Що спільного між Boeing, австралійською авіакомпанією, найбільшим у світі банком та однією з найбільших юридичних фірм? Усі чотири компанії зазнали порушень кібербезпеки, найімовірніше, від рук хакерів-підлітків, після того, як не змогли виправити критичну вразливість, про яку експерти з безпеки попереджали більше місяця.
За словами Кевена Бомонта, незалежного дослідника з питань безпеки, який має один з найповніших поглядів на ландшафт кібербезпеки, окрім американського виробника реактивних лайнерів, жертвами стали DP World, австралійська філія логістичної компанії DP World, що базується в Дубаї; Промисловий і комерційний банк Китаю; і міжнародна юридична фірма Allen & Overy. Усі чотири компанії підтвердили, що останніми днями зазнали інцидентів з безпекою, а китайська компанія ICBC, як повідомляється, заплатила викуп, сума якого не розголошується, в обмін на ключі шифрування даних, які відтоді були недоступні.
Посилаючись на дані, що дозволяють відстежувати операторів програм-вимагачів і людей, знайомих з цими зломщиками, Бомонт сказав, що ці чотири компанії є одними з 10 відомих йому жертв, яких на даний момент шантажує LockBit, один з найбільш успішних і руйнівних злочинних синдикатів, що займаються вимаганням викупу. Всі чотири компанії, за словами Бомонта, були користувачами мережевого продукту під назвою Citrix Netscaler і не встановили патч для усунення критичної вразливості, незважаючи на те, що він був доступний з 10 жовтня.
Проста в експлуатації вразливість, що отримала назву CitrixBleed і має рейтинг серйозності 9,4 з 10 можливих, розкриває токени сеансів, які дозволяють обійти всі засоби контролю багатофакторної автентифікації всередині вразливої мережі. Зловмисники отримують еквівалент настільного комп’ютера, що працює за принципом “наведи і клацни”, у внутрішній мережі жертви, де вони можуть вільно переміщатися. Групи вимагачів часто складаються майже виключно з підлітків, і занадто довго їх не сприймали всерйоз як загрозу. Вони становлять загрозу для громадянського суспільства доти, доки організації продовжують платити.
Зосередження уваги на основах кібербезпеки для організацій масштабу підприємства є складним завданням, оскільки часто люди женуться за уявною наступною великою річчю – метапростором, NFT, генеративним штучним інтелектом – не маючи змоги добре засвоїти основи. Великі підприємства повинні мати можливість швидко виправляти вразливості, такі як CitrixBleed. Реальність кібербезпеки, в якій ми живемо зараз, така, що підлітки бігають в організованих злочинних угрупованнях з цифровими базуками. Вони, ймовірно, мають кращу інвентаризацію активів вашої мережі, ніж ви, і їм не потрібно чекати 4 тижні, поки 38 людей схвалять запит на зміну для виправлення одного недоліку.
Знайте межі своєї мережі та ризиковані продукти так само добре, як це робить LockBit. Ви повинні мати можливість ідентифікувати та виправити щось на кшталт CitrixBleed протягом 24 годин – якщо ви не можете, існує цілком реальна можливість, що це не ідеальний продукт для вашої організації через рівень ризику, який він становить, і вам потрібно переосмислити, чи відповідає архітектура вашого будинку поставленим цілям.
Такі постачальники, як Citrix, повинні мати чіткі заяви про наміри щодо захисту своїх продуктів, оскільки нагромадження патчів за патчем не є життєздатним для багатьох організацій – або ж клієнти повинні віддавати перевагу більш перевіреним рішенням, не шкодуючи своїх гаманців. Реальність така, що багато постачальників постачають техніку зі стандартами кібербезпеки гіршими, ніж коли я починав свою кар’єру наприкінці 90-х років, і при цьому рекламують себе як експертів у цій галузі. Маркетинг – це пекельний наркотик.
Вперше LockBit з’явився у вересні 2019 року і швидко встиг зламати тисячі організацій по всьому світу, здебільшого за допомогою автоматизованого процесу зараження. Тоді дехто трохи наївно зауважив, що наслідки його руйнівних хакерських атак стануть повчальною історією, але організації, схоже, не звернули на це уваги. Натомість у 2022 році LockBit був оголошений “найбільш поширеним варіантом вірусу-вимагача у світі” і продовжував активно розвиватися у 2023 році.
Як зазначив Бомонт у понеділок, багато жертв цього вірусу перебувають у настільки скрутному становищі, що вирішують заплатити викуп в обмін на якнайшвидше відновлення працездатності своїх мереж. Платежі запустили замкнене коло, яке не показує жодних ознак уповільнення. Заробляючи сотні мільйонів доларів, LockBit отримує можливість купувати нові експлойти, інструменти, ресурси і людей для здійснення атак.
