По всему миру сотни тысяч сотрудников компаний получают по электронной почте письмо из бухгалтерии своей компании по поводу начисления заработной платы. Письмо содержит вложенный PDF-файл с подробностями годовых бонусов сотрудникам. Некоторые, наиболее осторожные сотрудники, удаляют это письмо, чувствуя скрывающуюся за ним фишинговую атаку. Однако другие сотрудники открывают вложение, тем самым сталкиваясь с самой страшной кибер-атакой в истории. 43% устройств в мире заражены, все их файлы зашифрованы. Ущерб от этой атаки достигает 85 миллиардов долларов США.
К счастью, мир не видел ничего подобного. Впрочем, согласно исследованию, проведенному в рамках проекта Cyber Risk Management (CyRiM) в Сигнапуре, этот сценарий вполне мог бы произойти. Исследование проводилось для того, чтобы показать катастрофические последствия для экономики, которые мог бы иметь данный инцидент. В нем описывается сложная атака шифровальщика под названием Bashe, подробности всего происходящего, а также разрушительные последствия, которые он может причинить.
Исследование описывает несколько сценариев: “лучший вариант”, в котором всего 43% устройств в мире были зашифрованы, в результате чего ущерб достиг отметки в 85 млрд. долларов США, а также «худший вариант», при котором зашифрованы уже 97% всех в мире устройств, а ущерб составил 193 млрд. долларов США.
Разработка крупномасштабной атаки
Исследование описывает, как набираются разработчики шифровальщиков для создания данной вредоносной программы и разработки атаки. Одна из целей кибер-преступников избежать ловушек предыдущих глобальных атак. Таким образом, атака Bashe разрабатывается для использования уязвимости, для которой еще нет патча, и огромные усилия прилагаются к тому, чтобы не было возможности обнаружения онлайнового «выключателя», как это произошло с WannaCry.
Как и во многих других вредоносных кампаниях, угроза доставляется внутри вложений – в данном случае используется PDF-файл в письме с темой «Year-End Bonus» («Годовая премия»). Вредоносная программа способна имитировать домен электронной почты жертвы, и таким образом, можно подделывать часть заголовка электронного письма («sent from», «отправлено от»). В результате получается, что письмо якобы пришло от кого-то из компании-жертвы.
Как только вложение открывается, запускается вредоносная программа, которая скачивает червь-шифровальщик, а тот шифрует все данные на всех компьютерах, которые находятся в одной сети с зараженным устройством. После этого шифровальщик требует выкуп в размере 700 долларов США. Для того чтобы шифровальщик распространялся как можно более активно, червь автоматически рассылает вредоносное письмо по всем контактам жертвы.
В течение 24 часов Bashe зашифровал данные примерно на 30 миллионах устройств во всем мире.
Компании начинают реагировать
Исследование объясняет, что наиболее пострадавшими отраслями будут розничная торговля, здравоохранение и производство. В розничном секторе расходы будут связаны с зашифрованными платежными системами, а электронную коммерцию ждет крах из-за неработающих сайтов. Сектор здравоохранения пострадает в силу его сильной зависимости от устаревших систем, что мы могли наблюдать в случае атак WannaCry. Что касается производства, шифрование инфраструктуры и машин, необходимых для работы предприятий, наряду с возможными проблемами в цепочке поставок, логистике и инвентаризации могли бы стать основными проблемами в следствии данного рода атаки.
Многие компании в своей повседневной деятельности полагаются на ИТ-системы. Это приведет к тому, что примерно 8% компаний сразу же согласятся заплатить выкуп для того, чтобы как можно быстрее вернуться к своей нормальной работе. Таким образом, стоящая за атакой криминальная группировка заработает от 1,14 до 2,78 миллиардов долларов США. Более мелкие компании, скорее всего, тоже в итоге заплатят выкуп, учитывая их скудные возможности по управлению и исправлению бедствий такого рода.
Отзвуки
Помимо экономических потерь, описанных выше, одним из самых непосредственных результатов является рост недоверия к подключенным устройствам наряду с ужесточением контроля за использованием корпоративной электронной почты.
Еще одним последствием атаки Bashe является резкое увеличение спроса на системы ИТ-безопасности. Компании хотят защитить свои корпоративные сети и их активы для того, чтобы избежать подобных атак в будущем. Тренинги по информационной безопасности становятся обязательными для сотрудников, и курсы по управлению кибер-рисками становятся обязательным требованием для получения страхового полиса по ИТ-безопасности.
Как защитить себя от сложных атак
Хотя такая крупномасштабная атака как Bashe пока маловероятна, все равно любой вид кибер-атаки может иметь чрезвычайно серьезные последствия для компании вне зависимости от ее размера:
1. Обучение сотрудников. Мы постоянно говорим о том, что самым важным шагом на пути к защите от самых сложных кибер-угроз является осведомленность. Компаниям не следует ждать возникновения подобного инцидента, чтобы начать обучать своих сотрудников вопросам информационной безопасности.
2. Осторожность с письмами. Электронные письма играют ключевую роль в катастрофическом сценарии, который мы видели в данном исследовании. И это далеко не единственный тип угроз, который использует электронную почту в качестве вектора атаки. На самом деле, 87% специалистов по ИТ-безопасности признались, что их компаниям приходилось иметь дело с различными типами угроз, которые поступали в компанию через электронную почту. Если у вас есть хотя бы малейшие сомнения относительно того, откуда пришло данное письмо и что оно содержит, то лучше всего не открывать письмо (особенно его вложения и ссылки), а сообщить о нем сотрудникам отдела ИТ-безопасности компании.
3. Современные решения безопасности с опциями расширенной защиты. Такие современные и передовые пакеты информационной безопасности с опциями расширенной защиты, как Panda Adaptive Defense, могут помочь вам обнаруживать любые попытки атаки, которая пытается «проникнуть» в вашу компанию по электронной почте. Данное решение делает это за счет использования когнитивного интеллекта и системы обнаружения в реальном времени. Более того, решение содержит управляемый сервис Threat Hunting, который осуществляет активный поиск наиболее сложных угроз, в результате чего ваша сеть всегда остается защищенной.
