ShadowByt3$ атакує Cropwise: програма-вимагач націлилася на аграрні дані

ShadowByt3$ атакує Cropwise: програма-вимагач націлилася на аграрні дані

Угруповання програм-вимагачів ShadowByt3$ взяло на себе відповідальність за кібератаку на Cropwise, платформу точного землеробства, що працює під управлінням Syngenta Group, одного з найбільших у світі агропромислових конгломератів. Як повідомляється, атака включала викрадення даних разом із вимогою викупу, що викликає серйозне занепокоєння щодо безпеки агротехнологічних систем, які зберігають конфіденційні операційні та клієнтські дані.

Цей інцидент є одним із кількох випадків програм-вимагачів, зареєстрованих у короткій послідовності: окремі угруповання атакували підприємства від великого американського дистриб'ютора грибів до компанії з управління капіталом. Ця тенденція вказує на дедалі агресивнішу екосистему програм-вимагачів, де жоден сектор, включно з агротехнологіями, не є захищеним.

Що ми знаємо про атаку на Cropwise

Cropwise — це цифрова агрономічна платформа, яка збирає та обробляє детальні дані на рівні ферми, включаючи карти полів, плани посівів, записи врожайності та агрономічні рекомендації. Тип даних, що зберігаються такими платформами, є не лише операційно чутливим; вони можуть містити персональну інформацію, пов'язану з фермерами та аграрними підприємствами, які покладаються на цей сервіс.

ShadowByt3$ раніше брало на себе відповідальність за атаки на інші установи, зокрема зареєстрований інцидент в Університеті Джорджії, що свідчить про активне розширення угрупованням сфери своїх цілей. Атака на Cropwise відбувалася за вже знайомим сценарієм: проникнення в цільову мережу, викрадення цінних даних, шифрування систем і висування вимоги викупу, підкріпленої загрозою публічного оприлюднення даних.

На цьому етапі повний обсяг скомпрометованих під час атаки на Cropwise даних не було публічно підтверджено. Syngenta Group зі штаб-квартирою у Швейцарії на момент написання статті не оприлюднила детальної публічної заяви.

Ширша хвиля атак програм-вимагачів

Атака на Cropwise не була поодиноким випадком. Приблизно в той самий період угруповання програм-вимагачів Akira заявило про атаку на Moorman Harting, американську компанію з управління капіталом, погрожуючи викриттям конфіденційних фінансових та особистих записів клієнтів. Окремо повідомлялося, що Monterey Mushrooms, найбільший маркетолог свіжих грибів у Сполучених Штатах, стала жертвою атаки програми-вимагача. Ще одне неназване угруповання заявило про отримання паспортних даних понад 300 клієнтів в результаті не пов'язаного з цим витоку.

Цей кластер атак підкреслює тезу, яку фахівці з безпеки висловлюють роками: операції програм-вимагачів стали індустріалізованими. Угруповання діють за структурами з розподілом праці, іноді здаючи в оренду інфраструктуру "програма-вимагач як послуга", тоді як інші займаються переговорами та публікацією викрадених даних. Результатом є високоінтенсивне, багатосекторальне середовище загроз.

Як видно з інцидентів, таких як злам дочірньої компанії IBM в Італії, пов'язаний з китайськими кіберопераціями, витончені суб'єкти загроз часто поєднують крадіжку даних із компрометацією систем, що робить відновлення набагато складнішим, ніж просте відновлення зашифрованих файлів.

Що це означає для вас

Якщо ви є підприємством, що працює в секторі агротехнологій, або в будь-якому секторі, який агрегує конфіденційні операційні дані, інцидент із Cropwise є прямим нагадуванням про те, наскільки привабливими ці платформи стали як цілі для програм-вимагачів. Цінність даних точного землеробства виходить за межі самої платформи; вони представляють конкурентну розвідку та персональну інформацію для тисяч фермерських господарств.

Для окремих користувачів платформ, подібних до Cropwise, безпосереднім занепокоєнням є те, чи були їхні особисті або ділові дані серед викрадених. Доки Syngenta або Cropwise не нададуть детального повідомлення про витік, користувачі повинні виходити з того, що їхні дані можуть бути під загрозою, і відстежувати будь-яку незвичну активність в обліковому записі або фішингові спроби, що посилаються на їхні фермерські операції.

Організації, які обробляють великі обсяги клієнтських даних, також повинні знати, що сервіси моніторингу даркнету дедалі частіше використовуються для відстеження того, чи викрадені набори даних з'являються у продажу або публікуються угрупованнями програм-вимагачів. Це не пасивне занепокоєння; витік даних з одного зламу часто підживлює цілеспрямовані атаки в інших місцях.

Ризики не обмежуються приватними підприємствами. Як підкреслювалося у висвітленні пов'язаних із державою APT-загроз та їхніх методів, навіть добре забезпечені ресурсами організації стикаються з постійними та еволюціонуючими техніками вторгнень. Угруповання програм-вимагачів перейняли деякі з тих самих тактик латерального переміщення та підготовки даних, які історично асоціювалися зі спонсорованим державою шпигунством.

Практичні кроки після цієї атаки

Ось що підприємствам та окремим особам слід розглянути після таких атак, як ця:

• Сегментація мережі має значення. Програми-вимагачі поширюються шляхом латерального переміщення через пов'язані системи. Ізоляція середовищ із конфіденційними даними від загальних бізнес-мереж обмежує радіус ураження від будь-якого окремого вторгнення.
• Відстежуйте викриття даних. Якщо ви або ваш бізнес користувалися Cropwise, слідкуйте за повідомленнями від Syngenta та розгляньте можливість використання сервісів моніторингу витоків, щоб перевірити, чи ваші дані не з'явилися в мережі.
• Оцінюйте ризики сторонніх платформ. SaaS-платформи в сільському господарстві, фінансах та охороні здоров'я зберігають значні дані від імені своїх користувачів. Підприємствам слід запитувати постачальників про їхні плани реагування на інциденти та практики обробки даних перед початком роботи.
• Зберігайте облікові дані окремо. Якщо ви повторно використовуєте паролі на різних платформах, злам одного сервісу стає ризиком для всіх інших. Використовуйте менеджер паролів та вмикайте багатофакторну автентифікацію скрізь, де це можливо.
• Майте план реагування. Інциденти з програмами-вимагачами розвиваються швидко. Організації, які відпрацювали свої процедури реагування на інциденти, відновлюються швидше і зазнають менших втрат даних.

Атака ShadowByt3$ на Cropwise є різким нагадуванням про те, що угруповання програм-вимагачів не обмежуються очевидними цілями високої вартості, такими як лікарні чи фінансові установи. Платформи точного землеробства та конфіденційні дані, які вони зберігають від імені фермерів та агропідприємств, тепер міцно перебувають під прицілом. Бути поінформованим та вживати проактивних заходів для захисту даних більше не є опціональним для будь-якої організації, яка обробляє інформацію клієнтів.