Как IT-компании удалось восстановиться после атаки вымогателей и не платить выкуп

25 марта 2021 года

В настоящее время атаки с использованием вымогательского ПО являются популярным способом обогащения среди киберпреступников. В частности, это связано с готовностью многих компаний платить вымогателям. Тем не менее, договариваться с киберпреступниками готовы не все. Когда компания Spectra Logic (Боулдер, Колорадо), предоставляющая своим клиентам хранилища данных, стала жертвой вымогательского ПО, она отказалась платить злоумышленникам и смогла восстановиться с помощью собственных ресурсов и специалистов ФБР.

Все началось с того, что однажды утром на мониторах некоторых компьютеров в Spectra Logic появилось уведомление с требованием выкупа, пишет ZDNet. Затем стали происходить массовые сбои в работе всех систем компании, и старший IT-директор Тони Мендоза (Tony Mendoza) понял, что компания подверглась кибератаке, и все данные были зашифрованы.

"Когда все началось, мы сразу же побежали в серверную комнату и дата-центр и стали выдергивать все из розеток, чтобы оно (вымогательское ПО – ред.) не могло самораспространяться дальше, что сразу же повлекло за собой отключение всей нашей инфраструктуры", – сообщил Мендоза.

В общей сложности в результате кибератаки скомпрометированными оказались три четверти производственной среды. Как сообщалось в записке с требованием выкупа, компанию атаковало вымогательское ПО NetWalker. За ключ для восстановления зашифрованных файлов его операторы требовали $3,6 млн.

Проблема усложнилась тем, что инцидент произошел в мае 2020 года, когда большинство сотрудников компании начали работать удаленно, и было сложно координировать действия и видеть, что происходит в здании Spectra Logic. Несмотря на это, сотрудникам IT-отдела нужно было оценить ущерб и выяснить, как восстановить данные (и реально ли их восстановить вообще).

Каждая пострадавшая от вымогательского ПО организация становится перед выбором: платить или не платить вымогателям, чтобы получить обратно свои данные. Страховка Spectra Logic покрывала расходы на выкуп, и заплатив, компания предположительно смогла бы быстро восстановить свои системы. Однако при наличии резервных копий она решила не платить и вместо того, чтобы связываться с вымогателями, обратилась в ФБР.
ФБР уверило Мендозу, что Spectra Logic – не единственная компания, попавшая в подобную ситуацию, и сразу же закрепило за ней команду специалистов.
Восстановление систем продолжалось 24 часа в сутки в течение пяти дней. Специалисты ночевали на рабочем месте и спали по очереди, чтобы уделить как можно больше времени восстановлению систем.
"Никто не уходил и не приходил, спали на диване на случай, если понадобится помощь", – сообщил Мендоза, которому также приходилось постоянно держать в курсе событий руководство компании.
"Я имел дело с руководством и не хотел лгать и говорить, будто знаю, когда все поднимется. Мне пришлось сказать им, что я не знаю, ни что происходит, ни когда все вернется в норму", – признался Мендоза.

Каждая пострадавшая от вымогательского ПО организация становится перед выбором: платить или не платить вымогателям, чтобы получить обратно свои данные. Страховка Spectra Logic покрывала расходы на выкуп, и заплатив, компания предположительно смогла бы быстро восстановить свои системы. Однако при наличии резервных копий она решила не платить и вместо того, чтобы связываться с вымогателями, обратилась в ФБР.

ФБР уверило Мендозу, что Spectra Logic – не единственная компания, попавшая в подобную ситуацию, и сразу же закрепило за ней команду специалистов.

Восстановление систем продолжалось 24 часа в сутки в течение пяти дней. Специалисты ночевали на рабочем месте и спали по очереди, чтобы уделить как можно больше времени восстановлению систем.

"Никто не уходил и не приходил, спали на диване на случай, если понадобится помощь", – сообщил Мендоза, которому также приходилось постоянно держать в курсе событий руководство компании.