В последнее время участились случаи кибератак на городские администрации в США. Менее чем за два месяца третий город страдает от одной и той же угрозы — шифровальщиков.
7 мая был атакован Балтимор, штат Мэриленд. Администрация приняла решение не идти на поводу у вымогателей и, по предварительным подсчетам, понесла ущерб более чем на 18 миллионов долларов. Через несколько недель Ривьера Бич в штате Флорида, следующий город, чьи компьютеры были зашифрованы, принял решение заплатить вымогателям 65 биткойнов — примерно 600 000 долларов.
Через неделю после этого был атакован еще один город — Лейк-Сити, в той же Флориде. На этот раз городская администрация приняла решение еще быстрее и выплатила вымогателям полмиллиона долларов. Пока неизвестно, удалось ли им успешно расшифровать данные, но ключ злоумышленники им прислали.
Если копнуть чуть глубже, видно, что атаковать шифровальщиками администрации городов и округов злоумышленники стали еще в прошлом году. Достаточно громкие инциденты такого рода произошли в Атланте, штат Джорджия, округе Джексон, штат Джорджия, городе Олбани, штат Нью-Йорк,
Платить или не платить?
Как показывает опыт Балтимора, ликвидировать последствия атаки своими силами стоит гораздо дороже, чем заплатить вымогателям. Возможно, именно подсчет ущерба от этого инцидента во многом повлиял на решения городских советов Ривьера Бич и Лейк-Сити.
Разумеется, платящих вымогателям можно понять. Когда шифровальщик парализует городские службы, речь идет не только об убытках, но и о жизни и благополучии людей. Однако каждый раз, когда город платит, злоумышленники убеждаются в том, что их усилия не напрасны. И рассылают письма с шифровальщиками следующим жертвам. Поэтому и ФБР, и компании, занимающиеся информационной безопасностью, рекомендуют ни в коем случае не платить.
Как не стать жертвой шифровальщиков?
Практически все заражения шифровальщиками происходят по одной схеме. Кому-то в администрации города приходит письмо с вредоносной программой. Получатель, не распознав угрозы, запускает вредонос, который использует уязвимости в операционных системах или другом софте (зачастую давно известные уязвимости) и шифрует данные. Иногда (опять же, через известные уязвимости) он распространяется на все компьютеры в локальной сети жертвы. Поэтому основных советов у нас три:
- Вовремя обновляйте ПО, и в первую очередь — операционные системы.
- На всех компьютерах используйте защитные решения, способные справляться как с известными, так и с еще не выявленными шифровальщиками. Например, Kaspersky Anti-Ransomware Tool — совместимый с защитными продуктами сторонних производителей.
- Научите сотрудников распознавать приемы социальной инженерии, которыми пользуются злоумышленники, и защищаться от них.
В числе прочего у нас есть вариант интерактивного тренинга Kaspersky Interactive Protection Simulation, разработанный специально для локальных администраций. Он создавался в рамках проекта COMPACT, созданного Европейской Комиссией, но подходит для обучения публичных администраций по всему миру. Узнать о нем чуть больше можно в этой статье.