Учение — тьма

Калифорнийский университет подвергся хакерской атаке ровно месяц назад: 1 июня хакеры успешно атаковали серверы университетского кампуса в Сан-Франциско, заблокировав доступ к критически важной информации, в том числе связанной с разработкой вакцины от COVID-19. BBC рассказывает, как сотрудники университета оказались в ситуации без единого выигрышного варианта и заплатили больше $1 млн, чтобы спасти свои данные.

Выйти из полноэкранного режима

Развернуть на весь экран

Калифорнийский университет является одним из самых престижных университетов в США, а его кампус в Сан-Франциско (UCSF) — одним из ведущих медицинских центров в мире. Здесь ученые и профессора проводят исследования в сфере медицины и стоматологии и помимо прочего разрабатывают вакцину от COVID-19. Месяц назад часть этих научных исследований и другие данные университета оказались в руках злоумышленников. Хакерская группа Netwalker, известная крупными хищениями персональных данных, взломала сеть университета и получила доступ ко многим компьютерам вуза. На экранах компьютеров, одного за другим, стали появляться сообщения об успешной хакерской атаке от Netwalker. Как это всегда бывает в таких случаях, жертве предлагалось два варианта развития событий: либо платить выкуп, либо попрощаться с данными, часть которых будет выставлена на продажу в теневом сегменте интернета — даркнете.

В заложниках у хакеров оказались как данные о студентах и сотрудниках, так и финансовая информация вуза, а также его научные работы и исследования.

Все, что тогда смогли сделать сотрудники университета,— это отрубить компьютеры от сети, чтобы остановить распространение вредоносного ПО.

Специалисты в области кибербезопасности настоятельно рекомендуют жертвам взломов не вступать в переговоры с хакерами, а сообщать о случившемся полиции. Ян Оо ген Оорт из Европола, который руководит проектом под названием No More Ransom («Больше никаких выкупов»), считает, что «жертвы не должны платить выкуп, так как это финансирует преступников и побуждает их продолжать свою незаконную деятельность».

Сотрудники Калифорнийского университета решили вступить в диалог с хакерами. Они перешли по ссылке, оставленной в сообщениях на заблокированных компьютерах, и оказались в теневом сегменте интернета. В тех же сообщениях были и данные для входа на сайт. На нем было несколько разделов: «Платеж», «Бесплатная разблокировка» с бесплатной версией ПО, используемого хакерами, «FAQ» и «Чат», с помощью которого можно связаться с хакерами. Все, что происходило дальше, было запечатлено корреспондентами BBC, которые получили анонимную наводку и смогли отслеживать переговоры университета с преступниками.

К переговорам представители университета приступили 5 июня. Судя по всему, для этого университет пригласил независимого специалиста, пишет BBC. Беседа ученых и похитителей началась с сообщения от Netwalker: «Привет UCSF, не стесняйся мы можем вместе справиться с этим инцидентом (пунктуация автора здесь и далее сохранена.— “Ъ”)». Университет ответил лишь через шесть часов и попросил хакеров убрать информацию о взломе с их сайта. Злоумышленники же, получив доступ к бухгалтерии университета и увидев миллиардные доходы за год, решили потребовать выкуп $3 млн. Такую сумму в UCSF сочли неприемлемой, объяснив это тем, что подобные траты станут «финансовой катастрофой» для университета, и предложили сократить размер выкупа до $780 тыс. «Как я могу принять $780 тыс.? Это типа я трудился бесплатно. Вы можете собрать нужную сумму за пару часов. Отнеситесь к этому серьезно. Если мы опубликуем в нашем блоге данные студентов/прочую информацию, я на 100% уверен, что вы потеряете больше, чем ту сумму, которую мы просим. Мы можем договориться о цене, но не так, потому что для меня это звучит как оскорбление,— ответил "оператор" чата, писавший от имени хакеров.— Оставьте эти $780 тыс. своим сотрудникам на McDonald’s. Для нас это очень маленькая сумма».

Виртуальные торги продолжались еще пару дней. Университет предложил $1,02 млн, хакеры настаивали на $1,5 млн: «Я списался со своим боссом. Я отправил ему все сообщения, и он не может понять, как такой университет: 4–5 миллиардов в год. Реально сложно понять и осознать, что вы можете дать $1 020 895. Ну ладно. Я думаю ваш бухгалтер/отделы смогут собрать еще $500 тыс. Мы примем $1,5 млн и все будут спать спокойно». Но и это предложение университет отклонил, настояв на выкупе $1,14 млн. Эта сумма стала окончательной. На следующий день на зашифрованные кошельки Netwalker поступило 116,4 биткойна.

«Теперь вы можете спать спокойно»,— заявили на прощание хакеры. Но эта история еще не закончена: сейчас ей занимается ФБР, которое пытается вычислить преступников, а также восстановить все поврежденные системы университета.

«Данные, которые были зашифрованы, важны для некоторых академических работ, которые мы проводим как университет, служащий общественному благу,— рассказали BBC представители университета.— Поэтому мы приняли трудное решение выплатить некоторую часть выкупа, примерно $1,14 млн, лицам, стоящим за атакой, в обмен на инструмент для разблокировки зашифрованных данных и возврата полученных ими данных».

Как отмечает аналитик киберугроз в компании Emsisoft Брэд Кэллоу, на самом деле у жертв взлома, по сути, вообще нет ни одного варианта, при котором все закончится для них хорошо.

«У организаций в таких ситуациях нет выигрышного варианта. Даже если они заплатят выкуп, они просто получат устное обещание, что украденные данные будут удалены. Но зачем безжалостному преступному сообществу удалять данные, на которых оно сможет в будущем заработать?» — отмечает он.

В конце представитель университета добавил, что заявления, сделанные от имени UCSF во время переговоров, могут не соответствовать действительности.

Кирилл Сарханянц