Как IT-компании удалось восстановиться после атаки вымогателей и не платить выкуп

В настоящее время атаки с использованием вымогательского ПО являются популярным способом обогащения среди киберпреступников. В частности, это связано с готовностью многих компаний платить вымогателям. Тем не менее, договариваться с киберпреступниками готовы не все. Когда компания Spectra Logic (Боулдер, Колорадо), предоставляющая своим клиентам хранилища данных, стала жертвой вымогательского ПО, она отказалась платить злоумышленникам и смогла восстановиться с помощью собственных ресурсов и специалистов ФБР.

Все началось с того, что однажды утром на мониторах некоторых компьютеров в Spectra Logic появилось уведомление с требованием выкупа, пишет ZDNet. Затем стали происходить массовые сбои в работе всех систем компании, и старший IT-директор Тони Мендоза (Tony Mendoza) понял, что компания подверглась кибератаке, и все данные были зашифрованы.

"Когда все началось, мы сразу же побежали в серверную комнату и дата-центр и стали выдергивать все из розеток, чтобы оно (вымогательское ПО – ред.) не могло самораспространяться дальше, что сразу же повлекло за собой отключение всей нашей инфраструктуры", – сообщил Мендоза.

В общей сложности в результате кибератаки скомпрометированными оказались три четверти производственной среды. Как сообщалось в записке с требованием выкупа, компанию атаковало вымогательское ПО NetWalker. За ключ для восстановления зашифрованных файлов его операторы требовали $3,6 млн.

Проблема усложнилась тем, что инцидент произошел в мае 2020 года, когда большинство сотрудников компании начали работать удаленно, и было сложно координировать действия и видеть, что происходит в здании Spectra Logic. Несмотря на это, сотрудникам IT-отдела нужно было оценить ущерб и выяснить, как восстановить данные (и реально ли их восстановить вообще).

Каждая пострадавшая от вымогательского ПО организация становится перед выбором: платить или не платить вымогателям, чтобы получить обратно свои данные. Страховка Spectra Logic покрывала расходы на выкуп, и заплатив, компания предположительно смогла бы быстро восстановить свои системы. Однако при наличии резервных копий она решила не платить и вместо того, чтобы связываться с вымогателями, обратилась в ФБР.

ФБР уверило Мендозу, что Spectra Logic – не единственная компания, попавшая в подобную ситуацию, и сразу же закрепило за ней команду специалистов.

Восстановление систем продолжалось 24 часа в сутки в течение пяти дней. Специалисты ночевали на рабочем месте и спали по очереди, чтобы уделить как можно больше времени восстановлению систем.

"Никто не уходил и не приходил, спали на диване на случай, если понадобится помощь", – сообщил Мендоза, которому также приходилось постоянно держать в курсе событий руководство компании.

"Я имел дело с руководством и не хотел лгать и говорить, будто знаю, когда все поднимется. Мне пришлось сказать им, что я не знаю, ни что происходит, ни когда все вернется в норму", – признался Мендоза.

Через неделю круглосуточной работы сотрудникам IT-отдела совместно с ИБ-специалистами удалось частично восстановить работу корпоративной сети без уплаты выкупа. Как сказали Мендозе в ФБР, компания избрала трудный, но верный путь. Сотрудники бюро были очень удивлены, когда он вернулся к ним через восемь дней и сообщил, что системы компании возобновили свою работу.

Безусловно, в столь быстрый срок удалось восстановить не все. На возврат к работе критических для бизнеса систем у Spectra Logic ушло еще несколько недель. В течение всего этого времени требовалось пристальное внимание, чтобы удостовериться, что злоумышленникам каким-то образом не удалось снова распространить вымогательское ПО, и специалистам пришлось осуществлять постоянный мониторинг всей активности в сети в течение еще одного месяца.

Многие атаки вымогательского ПО никогда не становятся достоянием общественности, и примеры компаний, подробно рассказывающих о случившемся с ними, по-прежнему немногочисленны. Однако по мнению Мендозы, очень важно раскрывать атаки вымогательского ПО с целью показать, как можно восстановиться после них, не набивая карманы киберпреступников.