Деньги не главное
Министерство юстиции США предъявило обвинения двум гражданам Ирана, которых обвиняют в масштабных кибератаках. Фарамарз Шахи Саванди и Мохаммад Мехди Шах Мансури ответственны за создание вируса-вымогателя SamSam.
Сообщается, что иранцы смогли получить $6 млн от 200 своих жертв, среди которых числятся не только рядовые пользователи, но и целые американские города — Атланта и Ньюарк.
Из-за этого инцидента Министерству финансов пришлось впервые наложить санкции на биткоин-кошельки, так как все средства, полученные хакерами в качестве выкупа, хранились именно на них.
SamSam начал заражать компьютеры в 2015 году, специализируясь на атаках на больницы и объекты инфраструктуры. Как и другие вирусы-вымогатели, SamSam блокировал компьютер пользователя и требовал за дешифровку денежный выкуп в биткоинах, причем сумма иногда доходила до десятков тысяч долларов. Как утверждает следствие, через кошельки обвиняемых прошло свыше 7 тыс. транзакций.
Как заявил прокурор США Крейг Карпенито, главной целью Саванди и Мансури были не деньги.
«Они пытались навредить нашим учреждениям и критической инфраструктуре. Они пытались посягнуть на наш образ жизни», — заявил Карпенито.
Одним из самых громких «дел» хакеров стала атака на Атланту, штат Джорджия, в марте 2018 года. Тогда от действий злоумышленников пострадали базовые муниципальные функции — например, горожане не могли оплатить свои счета или воспользоваться парковочными счетчиками, так как транзакция не могла пройти через зараженную сеть.
Минюст утверждает, что Саванди и Мансури провели кибератаки в 43 штатах Америки, но при этом не разглашает, сколько человек пострадало в результате. Ранее СМИ сообщали о больнице Indiana Hospital Hancock Health, которая приняла решение заплатить мошенникам за разблокировку компьютеров, перечислив им $55 тыс.
К сожалению, как часто бывает в подобных случаях, правосудие над преступниками может и не свершиться — они пока не задержаны.
«Несмотря на то что обвиняемые находятся в Иране и пока вне досягаемости американских правоохранительных органов, их могут задержать во время путешествия, а США уже исследует другие способы возмещения ущерба», — говорится в пресс-релизе Министерства юстиции.
Хакеры нацелились на города
Как пояснил специалист технического сопровождения сервисов ESET Russia Андрей Ермилов, SamSam — это не столько вирус, сколько таргетированные атаки на организации с уязвимостью в сети. Злоумышленники выискивали такие сети, проникали в них по RDP [протокол удаленного рабочего стола — «Газета.Ru»]. После этого начинался второй акт, где они получали права доменного администратора. Для этого использовалась целая комбинация инструментов, в том числе и довольно известный Mimikatz. Получив права администратора, злоумышленники завершали атаку, разворачивая шифраторы на все ПК в сети.
«При этом заражение больше походило на обычную установку легитимного ПО. Завершив третий акт, они начинали требовать деньги за доступ к файлам. Это очень напоминает рейдерский захват организации, только тут цель — получить выкуп», — рассказал эксперт.
Специалисты Check Point описали вирус-вымогатель SamSam еще в 2016 году. Он может быть доставлен на компьютер различными способами — один из них использует уязвимость Windows, которая не требует от пользователя открыть зараженный файл или перейти по ссылке. Злоумышленники могут запустить программу-вымогатель удаленно после обнаружения незакрытой уязвимости на сервере и проникновения в сеть. После проникновения, используя те же уязвимости, вирус-вымогатель распространяется по локальной сети и заражает другие устройства.
Подобные атаки уже не в первый раз становятся проблемой для городских систем. Так, в 2016 году злоумышленники атаковали муниципальное транспортное агентство Сан-Франциско (SFMTA) и нарушили работу турникетов в метро, из-за чего город понес серьезные убытки. И самый свежий пример — 28 ноября из-за кибератаки на серверы Московская канатная дорога была вынуждена остановить перевозку пассажиров.
«Это показывает, что кибератаки могут нанести не только серьезный финансовый урон, но и негативно влиять на жизнь целого города. Учитывая, что в постепенно к сети подключается вся городская инфраструктура (ЖКХ, больницы, транспорт и пр.), нужно работать на предотвращение угроз, а не устранение последствий», — рассказал «Газете.Ru» технический директор Check Point Software Technologies в России и СНГ Никита Дуров.