Киберриски добрались и до страховых компаний…

CNA Financial Corp., одна из крупнейших страховых компаний в США, заплатила 40 миллионов долларов США в конце марта, чтобы восстановить контроль над своей сетью после атаки с использованием программы-вымогателя. Чикагская компания заплатила хакерам примерно через две недели после того, как были украдены данные компании, а сотрудники CNA были заблокированы в своей сети.

В своем заявлении представитель CNA сказала, что компания следовала закону. По ее словам, компания проконсультировалась и поделилась информацией об атаке и личности хакера с ФБР и Управлением по контролю за иностранными активами Министерства финансов, которое в прошлом году заявило, что содействие выплате выкупа хакерам может представлять санкционный риск.

Пресс-секретарь Кара МакКолл сделала заявление:

“CNA не комментирует информацию о выкупе. При решении этого вопроса CNA следовала всем законам, правилам и опубликованным инструкциям, включая инструкцию OFAC от 2020 года по борьбе с вымогательством”.

В обновленной информации об инциденте безопасности, опубликованной 12 мая, CNA заявила, что не считает, что системы учета, системы претензий или системы андеррайтинга, где хранится большинство данных о страхователях, включая условия полиса и лимиты покрытия, были затронуты.

Крупнейшие выкупы

Атаки с использованием программ-вымогателей, а в особенности выплаты – редко раскрываются, поэтому трудно определить, какими были самые крупные выкупы. По данным компании Palo Alto Networks, средняя выплата в 2020 году составила 312 493 доллара США, что на 171% больше, чем в предыдущем году. По словам трех человек, знакомых с переговорами о выкупе, выплата в размере 40 миллионов долларов превышает все ранее обнародованные выплаты хакерам.

Хакеры CNA использовали вредоносное ПО под названием Phoenix Locker, вариант выкупного ПО, получившего название “Hades”. По словам экспертов по кибербезопасности, Hades была создана российским киберпреступным синдикатом, известным как Evil Corp. Evil Corp. попала под санкции США в 2019 году. Однако атрибуция атак может быть затруднена, поскольку хакерские группы могут обмениваться кодом или продавать друг другу вредоносные программы.

CNA, которая предлагает киберстрахование, заявила, что по результатам расследования было установлено, что хакерами была группа под названием Phoenix, на которую не распространяются санкции США.

Раскрытие информации о выплате, вероятно, вызовет гнев законодателей и регулирующих органов, которые и так недовольны тем, что американские компании производят крупные выплаты преступным хакерам, которые за последний год атаковали больницы, производителей лекарств, силовые структуры и другие организации, критически важные для общественной безопасности. ФБР не рекомендует организациям платить выкуп, поскольку это стимулирует новые атаки и не гарантирует возврата данных.

Ransomware (программы-вымогатели) – это тип вредоносного ПО, которое шифрует данные жертвы. Киберпреступники, использующие ransomware, часто крадут и сами данные. Затем хакеры просят заплатить за разблокировку файлов и обещают не передавать украденные данные. По словам экспертов по кибербезопасности, в последние годы хакеры нацеливаются на жертв, имеющих полисы киберстрахования и огромные объемы конфиденциальных потребительских данных, что повышает вероятность того, что они заплатят выкуп.

Знаменательный год

По данным целевой группы экспертов по безопасности, стало известно, что в прошлом году жертвы заплатили около 350 миллионов долларов США в качестве выкупа, что на 311% больше, чем в 2019 году. Целевая группа рекомендовала 48 мер, которые администрация Байдена и частный сектор могли бы предпринять для смягчения последствий таких атак, включая более эффективное регулирование рынка цифровой валюты, используемой для выплаты выкупа.

Доклад, подготовленный Институтом безопасности и технологий, был передан в Белый дом за несколько дней до того, как компания Colonial Pipeline Co. подверглась атаке вымогателей, которая привела к нехватке топлива и длинным очередям на заправках вдоль Восточного побережья США. Bloomberg сообщил, что Colonial заплатила хакерам почти 5 миллионов долларов США вскоре после атаки. Главный исполнительный директор Colonial Джозеф Блаунт в интервью Wall Street Journal, подтвердил, что компания заплатила хакерам 4,4 миллиона долларов в качестве выкупа.

Про данный инцидент мы уже писали в нашей статье Colonial Pipeline выплатила хакерам почти 5 миллионов долларов, в которой подробно рассказали о случившемся, к каким последствиям это привело, и какие меры принимала кампания в момент атаки.

По словам двух человек, знакомых с ходом атаки на CNA, компания сначала проигнорировала требования хакеров, рассматривая варианты восстановления своих файлов без взаимодействия с преступниками. Но через неделю компания решила начать переговоры с хакерами, которые требовали 60 миллионов долларов США. По словам людей, оплата была произведена через неделю.

Hades и рост выкупа

По словам Барри Хенсли, главного специалиста по анализу угроз в компании Secureworks Corp., есть высокая степень уверенности в том, что это вариант Hades. По его словам, они еще не определили, какие хакеры использовали вариант Hades для атаки на CNA.

Hades был создан Evil Corp. для того, чтобы обойти санкции США, наложенные на хакерскую группу, согласно исследованию, опубликованному в марте компанией по кибербезопасности CrowdStrike Holdings Inc.

В декабре 2019 года Министерство финансов объявило о введении санкций в отношении 17 физических и шести юридических лиц, связанных с Evil Corp. Тогда министерство финансов заявило, что Evil Corp использовала вредоносное ПО “для заражения компьютеров и сбора учетных данных сотен банков и финансовых учреждений в более чем 40 странах, что привело к хищению более 100 миллионов долларов”. В соответствии с решением Министерства финансов, американским компаниям запрещено сознательно платить выкуп Evil Corp.

По словам Мелиссы Хэтэуэй, президента Hathaway Global Strategies и бывшего советника по кибербезопасности при президентах Джордже Буше и Бараке Обаме, за последние шесть месяцев требования выкупа увеличились в геометрической прогрессии.

По словам Хэтэуэй, в настоящее время средняя сумма выкупа составляет от 50 до 70 миллионов долларов США. Хотя эти требования часто снижаются, компании часто платят выкупы в десятки миллионов долларов, отчасти потому, что полисы киберстрахования частично или полностью покрывают расходы. По примерной оценке, средняя сумма выплаты составляет от 10 до 15 миллионов долларов.

Итоги

Данная проблема распространяется со скоростью чумы. Как бы это не звучало, но на сегодняшний день подобные атаки являются глобальной угрозой, которая не остается без следа. Хакеры спокойно реагируют на то, что у той или иной кампании есть страховка от атак и даже пользуются этим ради своей выгоды, ведь тогда им с большей вероятностью заплатят выкуп. А что, если скоро это выйдет на новый уровень? Что, если хакеры решат проверить себя и положат глаз на правительственный сектор и попробуют провернуть свои трюки там? Такими темпами, они смогут просто напросто ухудшить экономическое состояние в стране, полностью остановить производство и так далее. Чего только стоит ситуация с Colonial Pipeline, когда все побережье осталось без газа и топлива. Эту проблему надо рубить под корень, пока она не стала чем-то более масштабным, чем использование программ-вымогателей ради получения выкупа.

Про страхование киберрисков мы уже писали в нашей статье Киберстрахование: зачем защищать информацию?, в которой подробно разобрали самые актуальные вопросы по этой теме: