Полисы бессильны, сервера мертвы — страховщики взвыли от череды взломов

Киберпреступная группа Scattered Spider сменила вектор атак, переключившись с торговли на страхование. Об этом сообщили аналитики Google, подчеркнув, что компании этого сектора должны действовать максимально настороженно. Ранее Scattered Spider прославилась взломами крупных розничных сетей в США и Великобритании, включая атаку на Marks & Spencer .

Теперь же команда киберпреступников взялась за страховые компании в США. По словам главы аналитической группы Google Threat Intelligence Джона Халтквиста, зафиксировано несколько проникновений в сети страховых организаций, в которых можно проследить характерные признаки активности Scattered Spider. Он отметил, что группировка склонна сосредотачивать усилия на одной отрасли за раз, и предупредил о высокой вероятности атак с применением методов социальной инженерии, особенно через службы поддержки и колл-центры.

Прежде чем переключиться на страхование, Scattered Spider провела серию атак на ретейлеров, среди которых были и попытки внедрения вредоносной программы DragonForce . Во всех случаях атаки начинались с фальшивых звонков в техподдержку, через которые злоумышленники получали доступ к корпоративным системам.

На фоне этой активности специалисты Google обновили рекомендации по защите от подобных угроз. Организациям предлагают усиливать проверку личности звонящих, использовать проверку по видеосвязи или специальные контрольные вопросы, а также внедрять более надёжную многофакторную аутентификацию, устойчивую к фишингу — например, с помощью специализированных приложений.

Пока Google не называет конкретных новых жертв, в страховой отрасли и без того происходят тревожные события. Уже в течение двух недель продолжаются сбои в сетях Erie Insurance и Philadelphia Insurance Companies, однако их непосредственная связь с деятельностью Scattered Spider пока не подтверждена.

Erie Insurance, входящая в число крупнейших страховщиков недвижимости и автомобилей в США, зафиксировала «сетевой сбой, затронувший все системы» 8 июня. А в отчёте для Комиссии по ценным бумагам и биржам от 11 июня управляющая компания Erie Indemnity сообщила, что признаки несанкционированной активности были впервые замечены ещё 7 июня, и позже это было признано «инцидентом в сфере информационной безопасности». Компания сотрудничает с правоохранительными органами и проводит техническую экспертизу при поддержке внешних специалистов.

В последнем обновлении Erie заявила, что работы по восстановлению доступа для клиентов, агентов и сотрудников идут круглосуточно, а динамика оценивается как «устойчивая и уверенная». Однако признаётся, что процесс требует времени из-за своей сложности.

Аналогичная ситуация наблюдается в Philadelphia Insurance Companies (PHLY), где 9 июня зафиксировали подозрительную активность в сети. ИТ-команда компании отключила системы для сдерживания угрозы и начала расследование. Было подтверждено несанкционированное проникновение, начата работа с внешними экспертами и уведомлены правоохранители.

13 июня материнская компания Tokio Marine North America подтвердила факт инцидента в отношении своих дочерних структур, включая PHLY, Tokio Marine America Insurance и First Insurance Company of Hawaii. В заявлении говорится о продолжающемся расследовании, цель которого — установить характер и масштаб произошедшего.

Пока последствия этих атак до конца не ясны, предупреждение Google подчёркивает: страховая отрасль стала новой мишенью для одной из самых агрессивных и изобретательных киберпреступных группировок последних лет.