Производитель генераторов для судоходной и строительной техники и техники специального назначения C.E. Niehoff & Co. стал жертвой целенаправленной атаки вымогательского ПО (ransomware) Ryuk. ИТ-директор компании Келвин Лару рассказывает на портале InformationWeek о том, как небольшому ИТ-штату компании удалось справиться с последствиями кибератаки и возобновить деятельность систем, не поддавшись на угрозы вымогательства.
У небольшой ИТ-команды C.E. Niehoff ушло несколько недель, чтобы справиться с последствиями атаки зловреда Ryuk, вредоносный код которого проник в сеть предприятия в результате перехода одного из сотрудников по вредоносной ссылке фишингового электронного письма. На начальном этапе атаки (в дальнейшем было установлено, что атаке Ryuk предшествовал запуск бот-инструмента Trickbot) было установлено, что зловред незаметно для системы обнаружения инфицировал конечные устройства и серверы, похищая с них промышленные секреты и учетные данные.
Проанализировав детали проникновения в сеть, Лару пришел к выводу, что внедрение бота являлось частью более массивного плана заражения сети компании, и проблема приняла более серьезный оборот. К такому выводу он пришел, когда вошел в сеть компании из дома и увидел, как злоумышленник запустил на одном из серверов компании сеанс PowerShell и затем начал копировать с серверов учетные данные, попутно отключая средства безопасности: «Это происходило как в режиме замедленной съемки. Я понял, что в нашу сеть проникли и что это серьезно. Мы потеряли ключи от нашей сети».
Лару запрыгнул в машину и спустя 20 минут вошел в ЦОД в кампусе компании в Эванстоне (шт. Иллинойс). В этом городе также находится ее штаб-квартира и производственные мощности для сборки генераторов. В попытке предотвратить более разрушительные атаки ИТ-команда, которая состоит из трех сотрудников, даже отключила электропитание сети, но было уже слишком поздно. «К тому времени злоумышленник нанес нашей сети огромный ущерб и мы уже не смогли предотвратить распространение зловреда, который начал шифровать файлы на всех рабочих станциях и серверах, к которым только у него был доступ», — рассказал Лару.
Поведение зловреда подтолкнуло команду к мысли, что это не что иное, как Ryuk, который относится к числу весьма опасных программ-шифровальщиков, блокирующих файлы на инфицированных устройствах. Ryuk — это новое поколение программ-зловредов, которые применяются для пользовательских и целевых атак на крупные и потенциально высокоприбыльные в финансовом отношении цели. Схема его алгоритмов шифрования нацелена на критически важные ресурсы и активы в сети жертвы; примечательно, что для достижения максимального эффекта целевой атаки хакеры прибегают к ручному управлению. Они могут некоторое время наблюдать за сетью, чтобы убедиться, представляет ли та или иная зараженная машина или сеть интерес.
Лару считает, что вредоносный URL в фишинговом электронном письме, который привел к заражению Trickbot, был первой фазой целевой атаки на C.E. Niehoff, которая включала сбор информации и кражу учетных данных. Как показало изучение вопроса, другие жертвы атак инфицировались при помощи бота Emotet, тогда как Trickbot проводил разведку и оценку хранимых на устройстве жертвы данных (а не просто копировал их). Далее, если они удовлетворяли запросам преступников, в действие вступал Ryuk — он блокировал машины жертв. «Trickbot действовал за кулисами, устанавливая и настраивая командный пункт управления, но поняли это мы не сразу. Хакеры выкачивали учетные данные, настраивали C2 и только тогда подключали Ryuk», — пояснил Лару.
Пока команда C.E. Niehoff пыталась подавить распространение вымогателя, нападавшие организовали атаку типа reverse-shell, эксплуатируя незакрытую уязвимость в Java. Средства защиты от вредоносного ПО Vipre, которые применялись производителем генераторов, не распознали этот вид атак. Обладая украденными учетными данными пользователей, операторы ransomware подключались к сети по протоколу удаленного рабочего стола (RDP) и с помощью команд PowerShell сервер за сервером маскировали сетевую активность Ryuk.
Лару остановился на одной важной детали: отключив часть зараженных серверов в начале атаки, его команда лишь усугубила проблему, нарушив разработанную вымогателями схему заражения. Дело в том, что сотрудники не увидели предупреждение с требованием выкупа и предостережение, что они не должны выключать серверы или же в противном случае это грозит повреждением системы. «Расчет был сделан на то, что мы увидим сообщение о выкупе в понедельник утром, а не в воскресенье. Отключение машин было ошибкой с моей стороны. Схема шифрования зловреда разработана таким образом, что отключение питания выводит из строя прошивку на всех серверах, включая электронную почту и серверы ERP, что, собственно, и произошло. Даже если бы мы хотели заплатить выкуп, мы бы не смогли это сделать», — вспоминает Лару.
В требовании к выкупу оговаривалось, что для расшифровки файлов требуется помощь хакеров и что сброс или отключение систем может повредить их. Хакеры не обещали выслать за выкуп коды расшифровки, вместо этого они обещали наладить с жертвой связь, чтобы она самостоятельно расшифровала файлы. По словам Лару, он пережил настоящий шок, поняв, что он не сможет получить доступ к своим файлам и системам даже после оплаты выкупа.
Бумага вместо серверов
C.E. Niehoff — это относительно небольшая частная производственная фирма с 400 сотрудниками и ИТ-отделом, который также занимается вопросами безопасности. В число клиентов компании входят подрядчики армии США, которые нуждаются в промышленных генераторах для оснащения транспортных средств.
Атака Ryuk привела к тому, что сервер ERP, который обслуживал клиентов компании, вышел из строя. Однако имелись и хорошие новости: злоумышленникам не удалось украсть данные о клиентах, а также другую конфиденциальную информацию.
Но все же рабочий процесс предприятия был нарушен, и чтобы оставаться на плаву C.E. Niehoff пришлось погрузиться в бумажный документооборот и обрабатывать имеющиеся заказы вручную. Но очевидно, что так не могло продолжаться бесконечно и рано или поздно, но систему ERP нужно было вводить в строй. По счастливой случайности вымогателям не удалось заблокировать серверы, которые обслуживали ПО для бухгалтерского и кадрового учета. Но, что самое важное, не пострадали два сервера серии Arcserve 8200, предназначенные для резервного копирования. Некоторые признаки указывали на то, что злоумышленники пытались зашифровать имеющиеся на них данные, но, по неустановленной причине, не справились с этой задачей. «Несколько действующих серверов — это почти все, что у нас осталось. К ним можно приплюсовать пару старых ленточных накопителей, которые содержали данные за последние четыре года», — посетовал Лару.
C.E. Niehoff не успела настроить устройства для полного восстановления системы до атаки Ryuk, поэтому Лару пришлось обратиться за помощью к техническому специалисту Arcserve, чтобы тот помог перенести резервные копии данных на новые компьютеры, которые фирма купила взамен утерянных. Несколько систем, которые были настроены на полное восстановление из резервных копий на «голое» железо, быстро вернулись в оперативный режим (были подключены к сети), но некоторые системы создали проблемы (они не были сконфигурированы под полное восстановление из резервных копий) и чтобы установить на них копии данных, пришлось изрядно потрудиться.
«Один из способов защиты систем резервного копирования от атак вымогателей — хранить их в отдельном домене», — советует инженер Arcserve Гари Суссман (он помог C.E. Niehoff вернуть работоспособность ее системам). Надежные учетные данные и аппаратное шифрование еще больше усилят защиту организации.
В общей сложности у C.E. Niehoff ушло две с половиной недели на то, чтобы полностью настроить и запустить все системы, начиная с почтового сервера. С тех пор компания усилила свои системы и хранилища дополнительными уровнями безопасности и репликации, резервируя часть данных в облачных хранилищах. «Нужно быть готовым к угрозам типа ransomware. Над обеспечением безопасности данных нужно постоянно работать — это новая реальность», — резюмировал Лару.