве жертв и быстрее, чем когда-либо в прошлом, и этот стиль был усовершенствован до разрушительного эффекта LockBit, говорят эксперты.
Киберпреступники регулярно используют автоматизированные программы для сканирования Интернета, выявления систем с известными уязвимостями безопасности и массового заражения этих сетей. Это в значительной степени неизбирательный стиль взлома, целью которого является создание максимального хаоса и увеличение суммы денег, которую они могут получить от жертв в виде вымогательских платежей, говорят эксперты.
«Это зависимость от одного поставщика – это глобализация, и мы не можем ее остановить», – Джон Фоккер, бывший руководитель отдела по расследованию преступлений в сфере высоких технологий в национальной полиции Нидерландов, а теперь руководитель отдела анализа угроз в Милпитасе, штат Калифорния, в области кибербезопасности, фирма Trellix Corp. «Мы всегда хотим быть более эффективными, хотим экономить затраты и работать быстрее. Но по своей сути, делая это, вы отпускаете свои резервные системы. Вы начинаете доверять своему поставщику. Никто не спрашивает, а что, если этого поставщика взломают?»
ИТ-компании ранее подвергались нападениям разведывательных служб в целях шпионажа, поскольку они предоставляют единую точку входа для скрытного заражения нескольких клиентских сетей. Одним из примеров является взлом поставщика программного обеспечения для управления ИТ SolarWinds Corp., который был раскрыт в 2020 году и привел к компрометации девяти федеральных агентств и около 100 компаний.
Эксперты говорят, что сейчас меняется то, что киберпреступники применяют аналогичный подход ради получения прибыли. Хакеры все быстрее используют известные недостатки широко используемого программного обеспечения и даже экспериментируют с генеративным искусственным интеллектом, чтобы усовершенствовать свои методы. Эта отрезвляющая мысль предполагает, что проблема может усугубиться, говорят эксперты.
«За последние 12–18 месяцев наблюдался не только рост числа новых групп, занимающихся вымогательством, но и значительный рост сложности проводимых атак», — сказал Джон Миллер, соучредитель и главный исполнительный директор Halcyon, производитель программного обеспечения для защиты от программ-вымогателей из Калифорнии. «Причина роста числа новых злоумышленников проста: программы-вымогатели платят миллионы долларов за часы работы. Чем больше людей узнают, насколько это просто, тем больше людей захотят это сделать. И чем глубже вы сможете скомпрометировать и нарушить работу бизнеса, тем больше они заплатят».
Три взлома в этом году показали, что наибольшему риску возникновения каскадных сбоев в работе, охватывающих отрасли и даже целые страны, подвергаются ИТ-компании, выполняющие функции бэк-офиса.
В феврале атака программы-вымогателя на подразделение Change Healthcare компании UnitedHealth привела к сбою в работе крупнейшей в стране электронной сети обработки страховых претензий. Нарушение привело к неделям задержек в выплате медицинским учреждениям оплаты за предоставленное ими лечение. Это заставило некоторых пациентов платить за лекарства из своего кармана, когда аптеки не могли подтвердить их страховку.
UnitedHealth — крупнейшая в США медицинская страховая компания — заявила 8 марта, что некоторые услуги начали восстанавливаться, но не дала оценку того, когда ее услуги снова начнут работать в полной мере. Компания заявила, что некоторые части сети, которые обрабатывают платежи и медицинские претензии, вернутся к работе в середине марта, а услуги электронного назначения рецептов сейчас восстановлены. Во взломе обвинили группу вымогателей BlackCat.
По данным газеты 5Días, в январе Tigo Paraguay, крупнейший поставщик телекоммуникационных услуг в Южной Америке, подвергся кибератаке, которая, как подтвердило правительство, затронула одну из услуг, предоставляемых министерством иностранных дел, и могла затронуть более 300 компаний.
Millicom International Cellular SA, материнская компания Tigo Paraguay, базирующаяся в Люксембурге, подтвердила в своем заявлении, что инцидент затронул «ограниченную группу клиентов корпоративного сегмента». При этом не было раскрыто, сколько компаний пострадало, а также технические подробности атаки.
Через две недели после этого инцидента хакеры взломали центр обработки данных в Швеции, принадлежащий Tietoevry Oyj, финской компании в области информационных технологий, что привело к сбою в работе системы расчета заработной платы и управления персоналом, которая используется в правительстве и промышленности Швеции.
По словам Роберта Галлуссона, представителя Национального центра государственных услуг, который координирует заработную плату и финансовое управление для шведских правительственных учреждений, в общей сложности пострадали 120 правительственных учреждений и более 60 000 сотрудников. В их число входили парламент Швеции, Риксдаг, и центральный банк Риксбанк, оба из которых подтвердили влияние на свои системы заработной платы.
В своем заявлении Tietoevry сообщила, что после атаки, на устранение которой ушли недели, она «немедленно изолировала пострадавшую платформу». Компания обвинила в этом группу вымогателей Akira.
Такие взломы подчеркивают необходимость срочной разработки компаниями стратегий для понимания рисков своих поставщиков ИТ-услуг, сказал Маттиас Волен, эксперт по анализу угроз шведской компании по кибербезопасности Truesec.
«Организации, передающие свои ИТ-услуги на аутсорсинг, не должны просто следить за тем, чтобы среда, которую создает для них ИТ-провайдер, соответствовала стандартам кибербезопасности», — сказал он. «Им также необходимо обеспечить безопасность собственной серверной части провайдеров».
Подготовлено порталом Allinsurance.kz