29/11/21
На специальном слушании в конгрессе США, посвященном стратегиям противодействия хакерам, была обнародована информация о кибератаке , в результате которой были остановлены производственные процессы крупнейшего в мире производителя мясных продуктов питания JBS в США и Австралии.
Как показали результаты расследования кибератаки, злоумышленники получили доступ к старой учетной записи администратора сети, которая не была деактивирована и была защищена только ненадежным паролем. Компания столкнулась с серьезным давлением со стороны вымогателей, и остановить атаку стало сложнее.
JBS заплатила выкуп в размере $11 млн в биткоинах для восстановления доступа к своим системам. ФБР связало атаку на JBS с хакерской группировкой REvil (также известной как Sodinokibi).
«Давление усугублялось заверениями злоумышленников, что выплата выкупа разрешит ситуацию и предотвратит негативную огласку для компании. Например, после первоначального взлома JBS операторы REvil сказали компании: “Мы можем разблокировать ваши данные и сохранить все в секрете. Все, что нам нужно, — это выкуп”», — сообщила председатель Комитета по надзору и правительственной реформе США Кэролайн Б. Мэлони (Carolyn B. Maloney).
Как объяснила комитету JBS, помимо затрат на восстановление своих систем из резервных копий компания был столкнулась с другими насущными проблемами и потенциальными расходами, включая обязательства перед клиентами и сотрудниками, а также с необходимостью переработки мясной продукции на своих предприятиях.
В ходе кибератаки злоумышленники пытались представить себя деловыми партнерами или даже «консультантами». REvil посоветовала JBS не паниковать, поскольку группировка «занимается бизнесом, а не войной». REvil даже предоставила рекомендации криптовалютных бирж, на которых компания могла бы купить криптовалюту, подчеркнув, что одна из бирж не нуждается в верификации.
Компания приняла решение выплатить выкуп, несмотря на наличие по крайней мере некоторых резервных копий систем, не пострадавших от атак. Позже JBS сообщила, что на момент оплаты выкупа подавляющее большинство ее объектов были в рабочем состоянии. По словам представителей компании, JBS заплатила выкуп, чтобы «смягчить любые непредвиденные проблемы, связанные с атакой, и гарантировать безопасность данных».
Как заверили киберпреступники в ходе переговоров, они готовы предоставить ключ дешифрования и удалить копии украденных данных, если компания уплатит требуемую сумму. Они подчеркнули, что действовать в соответствии с договоренностью было в их интересах. Однако хакеры так и не предоставили JBS свидетельства уничтожения всех копий украденных данных.
