Мир за неделю: риски концентраций

Атака на облачного провайдера может обернуться одной из крупнейших утечек данных в истории, а медицинские системы США и Великобритании находятся под непрерывными атаками хакеров.

Хакерская атака на американскую компанию Snowflake, которая занимается облачными вычислениями и анализом данных, может обернуться одной из крупнейших утечек данных в истории. Услугами провайдера пользуются почти 10 тыс. клиентов, среди которых значатся крупнейшие мировые корпорации. 

В конце мая компания, которая является облачным провайдером и хранилищем, сообщила, что хакеры «пытались получить доступ к учетным записям ее клиентов, используя украденные данные для входа в систему». Позднее Snowflake сообщила, что неизвестные получили доступ к «ограниченному числу» учетных записей клиентов. Организация твердо стоит на своем понимании ситуации, она потребовала отозвать отчет об утечке данных, подготовленный компанией Hudson Rock, которая специализируется на кибербезопасности и защите данных. 

При этом хакеры заявили, что продают украденные данные двух других крупных компаний, информация которых получена с ресурсов Snowflake. По данным TechCrunch, более 500 учетных данных, содержащих имена пользователей и пароли сотрудников, а также веб-адреса страниц входа в соответствующие среды Snowflake были найдены в Интернете и доступны желающим. 

Атаки на Snowflake связана с утечками данных из компаний Ticketmaster (США) и Santander (Испания). На форуме BreachForums хакерская группа ShinyHunters заявила, что продала 560 млн записей клиентов Ticketmaster и 30 миллионов от Santander. Обе компании подтвердили, что пострадали из-за утечек данных. Компания Ticketmaster напрямую связала инцидент со Snowflake. Santander заявила, что был произведен несанкционированный доступ к одной из ее баз данных, «размещенных у стороннего провайдера». Ни одна из компаний не подтвердила размер утечек. 

На форуме BreachForums некто под ником Sp1d3r, которого эксперты по ИБ связали с подростковой хакерской группой Scattered Spider, опубликовал информацию еще о двух компаниях, чьи данные, по его утверждению, имеют отношение к инциденту с Snowflake. 2ТБ данных LendingTree и QuoteWizard продавались за 2 млн долларов, 3 Тб сведений от Advance Auto Parts стоили 1,5 млн долларов. Первоначально информация о взломе Advance Auto Parts и LendingTree была размещена на другом форуме в даркнете пользователем SpidermanData. Эксперты по кибербезопасности отмечают, что хотя точный источник предполагаемых утечек неясен, инцидент показывает, насколько взаимосвязанными могут быть компании, полагающиеся на услуги сторонних поставщиков. 

Автомобильный гигант Advance Auto Parts потерял 380 млн данных о клиентах, а компания финансовых услуг LendingTree и дочерняя структура QuoteWizard, — 190 млн человек, пишет WIRED. Эксперты проверили адреса электронной почты сотрудников Advance Auto Parts и их клиентов, указанные в образцах данных, и подтвердили их существование.

LendingTree, ни Advance Auto Parts не подавали уведомления о нарушениях в Комиссию по ценным бумагам и биржам США. Однако представитель LendingTree подтвердил журналистам, что внутреннее расследование в компании продолжается. 

Главный специалист по информационной безопасности Snowflake Брэд Джонс сообщил в своем блоге, что злоумышленники использовали вредоносное ПО infostealing, предназначенное для извлечения имен пользователей и паролей со скомпрометированных устройств. Сам инцидент, по-видимому, является «целенаправленной кампанией, направленной на пользователей с однофакторной аутентификацией». Он также сообщил, что Snowflake и компании по кибербезопасности CrowdStrike и Mandiant, привлеченные для расследования инцидента, не нашли доказательств компрометации учетных данных нынешних или бывших сотрудников Snowflake. 

В рамках реагирования на атаку Snowflake попросила клиентов проверить настройки многофакторной аутентификации и геолокации для всех учетных записей и разрешать доступ только авторизованных пользователей. Пострадавшим компаниям также следует сбросить свои учетные данные для входа в Snowflake. 

Несмотря на все уверения Snowflake в незначительности случившегося, Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение об инциденте с Snowflake. Австралийский центр кибербезопасности заявил, что ему «известно об успешных взломах нескольких компаний, использующих среду Snowflake». 

 

Требуется время на восстановление

Компания Ascension Health восстановила доступ к сервису MyChart пациентов Флориды, Алабамы и Остина, штат Техас. Предполагается, что к 14 июня сервисы будут восстановлены по всем США.

В опубликованном на днях обновлении некоммерческая организация заявила, что врачи смогут получать доступ к медицинским записям пациентов и использовать их, как и прежде, после завершения восстановления доступа к электронным медкартам сервиса MyChart. 

Компания отмечает прогресс в восстановительных работах. «Расследование инцидента продолжается, наряду с исправлением систем, — говорится в заявлении Ascension Health. — Это сложный процесс, и для его завершения все равно потребуется время».

8 мая организация Ascension Health заявила, что стала жертвой программы-вымогателя. В больницах не работали электронные сервисы, отсутствовала телефонная связь. Об инциденте были извещены полиция и регуляторы. Компания заявляла, что уделяет приоритетное внимание восстановлению доступа к сервису электронным медкартам. При этом все 140 больниц и подразделений системы открыты и оказывают медицинскую помощь, говорится в сообщении организации. Также Ascension заявила, что возобновила работу своих сайтов по розничной торговле, доставке на дом и работу сети специализированных аптек. «Это означает, что поставщики медицинских услуг могут передавать рецепты в электронном виде и могут отправлять рецепты в аптеки Ascension Rx для своих пациентов», — говорится в сообщении. 

Католическая некоммерческая система здравоохранения Ascension Health управляет 140 больницами и 40 домами для престарелых по всей стране. В ней занято около 132 тыс. человек. За последний финансовый год выручка компании превысила 28 млрд долларов, операционные убытки составили миллиарды долларов. 

После майской кибератаки компания уже столкнулась с несколькими исками пациентов, которые ранее лечились в больницах системы, сообщает портал Fierce Healthcare. 

 

В морг за выкупом

Группа российских киберпреступников, называющих себя Qilin, стоит за атакой с использованием программы-вымогателя, которая остановила работу и исследования в крупнейших больницах Национальной службы здравоохранения Лондона. Об этом заявил бывший исполнительный директор Национального центра кибербезопасности (NCSC) Кьяран Мартин.

По его словам, атака на компанию Synnovis, оказывающую патологоанатомические услуги, привела к «серьезному сокращению мощностей» и была «очень, очень серьезным инцидентом». После атаки больницы Лондона заявили о критическом инциденте, в результате которого были отменены операции и лабораторные анализы, пациентам также не смогли провести переливания крови.

NCSC, часть британского разведывательного агентства GCHQ, расследует последствия кибератаки вместе с представителями Национальной службы здравоохранения, об инциденте были проинформированы полиция и регуляторы. Несмотря на то, что Synnovis взаимодействует с другими фондами, нет никаких признаков распространения кибератаки на другие подразделения Национальной службы здравоохранения.

В сообщении, изданном для сотрудников Национальной службы здравоохранения из больниц Королевского колледжа, Гая и Сент-Томаса (включая лондонскую детскую больницу Ройал Бромптон и Эвелины) и служб первичной медико-санитарной помощи Лондона, говорится о крупном ИТ-инциденте, который повлек невозможность проведения исследований и операций. 

По мнению эксперта, разрушительная кибератака была предпринята с целью получения выкуп. Это была целенаправленная операция, хакеры стремились нанести максимальный вред. 

В апреле 2024 год мюнхенская технологическая компания Synlab, стоящая за Synnovis, в апреле также подверглась атаке программы-вымогателя со стороны группы BlackBasta, и, судя по всему, не заплатила выкуп. В мае данные о взломе итальянского филиала Synlab были полностью опубликованы в Интернете, что говорит об отказе выплачивать выкуп. 

В Великобритании выплата выкупа группировкам вымогателей не является противозаконной операцией. Ответственность наступает только в случае, если пострадавшее лицо знает или подозревает, что доходы будут использованы для финансирования терроризма.

Qilin известна как RaaS группировка, предоставляющая сервис вымогатели как услуга (ransomware-as-a-service group) в обмен на часть доходов. По данным исследовательской компании в сфере криптовалют Chainalysis, в прошлом году жертвы атак программ-вымогателей выплатили нападавшим рекордные 1,1 млрд долларов — вдвое больше, чем в 2022 года. По данным Sophos, компании по кибербезопасности, средний размер выплат за программы-вымогатели за последний год вырос на 500% до 2 млн долларов.

Генеральный директор Synnovis Марк Доллар заявил, что группа ИТ-экспертов Synnovis и Национальной службы здравоохранения работает над оценкой последствий и необходимых действий по восстановлению систем. По оценкам специалистов, получение доступа к результатам патологоанатомических исследований может занять недели.

10 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.06.2024
Два попадания из ста — такое себе сафари. Официальный «яблочный» браузер не смог в рыбалку
14.06.2024
Матвеев: Россия может захватить технологическое лидерство в области внутренней ИБ
14.06.2024
ЛК: Кибермошенники добрались до персонала гостиниц
14.06.2024
Использование генеративного ИИ в разработке ПО медленно, но растёт
14.06.2024
Указ о новых мерах по обеспечению кибербезопасности России подписан
14.06.2024
Роскомнадзор активно модернизирует всю антискам-систему
14.06.2024
Работающие без выходных безопасники готовы увольняться
13.06.2024
Летний санкционный комбо-сет: Мосбиржа, «Точка» и техкомпании
13.06.2024
«Ростелеком» создаст ещё один фонд для инвестиций в ИТ-сектор
13.06.2024
Ляпунов: Сосредоточение функций ИБ-надзора в новой госструктуре усилит киберустойчивость страны

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных