Подобные схемы становятся все опаснее и могут серьезно увеличить ущерб от единичной бреши в системе безопасности. Именно так были организованы крупнейшие кибератаки прошлого года, в том числе те, что затронули Kaseya и SolarWinds.
Киберпреступники продолжают атаковать крупные компании и ключевые объекты инфраструктуры и требовать коллективный выкуп с малого и среднего бизнеса.
Что такое атака на цепочку поставок?
Обычно хакеры выбирают целью одну компанию и ищут способы проникнуть в сеть компьютера жертвы. Однако существует и иная схема – найти доверенную организацию, которая поставляет программы или IT-сервисы другим.
Злоумышленники пытаются внедрить вредоносный код в программный код, который попадает на компьютеры клиентов при обновлении. Учитывая, что поставщики имеют практически неограниченный доступ к сети покупателей, вирус может установиться незаметно или инфицировать сразу тысячи компьютеров.
При таких атаках цели не выбираются: в опасности любой, кто использует программу от скомпрометированного поставщика. Это повышает риски для малого и среднего бизнеса, который обычно не попадает в поле зрения киберпреступников.
Недавние примеры
Именно по этой схеме были организованы самые масштабные взломы во время пандемии.
2 июля 2021 года хакеры взломали Kaseya. В результате были инфицированы около 50 провайдеров, а через них — 1500 их клиентов. Злоумышленники зашифровали данные жертв и закрыли им доступ в сети. Теперь они требуют выкуп в $50 млн за разблокировку.
В прошлом году были атакованы сети SolarWinds, IT-компании, которая продает ПО для мониторинга компьютерных сетей.
В марте 2020 года вирус вместе с обновлением попал на компьютеры 100 частных компаний и 9 правительственных организаций США. Тогда киберпреступники не просили выкуп. Похоже, они использовали уязвимость для шпионажа.В июне 2021 года та же группа атаковала некоторые из инструментов Microsoft. Хотя хакерам не удалось получить доступ к сетям клиентов, этот факт подчеркивает, насколько опасны атаки на цепочки поставок. В зоне риска оказался даже самый защищенный разработчик.
Как защититься от атак на цепочку поставок?
Многие компании уже знают, как опасны фишинговые атаки: по статистике Keepnet, жертвой становится каждый восьмой сотрудник. Чтобы минимизировать риски, организации проводят тестовые атаки и обучение.
Избежать атаки на цепочку поставок труднее, поскольку хакеры используют тактику троянского коня и распространяют вредоносный код через обновления. Эксперты по кибербезопасности рекомендуют эти три шага.
- Сократить число внешних поставщиков ПО и IT-услуг. Чем их больше, тем выше риск взлома.
- Провести комплексную проверку и убедиться, что партнеры принимают все меры для защиты от хакеров. Дэвид Уайт, президент Axio, отмечает: «Мы все больше зависим от инструментов управления, связанных с интернетом. У них огромные права внутри сети. Уверены ли мы, что они достаточно защищены?».
- Пересмотреть подход к установке обновлений. Не стоит добавлять их в список исключений антивируса. Дэйл Гонсалес, директор по продукту Axio, советует тестировать обновления на изолированных серверах, прежде чем установить во всей сети.
Важны не только превентивные меры, но и оперативное реагирование. На днях бывшие сотрудники Kaseya рассказали, что ПО компании подвергалось атакам как минимум дважды в период с 2018 по 2019 год, однако и после этого стратегия безопасности не была существенно изменена.
Фото на обложке: Unsplash