четверг, 23 апреля 2015 г.

Поучительный американский опыт: Полицейское управление заплатило выкуп за восстановление доступа к данных, заблокированным вирусом


Данная заметка Абигайль Адамс (Abigail W. Adams – на фото) была опубликована 9 апреля 2015 года на сайте газеты Bangor Daily News, г. Бангор, штат Мэн (Maine), США.

20 марта 2015 года компьютерный вирус заразил центральный сервер правоохранительных органов округа Линкольн (Lincoln County, штат Мэн), зашифровав данные в системе управления документами, используемой Управлением шерифа округа и отделениями полиции в населенных пунктах Буфбей Харбор (Boothbay Harbor), Дамарискотта (Damariscotta), Вискасет (Wiscasset) и Волдборо (Waldoboro).

Вирус, известный под именем Megacode, держал «в заложниках» данные в системе управления документами до тех пор, пока не был выплачен выкуп в криптовалюте «биткойн», эквивалентный 300 евро, сообщил шериф Тодд Брэкетт (Todd Brackett). После оплаты был прислан код для расшифровки, и система управления документами вернулась в рабочее состояние.

По словам шерифа, вирус был скачан вручную, когда сотрудник нажал на ссылку в подозрительном электронном письме. «Это не была кибератака», - сказал Брэкетт. «Нас не взломали. С данным типом вируса, Вы должны совершить операции вручную, чтобы выпустить его на волю».

Скачанный вирус находился в неактивном состоянии на неиспользовавшемся компьютере в одном из отделений полиции района. Зараженный компьютер, который пролежал на складе более года, был снова подключен к системе, и вирус заразил центральный сервер.

Вирус Megacode представляет собой одну из форм вредоносного кода для крипто-вымогательства, программу, которая шифрует компьютерные файлы и делает их недоступными, пока не будет выплачен выкуп. Согласно отчету «Разбираясь с крипто-вымогательством» (Understanding Crypto-Ransomware, http://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf ), подготовленному работающей в сфере компьютерной безопасности фирмой Bromium, подобные вредоносные программы впервые появились в сентябре 2013 года и стали все более и более распространенными ввиду своей успешности.

Крипто-вымогатели (crypto-ransomware) отличаются от других видов вредоносных программ тем, что не крадут информацию, которую шифруют (святая наивность! – Н.Х.). Подобные вирусы шифруют данные, лишая пользователей возможности получить к ним доступ до тех пор, пока не будет уплачен небольшой выкуп.

Согласно отчету, вирусы-криптовымогатели распространяются через вредоносную рекламу (malvertising) – появляющуюся на вполне легальных платформах в Интернете онлайн-рекламу, в которую встроен вредоносный код. Эти вирусы, как правило, проникают в систему после нажатия пользователем на ссылку, содержащую вирус. Авторы вирусов-вымогателей, как правило, требуют оплату в криптовалюте, такой, как биткойны (Bitcoins), из-за их невозможности проследить её движение. Согласно Центру жалоб на онлайн-преступления ФБР (Internet Crime Complaint Center) , такая схема известна как «интернет-вымогательство» (Internet extortion).

Для решения проблемы ИТ-специалисты в Управлении шерифа сотрудничали с компанией Burgess Computer – поставщиком услуг по поддержке компьютерной сети, а также со вспомогательным персоналом системы управления документами, - сообщил Брэкетт.

Брэкетт, первоначально не хотевший платить выкуп, затем по совету специалистов, знакомых с вирусами такого рода и помогавших другим пострадавшим от вируса пользователям, санкционировал в конечном итоге выплату 300 евро в биткойнах ответственным за вирус Megacode лицам. Код расшифровки пришёл сразу же после уплаты денег, и 22 марта правоохранительные органы округа Линкольн смогли получить доступ к системе управления документами. По словам шерифа, не было ни потеряно, ни украдено никаких данных из системы.

Переписка по электронной почте с ответственными за вирус Megacode кибер-преступниками позволила Управлению шерифа установить, что те находились в Европе. Биткойны были перечислены на счет в швейцарском банке, - рассказал Брэкетт. Их дальнейшее движение проследить не удалось.

По словам шерифа, вирусная атака практически не повлияла на жителей округа. Вирус был удален из системы, и никакие данные в системе управления документами скомпрометированы не были. В период с 20 по 22 марта звонки на номер службы спасения 911 принимались и правоохранительных органов выезжали по вызову как обычно.

В этот период сотрудники правоохранительных органов не смогли вводить свои отчеты непосредственно в систему, и им пришлось вернуться к перу и бумаге. После того, как работоспособность системы была восстановлена, накопившиеся за эти дни данные были введены в систему управления документами. «Всё восстановлено», подчеркнул Брэкетт. «Нет никаких остаточных явлений [после вирусной атаки]».

Об инциденте было сообщено в ФБР. Для них это, однако, не слишком приоритетный вопрос из-за небольшой суммы денег – на фоне огромного объема киберпреступлений в целом. «Это распространенный вирус, о котором ФБР знает», - пояснил шериф. «Они будут разбираться с нашим инцидентом, но для них это неприоритетное дело. Всё это показывает, как умны эти преступники. Они выпрашивают достаточно небольшую сумму денег, чтобы не привлекать к себе много внимания».

Отделение ФБР в Портленде (Portland) не стало ни подтверждать, ни опровергать факт проведения расследования инцидента. Сообщения о большинстве расследуемых ФБР киберпреступлений поступают в Центр жалоб на онлайн-преступления, которым совместно управляют ФБР и Национальный центр по борьбе с преступлениями служащих NW3C (National White Collar Crime Center). Согласно информации на сайте NW3C, обращения рассматриваются группой аналитиков, отслеживающих тенденции в киберпреступности. Заявления об уголовных преступлениях передаются в соответствующие правоохранительные или контролирующие органы.

По словам Брэкета, будет проведено дополнительное обучение персонала правоохранительных органов округа Линкольн с целью предотвращения в будущем подобных инцидентов.

Абигайль Адамс (Abigail W. Adams)

Источник: сайт газеты Bangor Daily News
https://bangordailynews.com/2015/04/09/news/midcoast/lincoln-county-paid-bitcoin-ransom-for-police-data-blocked-by-computer-virus/ 

2 комментария:

  1. Уважаемая Наталья!
    Не сочтите за крючкотворство, но все же штат не Мейн, а Мэн))

    Ваш постоянный читатель.

    ОтветитьУдалить