Вымогательская программа Ryuk атаковала технологическую сеть коммерческого грузового порта в США. По-видимому, это стало возможным в результате нарушения его операторами правил кибербезопасности. Другим портам рекомендовано принять срочные меры.
Шифровальщик Ryuk вывел из строя цифровую инфраструктуру целого порта в США. По сообщению Службы береговой охраны США, вредонос парализовал корпоративную ИТ-сеть объекта, регулируемого Актом о безопасности морского транспорта, а также системы промышленного мониторинга и контроля над передачей грузов. Зашифрованы файлы, критически необходимые для исправного функционирования объекта.
В бюллетене не указано, впрочем, о каком именно объекте идет речь. Скорее всего, это крупный коммерческий грузовой порт. Вся его деятельность была парализована минимум на 30 часов. Первоначальным вектором атаки, скорее всего, было фишинговое письмо.
Ryuk появился более года назад. Обычно для его распространения используется бэкдор, который попадает на устройства частных и корпоративных пользователей именно через фишинговые письма с вредоносными вложениями под видом финансовых документов. По итогам ушедшего 2019 г. «Лаборатория Касперского» назвала его одним из трех самых активных шифровальщиков в мире, упомянув в отчете на первом месте.
Ryuk довольно давно и весьма успешно атакует коммерческие и промышленные объекты, но каждая следующая жертва оказывается застигнутой врасплох.
В Береговой охране настоятельно рекомендуют портам и другим объектам, регулируемым вышеупомянутым законом, срочно внедрить у себя защитные инструменты и средства для восстановления данных. В частности, развернуть систему обнаружения и блокировки вторжений, использовать отвечающие отраслевым стандартам антивирусные средства, реализовать сегментирование сетей, а также обеспечить резервное копирование критически важных файлов и данных.
Рекомендовано также использовать разработанные Национальным институтом стандартов и технологий (NIST) нормативы, такие как NISTCybersecurityFramework, при развертывании программы по управлению рисками.
«Очередной пример того, насколько может быть опасен фишинг, а также неумение ему противодействовать, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — В данном случае, видимо, свою роль сыграло еще и отсутствие необходимой изоляции между офисной и технологической сетями, так что вредонос беспрепятственно проник из пользовательского компьютера в машины, управляющие транспортировкой грузов в порту. Между тем, это одно из базовых правил кибербезопасности — отделять эти сети друг от друга».