Специалисты «Лаборатории Касперского» опубликовали отчет, посвященный атакам шифровальщиков на города, что в последнее время стало настоящим трендом среди преступников.
Исследователи подсчитали, что с начала 2019 года шифровальщиками было атаковано 174 муниципальных образования, что как минимум на 60% больше по сравнению с 2018 годом. Сумма выкупа, которую требуют злоумышленники в таких случаях, в среднем составляет более 1 000 000 долларов, а максимальные значения достигали и 5 000 000 долларов. При этом разброс в суммах выкупа был очень велик — так, со школьных округов в небольших населенных пунктах требовали суммы примерно в 20 раз меньшие, чем с мэрий в крупных городах.
Совокупный ущерб от атак шифровальщиков, включая долгосрочные социально значимые последствия, мог быть еще больше: исследователи отмечают, что остановка работы городских служб негативно сказывается на благополучии жителей.
Наиболее активными в этом году были шифровальщики Ryuk, Purga и Stop. Ryuk появился более года назад, обычно для его распространения используется бэкдор, который попадает на устройства частных и корпоративных пользователей через фишинговые письма с вредоносными вложениями (под видом финансовых документов). Вредонос Purga известен с 2016 года, но атаковать муниципальные службы он начал лишь в этом году. Подавляющее большинство (86%) всех атак шифровальщика Purga пришлось на Россию. Кроме того, Россия находится на пятом месте по числу пользователей, атакованных шифровальщиком Ryuk.
Пожалуй, наиболее масштабным и широко обсуждавшимся инцидентом стала атака в Балтиморе — город стал жертвой широкомасштабной вымогательской кампании, в результате которой многие службы были парализованы, а на восстановление IT-инфраструктуры города в итоге потребовались десятки миллионов долларов.
«Выплата выкупа — это краткосрочная мера, которая только стимулирует злоумышленников продолжать свою деятельность. Нужно учитывать, что успешная атака на город означает, что его инфраструктура была скомпрометирована, а значит, требуется расследование киберинцидента и тщательный аудит, то есть в любом случае понадобятся дополнительные расходы. Представители городской администрации иногда склоняются к тому, чтобы заплатить выкуп, потому что часто его покрывает страховка. Однако более дальновидно было бы инвестировать в проактивные меры, такие как надёжные защитные продукты и решения для резервного копирования, а также регулярный аудит безопасности. Число атак на органы городской администрации растёт, но с этим можно бороться, если пересмотреть подход к кибербезопасности, не платить выкуп и транслировать это решение как официальную позицию», — говорит Фёдор Синицын, эксперт «Лаборатории Касперского».
Исследователи полагают, что в 2020 году эта тенденция, скорее всего, сохранится. Во-первых, в таких учреждениях финансирование кибербезопасности в большей степени нацелено на страхование и реагирование на инциденты, чем на проактивные защитные меры. В результате такого подхода и возникают ситуации, в которых единственным решением оказывается заплатить преступникам, тем самым поощрив их к продолжению криминальной деятельности.
Во-вторых, муниципальные инфраструктуры, как правило, включают множество сетей, охватывающих различные организации, поэтому атака по ним вызывает нарушение процессов сразу на нескольких уровнях, что в итоге может парализовать работу служб целых районов.
Более того, в муниципальных сетях зачастую хранятся данные, критически важные для бесперебойного функционирования ежедневных процессов, напрямую связанных с благосостоянием граждан и работой местных организаций. Атакуя эти цели, злоумышленники наносят удар в больное место.