4 Июня, 2019

Балтимор – жертва шифровальщика RobbinHood

Panda Security в России и СНГ
Шифровальщики – вредоносные программы, которые вызвали столько хаоса по всему миру – по-прежнему мелькают в заголовках новостей в 2019 году. В марте один из крупнейших в мире производителей алюминия был вынужден выполнять часть своих операций вручную в результате атаки шифровальщика – по сообщению из ряда источников, ущерб от этой атаки достиг 40 млн. долларов США в течение недели. А в начале этого года мэрия города Дель Рио в штате Техас (США) была атакована образцом шифровальщика со своеобразной функцией: уведомление о выкупе содержало номер телефона для связи с нападавшими.

Местные органы власти: значимая цель
7 мая город Балтимор в США объявил о том, что мэрия города закрыла большинство своих серверов из-за атаки шифровальщика . Хотя такие важные службы как полиция и пожарные не пострадали, системы электронной почты, используемые городскими служащими, а также телефонные линии связи и платежные онлайн-системы были полностью скомпрометированы.

Среди пострадавших был и Департамент общественных работ, который сообщил, что была остановлена его служба поддержки пользователей. Как результат, мэрия приостановила работу по просроченным счетам клиентов.

Мэр города Бернард К. «Джек» Янг заявил, что город не получил каких-либо доказательств того, что с пострадавших компьютеров были извлечены какие-либо персональные данные. Это вполне нормальная ситуация, хотя и бывали примеры атак , когда использовались шифровальщики для сокрытия утечки данных, но обычно в таких ситуациях злоумышленники просто хотят запретить жертве доступ к своим компьютерам.
На пресс-конференции глава ИТ-службы Балтимора подтвердил, что они имели дело с очень агрессивным шифровальщиком под названием RobbinHood («Робин Гуд»), в частности, с его относительно новым вариантом, по данным ФБР.

В требовании о выкупе кибер-преступники запросили 3 биткоина (примерно 18 000 долларов США) за разблокировку каждого компьютера или 13 биткоинов (примерно 78 000 долларов США) для «высвобождения» всего города. Некоторые источники сообщили , что через четыре дня после первого заражения стоимость восстановления системы стала повышаться на 10 000 долларов США в день. В требовании говорилось о том, что спустя 10 дней уже невозможно будет восстановить какие-либо данные. Впрочем, несмотря на эту угрозу, город выстоял и отказался выплачивать выкуп . Хотя через три недели после первой атаки мэрия по-прежнему не могла отправлять электронные письма или обрабатывать платежи.



Уведомление на сайте города Балтимора 28 мая
Это уже не первый случай, когда город Балтимор пострадал от атаки шифровальщиков. В марте прошлого года была атакована городская система экстренных вызовов, в результате чего многие центральные системы были отключены.

Как работает RobbinHood
По сообщениям Bleeping Computer , шифровальщик не попал на компьютеры через спам – вместо этого использовался протокол подключения к удаленному рабочему столу (RDP) или другой троян, который предоставил злоумышленникам доступ к системе жертвы. Еще одной особенностью данного шифровальщика является то, что нападавшие, похоже, беспокоились о конфиденциальности своих жертв . В требовании о выкупе утверждается, что ключи шифрования и IP-адреса будут удалены после оплаты. Более того, там также говорилось о том, что жертве не требуется сообщать о данной атаке, т.к. нападавшие также хотели бы сохранить эту информацию в секрете.

По данным The New York Times , данный шифровальщик проделал свой путь в системы мэрии города Балтимора благодаря уязвимости EternalBlue – точно такая же уязвимость использовалась для глобальной атаки WannaCry в 2017 году. Это в очередной раз подчеркивает всю важность применения патчей безопасности как можно быстрее, т.к. патч для закрытия EternalBlue стал доступен еще в апреле 2017 года.
Что можно сделать, чтобы остановить шифровальщиков?
По данным некоторых источников , в 2019 году от атак шифровальщиков каждые 14 секунд будет страдать какая-либо новая организация. За последние два года количество таких атак выросло на 97%. Поэтому крайне важно, чтобы организации защищали свои ИТ-системы.

Чтобы точно знать, что происходит в ИТ-системе вашей организации, крайне важно иметь современное решение информационной безопасности с опциями расширенной защиты. Например, Panda Adaptive Defense предоставляет полную видимость всех конечных устройств в вашей системе: решение осуществляет мониторинг всех активностей в системах в режиме реального времени, обнаруживая потенциальные точки заражения, а также любое подозрительное использование активов компании. Это чрезвычайно важно в случае с данным шифровальщиком, потому что он проникает в системы не через вложения в письмах, а за счет использования сетевого протокола.
Однако многие виды шифровальщиков – наряду с другими типами вредоносных программ – проникают через электронную почту. Таким образом, еще одной важной мерой для защиты информационной безопасности вашей компании является мониторинг вложений в письмах. Если вы не совсем уверены, откуда пришло письмо, то лучше не открывайте в нем вложенных файлов.

Другой важной мерой защиты от шифровальщиков является создание резервных копий всех важных файлов, что позволяет вернуться к нормальной работе после любого инцидента как можно быстрее. Также очень хорошо иметь план реагирования на инциденты, чтобы знать, как следует действовать в том случае, если ваша компания пострадала от угрозы подобного рода. Эти меры помогут любым организациям – от частных компаний до правительственных учреждений – избежать опасностей со стороны шифровальщиков.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com