Операторы шифровальщика DoppelPaymer выложили в Сеть украденные данные Lockheed-Martin, Boeing, Tesla, SpaceX и многих других. Просто потому, что компания, у которой эти сведения увели, отказалась платить выкуп.
Одна утечка, масса пострадавших
Операторы шифровальщика DoppelPaymer выложили в Сеть конфиденциальные данные, принадлежавшие нескольким крупнейшим аэрокосмическим и военным корпорациям США, — Lockheed-Martin, SpaceX, Boeing. Утечка также затронула другие компании, в частности Tesla, Honeywell, Blue Origin, Sikorsky, Joe Gibbs Racing, а кроме них Университет штата Колорадо, Инженерный университет Кардиффа и др.
Как минимум часть утекших документов являются строго конфиденциальными. В частности, в общем доступе оказались характеристики антенны для системы противоминомётной защиты Lockheed-Martin. Кроме того, утекли различные платёжные поручения, данные о поставщиках, аналитические записки и юридические документы. Обнаружились также документы, описывающие партнёрскую программу для производителей, которую предлагает SpaceX.
Источником данных была одна-единственная компания Visser Precision Manufacturing, разработчик инженерных решений и производитель оборудования и комплектующих для самых разных отраслей. Visser является подрядчиком всех вышеперечисленных организаций.
Во второй половине марта 2020 г. стало известно, что Visser Precision пал жертвой шифровальщика. Операторы DoppelPaymer с недавних пор не только шифруют данные, но и воруют их, а затем требуют со своих жертв огромные суммы выкупа, угрожая, в противном случае, выложить все данные в общий доступ. Очевидно, Visser отказались платить.
Стандартные процедуры
Lockheed-Martin заявила, что в курсе ситуации и «следуют стандартной процедуре реагирования на киберинциденты, затрагивающие каналы поставок». В рамках этой процедуры, утверждают в Lockheed-Martin, корпорация осуществляет консультирование поставщиков и оказывает помощь в улучшении собственной защиты.
«Атаки на поставщиков и подрядчиков зачастую наносят больший итоговый ущерб крупным корпорациям, чем «лобовые» нападения, уже потому, что обычно подрядчики не обладают ресурсами крупнейших организаций и потому слабее защищены, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Между тем, компании-подрядчики подчас работают сразу на большое количество заказчиков, и, соответственно, аккумулируют огромные объёмы ценных данных… тем самым срабатывает эффект «всех яиц в одной корзине». Результаты могут быть катастрофическими, в зависимости от того, насколько значимыми были похищенные данные, а в случае Visser, по-видимому, речь идёт о «мечте шпиона». Так что даже немного странно, что эти данные оказались в общем доступе».
Ситуация с Visser служит очередным напоминанием, что защититься от шифровальщиков проще, чем иметь дело с последствиями. DoppelPaymer внедряется в корпоративные сети путём взлома — через незащищенную конфигурацию RDP, с помощью спама и вредоносных вложений, поддельных загрузок, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов или в сугубо ручном режиме, когда злоумышленники запускают вредонос, используя ранее украденные реквизиты доступа к ресурсам в корпоративных сетях. Для реализации защиты необходимо знать слабые места инфраструктуры (и исправить эти проблемы), а главное — использовать самые свежие антивирусы, регулярно менять пароли, обеспечивать сегментацию внутренних сетей и резервировать данные. Это не даст гарантий безопасности, но существенно затруднит злоумышленникам задачу.