По поводу вируса шифровальщика в Konica Minolta и последствий

Михаил Кувшинов Михаил Кувшинов Про бизнес

По поводу вируса шифровальщика в Konica Minolta и последствий

16 августа, посвященный информационной безопасности ресурс BleepingComputer сообщил о масштабной атаке на Konica Minolta. День спустя на Хабре появился очень близкий к тексту русскоязычный пересказ. Я сразу скажу, что цель этого поста практическая — предупредить что именно надо делать компаниям, бизнес которых завязан на Интернет и IT. Большинство типографий входят в это число. Все цифровые — входят точно. Вопрос грянет или нет — не стоит. Грянет! Вопрос — когда?

Напротив, цели оттоптаться именно на Konica Minolta нет. Да, это эпический провал для любой IT компании, но ровно такие же провалы с шифровальщиками буквально в последние месяцы были у Canon и Garmin. Более того, я не удивлюсь, если завтра что-то подобное произойдет у кого угодно — хоть у Microsoft или HP. Проблема системная. Современный коммерческий софт крайне сложен, его качество в соответствии с лицензионными соглашениями — как есть, без гарантий. Например, в лицензионном соглашении можно найти слова вроде “изготовитель или установщик и Microsoft не предоставляют никаких договорных гарантий в отношении программного обеспечения.” При этом ошибки и критические уязвимости не просто возможны — их находят каждый день.

Что именно произошло

Здесь кратко, желающие подробностей найдут их по ссылкам.

Начиная с 30 июля 2020 года компания Konica Minolta подверглась атаке вируса-вымогателя RansomEXX. Часть файлов компании были зашифрованы. Частично перестала работать IT-инфраструктура, техническая поддержка пользователей была приостановлена.

У части клиентов компании принтеры и МФУ начали выдавать ошибку обслуживания Service Notification Failed, убрать которую удалось только после того, как специалисты Konica Minolta выпустили специальную инструкцию для системных администраторов.

Злоумышленники провели предварительную атаку на сеть предприятия для компрометации учетных данных администраторов. Далее после получения необходимых прав и доступа к контроллеру домена Windows, операторы зловреда развернули программу—вымогатель во внутренней сети компании и шифровали данные на всех доступных устройствах.

Konica Minolta не раскрыла детали инцидента, но предупредила своих клиентов, что прилагает все усилия, чтобы решить эту проблему.

Атака на Garmin произошла в ночь с 22 на 23 июля 2020 года. Согласно информации издания ZDNet, инцидент, буквально остановил работу компании. Вирус—вымогатель проник в сети Garmin и заразил большинство ПК сотрудников и часть серверов, отвечающих за передачу данных умных часов и другой спортивной электроники Garmin. Серьезно пострадали производственные отделы компании, включая некоторые линии по производству продукции в Азии. Как сообщил Sky News, Garmin заплатил многомиллионный выкуп за возобновление работы своих сервисов.

В конце июля 2020 года американское подразделение компании Canon подверглось атаке программы-вымогателя. Из-за инцидента стали недоступны внутренние и пользовательские сервисы компании, включая корпоративную электронную почту Canon, сервис Microsoft Teams, веб-сайт компании, мобильное приложение и облачное хранилище пользовательских изображений image.canon. 4 августа 2020 года почти все сервисы внутри компании были восстановлены. Однако в процессе проведения работ из-за сбоя была утеряна часть фотографий и видео.

Сейчас внимание хакеров сосредоточено на крупной рыбе — компаниях, с которых можно получить миллионы. Может показаться, что малому бизнесу ничего не грозит, но это крайне опрометчивое мнение. Очень скоро большие компании залатают ставшие известными бреши и уязвимости. Большие негодяи продадут в darknet инструментарий атаки негодяям мелким, которые и атакуют все, что смогут. Похожая ситуация была несколько лет назад с вымогателями WannaCry и Petya.

При чем здесь старая калоша

Позволю себе маленькое пояснение — с какого перепуга именно меня это так взволновало. Просто у каждого из нас есть хобби. У меня хобби странное: для собственного развлечения веду блог по IT тематике, а конкретно — по домашнему хранению данных. Куратор ветки на “хоботе” (ixbt) и автор статей по этой же тематике. Уже лет 10 дома держу около 30+ ТВ данных, персональный стриминговый сервис, тыкаю палочкой программных роботов и пр. Тематику практического отражения атак шифровальщиков дома и в SOHO поднимал еще в 2014 году.

Что делать

Тут изложение для директора, с высоты птичьего полета, общие понятия. Сисадмин знает это сам или получает свою зарплату задарма (как раз случай трех уважаемых компаний выше, чисто IMHO). Я даже не сомневаюсь, что и в Garmin и в Canon и в Konica Minolta строжайшим образом исполняли предусмотренные процедуры и рекомендации по защите данных. Эти рекомендации, к сожалению, им не помогли, так как написаны не для того, чтобы предупредить проблему, а чтобы прикрыть филейную часть, когда грянет гром. Для сисадмина задача предельно актуальная, директору (тем более владельцу) все же важнее данные.

Обратите внимание — Все (!) ваши важные для бизнеса данные должны быть забекаплены. При этом бэкап должен быть (1) актуальным, (2) пережить атаку шифровальщика и еще хорошо бы он (3) не достался врагу (например — был зашифрован), но это отдельная задача.

(1) означает, что бекап должен делаться автоматически и достаточно часто. Как минимум ежесуточно. (2) — что никто, даже с правами администратора в локальной сети, не должен быть способен испортить эти бекапы.

Решить задачу можно несколькими способами. Часть из них — плохие. Например, бекапить на внешние USB диски плохо потому, что они не очень надежные (уронил — и все) и, важнее, потому, что по факту это работает несколько месяцев, а потом лень побеждает и данные перестают актуализировать.

Сервер с файловым доступом из локальной сети — локальный или облако в Google или Яндексе, не важно — тоже плохой способ. Потому, что ваши данные точно также зашифруют — см. пример выше.

Хорошим способом может стать облачный сервис, специально заточенный под бекапы. Или должным образом сконфигурированный локальный сервер под *nix (у меня лично уже много лет как часы работает вот так. На свободном программном обеспечении и недорогом железе.) Или ещё как—то — вариантов много, было бы желание. Основные отличия годного бекап сервиса от облака для фоток из отпуска — надежность, быстрота восстановления и возможность отката не только к последнему состоянию (возможно — уже скомпрометированному), но и на выбор — к нескольким более ранним. Надежность — это не только защита от поломок и сбоев. Еще важнее — от безвозвратного злонамеренного повреждения, даже если атакующий получил административные права.

Так вот, когда грянет гром

Не надо слушать сисадмина, который обоснованно расскажет вам, что он тщательно выполнил все инструкции. Наказать — да, надо. Но еще помнить, что виновен не жираф. Именно руководитель должен был обеспечить безопасность. И имел на это все возможности. Напомню, в Бейруте тоже по инструкции конфисковали селитру. Потом по инструкции ее хранили. Теперь на месте селитры, инструкции, да и порта вообще — большая воронка.

Ну и напоследок. Бекап действительно важных данных следует делать в соответствии с правилом 3—2—1: ТРИ копии, которые сохранены в ДВУХ различных физических форматах хранения, причем ОДНА из копий, должна быть вне вашего здания.

Редакция PrintDaily.ru приглашает вас принять участие в опросе, посвященном защите данных в типографиях.

Наиболее интересные ответы будут опубликованы!

  • Есть ли в вашей компании прописанные и применяемые на практике алгоритмы защиты критично важной для бизнеса информации?
  • Если нет - почему?
  • Если да — какую информацию и какими методами вы защищаете (в общих чертах)?
  • Были ли случаи взлома, когда эти алгоритмы пригодились?

Ответить просим по этой ссылке (Google Doc)

Есть вопросы? Пишите в комментариях ниже...

Комментарии

Войдите на сайт, чтобы принять участие в обсуждении. ВХОД

EMAIL-РАССЫЛКА PRINTDAILY.RU

Один-два раза в неделю.
Без спама!