Вашу систему зламали. Вкотре…

У ніч з 13 на 14 січня більше 70 урядових сайтівстали жертвами хакерської атаки. А на сторінках окремих зламаних ресурсів з’явилися погрози на адресу українців. Розслідуванням інциденту зайнялася СБУ, Держспецзв’язку і департамент кіберполіції Нацполіції.

На цей час існує три версії того, що відбулося:

Застаріла система

Прогалини в системі October CMS, на якій працюють сайти українських міністерств і відомств. Ця система не відновлювалася з травня 2021 року. Частина сайтів відомств працює на старій версії іншої системи – WordPress.

 Злам інфраструктури

Держспецзв’язку разом з СБУ і кіберполіцією з’ясували, що з більшою ймовірністю відбулася так званаsupply chain attack, тобто атака через ланцюжок поставок. Повідомляється, що зловмисники зламали інфраструктуру комерційної компанії, яка мала доступ адміністратора до постраждалих в результаті атаки веб-ресурсів.

Шкідливе ПЗ

Центр аналізу погроз Microsoft Threat Intelligence Center (MSTIC) заявив, про те, що знайдено шкідливе ПЗ на декількох українських сайтах, які належать державним установам.  Про це корпорація Microsoft повідомила у своєму блозі. Повідомлено, що шкідливе ПЗ вперше зафіксоване в Україні 13 січня 2022 року. ПЗ «виглядає, як вірус-вимагач, але без механізму викупу» і використовується для виведення з ладу систем.

Зараз спеціалісти Microsoft зафіксували ознаки кібератак в десятках систем, які охоплюють декілька базуючихся в Україні державних, некомерційних і інформаційно-технологічних організацій. Жертвами шкідливих програм стали також сайти, пов’язані з критичною інфраструктурою, включно з медичними закладами. Повідомляється, що кількість атакованих сайтів може зрости.

Зараз йде відпрацювання версії щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливості OctoberCMS и Log4j. Також фіксуються DDOS-атаки на ряд постраждалих органів держвлади.

Повторюємо основи

Одна з недавніх масштабних хакерських атак в Україні сталася у 2017 році і спричинила переполох. 27 червня вірус Petya.A паралізував сайти багатьох українських компаній і органів влади. В Україні вірус розрісся на комп’ютери низки міністерств, енергетичних компаній, банків, ЗМІ, мобільних операторів, мереж заправок, київського аеропорту «Бориспіль» і київського метро.

СБУ звинуватила російські спецслужби в причетності до цієї атаки. Посилаючись на дані, СБУ вказувала на ті ж хакерські угрупування, які в грудні 2016 року атакували фінансову систему, об’єкти транспорту і енергетики України. У 2016 році декілька обласних енергорозподільчих компаній стали жертвами кібератаки, що призвела до відключення світла у 80 тис. користувачів.

Найбільш масштабним за наслідками став напад на «Прикарпаттяобленерго». Тоді протягом декількох годин були знеструмлені десять районів Івано-Франківської області. Тоді ж Держслужба спецзв’язку і захисту інформації, повідомили про спробу інфікувати комп’ютери міжнародного аеропорту «Бориспіль» тим же вірусом, який використовувався при нападі на енергокомпанії.

У грудні 2016 року кібернападу зазнали державне казначейство, міністерство фінансів і пенсійний фонд.   Через це декілька днів блокувалися бюджетні виплати на сотні мільонів гривень, а сайти мінфіну і казначейства не працювали. Здавалося б, всі підрахували втрати, зрозуміли серйозність ситуації і мали б вжити заходів, але нещодавні атаки показали, що українським організаціям все ж треба приділити більшу увагу кібербезпеці.

Знижуємо ризики програмних атак. Терміново!

Незважаючи на наявність центрів і доктрин кібербезпеки, забезпечення безпеки роботи інтернет-ресурсів бажає кращого – схожі інциденти відбуваються на постійній основі.

Для зниження ризику програмних атак необхідно декілька відмінних інструментів. Серед варіантів:

Інвестуйте в аналітиків SOC (центр управляння безпекою). ІТ-спеціалісти уважно вивчать інфраструктуру кібербезпеки вашого бізнесу, щоб виявити проблеми захисту. Вони також реагуватимуть на загрози, аналізуватимуть наслідки будь яких атак  і працюватимуть над полпшенням вашої системи.

• Майте план дій на випадок надзвичайних подій/моделі загроз з урахуванням всіх сторонніх постачальників. У вас завжди має бути план дій при надзвичайних ситуаціях на випадок якщо постачальник буде скомпрометований або поставить під загрозу вашу систему. Модель загроз може допомогти візуалізувати потенційні загрози, які можуть надходити від постачальників.
• Зробіть кібербезпеку регулярною частиною тренінгів у вашій компанії. Кожен співробітник має розуміти важливість кібербезпеки і свою роль в забезпеченні загальної кібербезпеки.
• Застосовуйте засоби контролю доступу постачальників. Обмеження їх доступу до вашої системи – відмінний спосіб зменшити потенційні загрози. Іншими словами, дозволяйте отримувати доступ тільки до того, що потрібно для роботи.
• Вчиться на чужих помилках і дійте.

В свою  чергу IT-Solutions готова допомогти в розробці і реалізації стратегії безпеки Вашої компанії, від написання політик безпеки до побудови повноцінного і робочого  SOC.