Троян-вымогатель заблокировал сотни тысяч банковских счетов в США. Пострадало почти полмиллиона человек

Недавняя атака вируса-вымогателя серьезно нарушила работу кредитного союза Patelco, количество пострадавших уже превысило более 450 тыс. Кибератака спровоцировала многочисленные сбои в работе ИТ-систем, многим клиентам стали недоступны электронные транзакции, функция запроса баланса и другие сервисы. Онлайн-банкинг и некоторые другие услуги недоступны, а ряд других услуг имеют ограниченную функциональность.

Успешная кибератака

Калифорнийская организация Patelco, один из крупнейших кредитных союзов в США, сообщила в начале июля 2024 г. об атаке вируса-вымогателя. В результате кибератаки на организацию оказались заблокированными сотни тысяч банковских счетов, а на восстановление ИТ-систем могут уйти недели. Всего же кредитный союз Patelco насчитывает более 450 тыс. членов, также местные СМИ предполагают, что хакеры потребуют выкуп за восстановление доступа.

Patelco - некоммерческий кооператив в Северной Калифорнии с активами в $9 млрд и 37 местными отделениями. В компании не раскрыли подробностей о том, как она будет восстанавливаться после атаки вымогателей, но призналась клиентам, что их личная информация может быть под угрозой.

Кредитный союз Patelco подвергся атаке 29 июня 2024 г. и опубликовал на официальном сайте сообщение, где говорится, что финансовая компания проактивно отключила некоторые сервисы в банковской системе, чтобы локализовать и устранить проблему связанные с кибератакой. В результате принятых специалистами по информационной безопасности (ИБ) из Patelco мер, в настоящее время дебетовые и кредитные карты работают с ограниченной функциональностью. Транзакции, переводы, платежи также будут недоступны. Клиенты Patelco могут столкнуться с трудностями, поскольку ИБ-специалисты продолжают разбираться в масштабе кибератаки. На 8 июля известно лишь о том, что проблема безопасности была вызвана атакой вымогательского программного обеспечения (ПО).

Вирус-вымогатель заблокировал сотни тысяч банковских счетов в США, пострадавших более 450 тысяч

Для расследования инцидента привлечена сторонняя ИТ-компания, специализирующаяся на вопросах кибербезопасности. Отмечается, что приоритетом является восстановление банковских систем. Организация пообещала отменить все комиссии за овердрафт и просрочки платежей, связанные с недоступностью сервисов. Участники, которым необходимо получить доступ к средствам с прямых депозитов, могут сделать это, выписав чек, воспользовавшись картой банкомата для получения наличных или совершив покупку.

По информации Patelco, в работе банкоматов могут наблюдаться кратковременные сбои. Подчеркивается, что вклады застрахованы Национальной администрацией кредитного союза США, поэтому клиенты могут не беспокоиться за сохранность своих средств.

По данным эксперта по безопасности Ахмед Банафа (Ahmed Banafa) из Arstechnica, скорее всего, хакеры проникли во внутренние базы данных (БД) банка через фишинговое письмо и зашифровали его содержимое, заблокировав компанию от ее собственных ИТ-систем. По словам Банафы, скорее всего, хакеры потребуют от кредитного союза определенную сумму денег, чтобы вернуть его сервера в нормальное состояние, и будут продолжать держать счета банка в заложниках до тех пор, пока Patelco не найдет способ устранить последствия взлома или пока хакеры не получат деньги.

Расследование характера и масштабов инцидента продолжается, заявили в кредитном союзе. Если в ходе расследования будет установлено, что в результате кибератаки была затронута информация частных лиц. Сотрудники Patelco незамедлительно уведомят своих клиентов, а также и предоставят ресурсы для защиты их информации в соответствии с действующим законодательством в США.

В настоящее время согласно данным на официальном сайте финансовой организации, недоступными остаются такие услуги, как интернет-банкинг, мобильное приложение, исходящие электронные переводы, ежемесячные выписки, Zelle, проверка баланса и оплата счетов через интернет. Отделения Patelco, услуги колл-центра и чаты имеют ограниченную функциональность, как и операции с дебетовыми картами, операции с кредитными картами и прямые депозиты, говорится в заявлении Patelco.

По состоянию на 8 июля 2024 г. нет сведений о том, какая кибергруппировка стоит за организацией кибератаки и какая сумма выкупа была затребована. Кроме того, не ясно, похитили ли злоумышленники какую-либо конфиденциальную информацию или же данные клиентов. Кредитный союз предпринял стандартные меры реагирования, включая обращение в правоохранительные органы и оповещение клиентов.

Вирусы-вымогатели

Вирусы-вымогатели - это вредоносные программы, которые используют шифрование для удержания информации жертвы с целью получения выкупа. Критически важные данные пользователя или организации шифруются, чтобы они не могли получить доступ к файлам, базам данных или приложениям. Затем за предоставление доступа требуется выкуп. Программы-вымогатели часто разрабатываются для распространения по сети и нацелены на БД и файловые серверы, и таким образом могут быстро парализовать целую корпорацию. Это растущая угроза, приносящая миллиарды рублей в виде выплат хакерам и наносящая значительный ущерб и расходы предприятиям и государственным организациям.

Вирусы-вымогатели используют асимметричное шифрование, это криптография, которая использует пару ключей для шифрования и расшифровки файла. Пара ключей открытый-закрытый генерируется злоумышленником для жертвы, а закрытый ключ используется для расшифровки файлов, хранящихся на сервере киберпреступника. Злоумышленник предоставляет жертве закрытый ключ только после уплаты выкупа. Без доступа к закрытому ключу практически невозможно расшифровать файлы, за которые требуется выкуп.

Существует множество разновидностей вирусов-вымогателей. Часто вредоносные программы распространяются с помощью спам-кампаний по электронной почте или целевых ИТ-атак. Вредоносной программе нужен вектор атаки, чтобы установить свое присутствие на конечной точке. После того, как присутствие установлено, софт остается в системе, пока его задача не будет выполнена. После успешного использования программа-вымогатель устанавливает и запускает вредоносный двоичный файл на зараженной ИТ-системе. Затем этот двоичный файл ищет и шифрует ценные файлы, такие как документы Microsoft Word, изображения, БД и т. д. Вирус-вымогатель также может использовать уязвимости ИТ-системы и сети для распространения на другие системы и, возможно, на целые организации. После того, как файлы зашифрованы, вирус предлагает пользователю заплатить выкуп в течение от 24 до 48 часов, чтобы расшифровать файлы, или они будут потеряны навсегда. Если резервная копия данных недоступна или эти резервные копии сами были зашифрованы, жертве придется заплатить выкуп, чтобы восстановить личные файлы. В противном случае, компания не получит закрытый ключ, а как следствие бизнес может остановиться на недели и месяцы, а потери финансовые потери могут многократно превысить сумму выкупа.