Действительно ли программа-вымогатель REvil вызвала нехватку мяса?
Программы-вымогатели впервые начали вызывать проблемы в 1989 году. Однако до недавнего времени они не представляли собой особо изощренную угрозу. Злоумышленники рассылали большие партии вредоносного ПО, и следующей жертвой становился тот, кто был достаточно неосторожен, чтобы загрузить его.
Но все изменилось. Жертвы больше не выбираются случайным образом, а скорее в зависимости от их способности платить большие суммы денег.
Прекрасным примером этого является недавнее нападение на JBS преступной организации REvil.
Кто такой REvil?
REvil или Ransomware Evil – преступная организация, известная тем, что использует программы- вымогатели в качестве услуги (RaaS).
RaaS – это бизнес-модель, в которой хакеры работают с аффилированными лицами. Идея состоит в том, что филиалы получают доступ к самому мощному программному обеспечению в обмен на долю прибыли. Мелкие киберпреступники становятся более опасными, а их работодатели зарабатывают большие деньги, ничего не делая.
Как и о большинстве онлайн-преступных организаций, о REvil известно немногое. Некоторые думают, что они базируются в России, но это только потому, что ни одна из их атак никогда не была направлена ни на российские компании, ни на компании из бывшего советского блока.
Считается, что они могут быть связаны с Darkside, другой печально известной преступной организацией. Это связано с тем, что обе организации используют одинаковый код и записки о выкупе.
Некоторые люди предполагали связь с российским правительством, но важно отметить, что никаких доказательств этого никогда не было. Тот факт, что REvil, похоже, действует в России с иммунитетом, можно так же легко объяснить неспособностью правительства остановить их, как и сговором.
Единственное, что известно о группе наверняка, – это то, что они хороши в своем деле и не стесняются запрашивать большие суммы денег в обмен на остановку.
В 2020 году они заявили, что у них есть документы, принадлежащие Дональду Трампу, и запросили 42 миллиона долларов, чтобы не выдавать их.
REvil вызывает нехватку мяса?
Нет, но это был близкий вызов.
JBS – крупнейший в мире поставщик мяса и, по оценкам, в настоящее время поставляет 20 процентов мирового мяса.
30 мая 2021 года они подверглись атаке программы-вымогателя. Преступники были REvil. И хотя в конечном итоге нехватки мяса удалось избежать, она могла пойти в любом случае.
Неизвестно, как долго планировалась атака, но следователи полагают, что оперативники REvil получали доступ к системе как минимум в течение месяца.
Как только нападение началось, почти сразу же произошли широкомасштабные разрушения. Заводы в США и Австралии остановились.
Из-за размера JBS о возможности нехватки мяса широко сообщалось в Интернете.
1 июня Министерство сельского хозяйства не смогло опубликовать цены на говядину и свинину. Министерство сельского хозяйства США также потребовало от других поставщиков мяса увеличить производство.
Однако в тот же день JBS объявил, что атака в основном находится под контролем. У них были системы резервного копирования, и REvil не смог их скомпрометировать. Большинство заводов были вновь открыты в последующие дни, и JBS объявила, что любые продолжающиеся сбои будут минимальными.
9 июня стало известно, что JBS заплатила выкуп в размере 11 миллионов долларов.
За открытие заводов выкуп уплачен не был. Это уже произошло. Согласно JBS, они решили заплатить, потому что не могли рисковать, что конфиденциальная информация о клиентах и поставщиках будет опубликована.
В ФБР заявили, что они делают все возможное, чтобы найти виновных. Они не сказали, как они собираются этого добиться.
Как хакеры вызывают нехватку поставок?
Атака на JBS произошла менее чем через месяц после атаки на Colonial Pipeline . Атака на JBS вызвала значительно меньшие нарушения, но в то же время трудно не увидеть сходства между ними.
И мясная, и газовая промышленность сильно консолидированы. Это означает, что когда один из их крупнейших поставщиков временно закрывается, его место некому заменить.
Атака на Colonial Pipeline вызвала панические закупки на бензоколонках, краткосрочное повышение цен на газ и даже несколько дальних рейсов для дополнительных остановок заправки.
Атака JBS не вызвала дефицита мяса, но вызвала экстренные встречи в Белом доме.
Когда вы объединяете консолидацию с эффективностью программ-вымогателей, такие организации, как REvil, внезапно получают возможность вызывать дефицит в повседневных продуктах.
Почему программы-вымогатели так эффективны?
Программы-вымогатели эффективны, потому что хакерам достаточно одной ошибки, чтобы проникнуть в систему. Чтобы кибербезопасность была эффективной, ей необходимо ежедневно отражать атаки. Чтобы хакер был эффективным, он должен однажды оказаться правым.
Сообщается, что JBS тратит на ИТ 200 миллионов долларов в год. Колониал, скорее всего, потратит аналогичную сумму. У каждой компании есть практически неограниченные средства, чтобы остановить хакеров. Каждая компания была взломана.
Что делается, чтобы остановить организации, занимающиеся программами-вымогателями?
Очевидное решение проблемы программ-вымогателей – прекратить платить организациям. Если прибыль остановится, исчезнет и угроза. К сожалению, вообще запретить платежи нецелесообразно.
Компании платят, потому что неспособность сделать это часто означает, что они либо теряют свою конфиденциальную информацию, либо публикуют ее.
Потенциально более практичным решением будет продолжать разрешать производить платежи, но затем отслеживать и впоследствии возвращать их. После того, как Colonial Pipeline заплатила 4,4 миллиона долларов, впоследствии было возвращено 2,3 миллиона долларов.
Проблема с этим решением заключается в том, что криптовалюта популярна среди киберпреступников именно потому, что ее всегда сложно, а иногда и невозможно отследить.
Программы-вымогатели – проблема без решения
Угроза программ-вымогателей растет, и очевидного конца этому не видно. Атака на JBS – лишь последний пример продолжающейся проблемы. Независимо от того, сколько денег компания тратит на кибербезопасность, вымогатели могут проникнуть внутрь. А когда это происходит с крупнейшими мировыми компаниями, дефицит предложения неизбежен.
К сожалению, это проблема без простого решения. Пока программы-вымогатели приносят прибыль, атаки будут продолжаться.