Злоумышленники похитили у энергогиганта 10 ТБ данных

На днях самая крупная производственная компания Португалии Energias de Portugal (EDP) – транснациональный холдинг распределения и сбыта электроэнергии и природного газа – пострадал от вымогательского ПО Ragnar Locker. 

У компании украдено более 10 Тб коммерческой информации. В обмен на сохранение приватности данных злоумышленники требуют выкуп в размере 1580 биткоинов, что составляет порядка $11 млн. По известным данным, пострадали некоторые сотрудники компании, которых злоумышленники пытались запугать последствиями от лица компании по результату обнаруженных утечек. В такой ситуации для сотрудника крайне важно оперативно привлекать отдел безопасности к случившемуся инциденту. 

Компания EDP сообщила, что никакие системы критической инфраструктуры не повреждены, производственные процессы приходят в норму. К расследованию привлечены официальные лица властей.

Известно также, что вымогатель Ragnar Locker распространился через ПО удаленного управления (remote management software, RMM) ConnectWise или Kaseya, используемое MSP провайдером для избежания блокирования. 

Ragnar Locker – это вымогатель, работающий на предположительно англоговорящих вариациях Windows ОС, которые были замечены впервые в декабре 2019 года. Известно, что на данный момент вирус выключает себя на компьютерах с раскладкой языка стран СНГ. На английской раскладке продолжается вредоносное действие:

- останавливаются сервисы антивирусов, резервного копирования, работы баз данных и почтовых клиентов, чтобы их данные можно было зашифровать (с именами: vss, sql, memtas, mepocs, Sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya и др).

- происходит передача файлов пользователя на серверы злоумышленника в Интернет,

- появляется угрожающее сообщение о публикации всех данных и с требованием оплаты, чаще всего в биткоинах, цитата текста: «Вы можете вернуть свои файлы, заплатив выкуп. Нам нужны только деньги, никаких других интересов, это чистый бизнес. Если вы решите не платить – данные будут публично опубликованы».

Это достаточно классическая модель поведения вирусов-вымогателей. Они, как правило, являются исполняемыми файлами, распространяемыми либо через фишинговые письма, либо через загрузчики (Downloader), либо зараженными архивами или дистрибутивами (как в данном случае). Попадая в сеть, вирусы чаще всего исследуют ее и размножаются внутри сети, после чего совершают вредоносные действия. 

Эксперты группы компаний Angara рекомендуют использовать основные механизмы защиты от распространения вымогателей:

  • Антивирусная проверка входящего трафика (mail, web и др.), проверка на фишинг и спам. По возможности с использованием анти-APT решений (Sandbox).

  • Активная антивирусная защита ПК с функцией блокирования подозрительных действий. Использование EDR решений для обнаружения более широкого спектра вредоносного ПО и неизвестного ранее вредоносного ПО. Кроме того, для некоторых старых версий вымогателей известны механизмы восстановления систем. Компания «Лаборатория Касперского» разрабатывает и консолидирует инструменты восстановления на своем ресурсе noransom.kaspersky.com.

  • Установка обновлений операционных и прикладных систем, в первую очередь критических и обновлений безопасности.

  • Сегментация и анализ горизонтального трафика предприятия. Таким образом возможно снизить поверхность атаки. Использование средств поведенческого анализа трафика.

  • Резервное копирование важных данных. Регулярная проверка корректности процедуры восстановления. Одну из копий рекомендуется хранить на внешних устройствах (ленты, внешние хранилища и т.д).

  • Обучение сотрудников оперативно сообщать о компрометации почтовых и других учетных данных. Они могут быть использованы для рассылки вредоносного контента.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах