В недавнем заявлении Комиссии по ценным бумагам и биржам, компания Lumen Technologies, Inc. сообщила, что стала жертвой двух кибератак.
27 марта Lumen объявила о двух инцидентах, связанных с кибербезопасностью. Ранее в этом месяце компания обнаружила, что злоумышленник внедрил криминальную программу-вымогатель в ограниченное число серверов компании, поддерживающих услугу сегментированного хостинга, что привело к ухудшению работы небольшого числа корпоративных клиентов Lumen.
В заявлении сообщается, что недавнее внедрение компанией усовершенствованного программного обеспечения безопасности привело к обнаружению того, что злоумышленники получили доступ к ограниченному числу внутренних информационно-технологических систем Lumen, включая проведение аудита этих систем, установку вредоносного ПО и извлечение относительно ограниченного объема данных.
Согласно заявлению Lumen, текущее расследование показало, что инциденты не окажут существенного негативного влияния на способность компании обслуживать клиентов или на операции и финансовые результаты.
Как только инциденты были обнаружены, компания Lumen следовала своим давним протоколам кибербезопасности, которые включали в себя работу с внешними экспертными фирмами для локализации инцидентов, реализацию планов непрерывности бизнеса и для восстановления функциональности операционных и бизнес-систем своих клиентов. Кроме того, компания Lumen уведомила правоохранительные и регулирующие органы, а также пострадавших клиентов, начала расследование и приняла дополнительные меры по защите систем.
После атак компания продолжает оценивать потенциальное воздействие обоих событий, в том числе, была ли утечка какой-либо персонально идентифицируемой или другой конфиденциальной информации. Lumen продолжает работать с несколькими внешними консультантами, пострадавшими клиентами и соответствующими органами власти, чтобы оценить и смягчить последствия этих инцидентов.
Лидеры в области кибербезопасности высказывают свое мнение
«Успешные атаки с использованием программ-вымогателей могут начаться задолго до того, как жертвы получат требования от киберпреступников. Такие атаки начинаются с первоначального взлома, когда цель агента угрозы — закрепиться в среде, а затем провести дальнейшую разведку, чтобы найти критически важные данные жертвы», — Дейв Мартин, вице-президент MDR в Ontinue. «Именно на начальном этапе проникновения у компаний есть все шансы остановить атаку до ее возможного начала, ограничиться одним скомпрометированным устройством или даже сдержать атаку до того, как объект угрозы достигнет своей конечной цели. Однако компаниям необходимо как можно скорее узнать о том, что произошла утечка информации, чтобы локализовать ее как можно раньше в цепи устранения угроз. К сожалению, предприятиям, большинство из которых не являются экспертами в области кибербезопасности, крайне сложно постоянно отслеживать нарушения, особенно учитывая глобальную нехватку специалистов в этой области. Организации, которым требуется помощь в борьбе с ransomware и другими киберугрозами, могут получить необходимые знания и оперативность, заключив партнерство с поставщиком услуг по управляемому обнаружению и реагированию. Опытный поставщик услуг MDR может эффективно и результативно выявлять и сдерживать киберугрозы от имени предприятия на основе заранее утвержденного плана действий».
«Первым выводом должна стать важность сегментации сети», — сказал Даррен Гуччионе, генеральный директор и соучредитель компании Keeper Security. «Сегментация сети не позволяет субъектам угроз перемещаться внутри системы в случае взлома, что, вероятно, не позволило этому взлому стать таким масштабным, каким он мог быть. Сегментация сети является передовой практикой управления идентификацией и привилегированным доступом, и это часть решения, которое затрудняет внешним угрожающим субъектам компрометацию привилегированных учетных данных или внутренним угрожающим субъектам их неправомерное использование».
«Главный вывод, который следует сделать при каждом сообщении о вымогательстве выкупа или другой кибератаке, заключается в том, что мишенью может стать любое предприятие», — продолжает Гуччионе. «Опрос по кибербезопасности США 2022 года показал, что руководители ИТ-отделов и служб безопасности ожидают, что количество кибератак будет расти с каждым годом. Учитывая природу преступности, мы можем ожидать, что эти субъекты угроз пойдут по пути наименьшего сопротивления. Это означает, что если субъекту угрозы удастся получить доступ к сети, то меры безопасности и препятствия, с которыми он столкнется, будут играть важную роль в том, продолжит ли он зондирование или перейдет к более легкой цели».
По словам Гуччионе, как только сеть подключается к Интернету, нет возможности полностью предотвратить внешние атаки. Он предложил несколько советов о том, что предприятия могут сделать для предотвращения подобных атак.
«На самом деле, даже предотвращение доступа к системе может оказаться непосильной задачей: более 80 % взломов происходит из-за слабых или украденных паролей, учетных данных и секретов, поэтому крайне важно иметь надлежащие средства защиты кибербезопасности», — сказал Гуччионе. Модель безопасности с нулевым доверием в сочетании с доступом с наименьшими привилегиями, контролем доступа на основе ролей (RBAC), решением для единого входа (SSO) и соответствующей защитой паролей может значительно снизить вероятность успешной атаки и преградить доступ угрожающему субъекту». Приняв систему нулевого доверия в своей инфраструктуре, руководители предприятий окажутся в более выгодном положении, чтобы не только выявлять и реагировать на атаки на свою организацию, но и смягчать любой потенциальный ущерб».
По словам Гуччионе, атаки ransomware часто являются результатом фишинга, поэтому рекомендуется использовать менеджер паролей и строгие политики паролей наряду с обучением сотрудников, чтобы остановить атаки на начальной стадии.
«Фишинговые атаки с целью кражи паролей и учетных данных или внедрения вредоносного ПО по прежнему широко распространены, и более изощренные попытки бывает трудно обнаружить», — сказал Гуччионе. «Менеджер паролей может помочь в выявлении вредоносных URL-адресов, если сотрудник перейдет по одной из таких ссылок. Менеджер паролей также может использоваться для создания и хранения надежных, уникальных паролей для каждой учетной записи, что помогает уменьшить повторное использование паролей и сопутствующие риски».
Перевод статьи: Компания Lumen стала жертвой двух атак с использованием вымогательского ПО