Море, солнце, хакеры: как вымогатели остановили жизнь в Индонезии

Лето – традиционная пора отпусков. Жители больших городов, уставшие от бесконечной суеты и повседневного стресса, с нетерпением ждут момента, когда смогут сбежать к теплому морю, чтобы наконец-то насладиться долгожданным пляжным отдыхом. Одним из самых популярных направлений для этого является Индонезия, настоящий рай на земле, куда стремятся попасть туристы со всего мира.

Но даже в раю могут случиться проблемы, особенно если не уделять должного внимания кибербезопасности. 17 июня в спокойную жизнь жителей Индонезии и многочисленных туристов ворвались хакеры-вымогатели. Их атака словно черная туча накрыла весь регион, вызвав хаос и разрушив планы тысяч людей.

Кибератака затронула многочисленные государственные сервисы, в том числе оформление виз и видов на жительство, паспортные услуги и системы управления иммиграционными документами. В результате этого беспорядка в аэропортах образовались длинные очереди на иммиграционных стойках, туристы изнемогали от ожидания, а их мечты о беззаботном отдыхе разбивались о жестокую реальность.



Так что же произошло?

В конце июня Министерство связи Индонезии объявило, что страна подверглась крупнейшей за последние годы кибератаке: хакеры зашифровали системы в национальном центре обработки данных страны с помощью программы-вымогателя. Множество государственных учреждений оказались практически полностью парализованы после инцидента.

В результате кибератаки системы Временного национального центра обработки данных (Temporary National Data Center, PDNS) были заражены Brain Cipher, новым вариантом программы-вымогателя LockBit 3.0. Атака затронула филиал PDNS, расположенный в Сурабае.

Национальные центры данных содержат важную информацию, включая персональные данные граждан и информацию по секторам, таким как национальные программы здравоохранения и образовательные курсы. Поэтому взлом мог привести к утечке данных госучреждений и местных органов власти.

По предварительным данным, атака началась с отключения функции безопасности Защитника Windows 17 июня в 23:15 по местному времени, что позволило вредоносной активности продолжаться. Действия начались 20 июня в 00:54. Они включали в себя установку вредоносных файлов, удаление важных файлов и отключение работающих сервисов. Защитник Windows перестал функционировать 20 июня 2024 года в 00:55, что усугубило ситуацию.

По данным Министерства связи и информатики и Национального агентства по кибербезопасности и шифрованию, атаке подверглись как минимум 282 учреждения, включая 30 правительственных министерств и агентств, в том числе пострадали иммиграционные службы, что вызвало долгие очереди в аэропортах из-за сбоев в системе. Кроме того, атака затронула платформу, используемую для онлайн-зачисления в школы и университеты, что вынудило правительство продлить срок регистрации.

В Министерстве связи сообщили, что злоумышленники потребовали выкуп в размере $8 миллионов в обмен на расшифровку данных. При этом особо подчеркивалось, что правительство не будет выполнять требования вымогателей и предпринимает попытки расшифровать данные.

Проблема глупости

Для смягчения последствий атаки вымогателей пострадавшие компании в первую очередь пытаются восстановить данные из резервных копий. Однако для инцидента в Индонезии, такой подход оказался практически не применим.

На заседании парламента глава Национального агентства по кибербезопасности и шифрованию Хинса Сибурян признал, что для 98% данных, хранящихся в одном из двух пострадавших центров обработки данных, резервные копии не создавались. «Это не проблема управления, это проблема глупости — хранить национальные данные без единой резервной копии», — резко отозвалась председатель Первой комиссии Народного представительного совета Меутья Хафид.

По словам министра связи и информатики Индонезии Буди Арие Сетиади, возможности для создания резервных копий существуют, однако использование этой функции до сих пор было необязательным из-за бюджетных ограничений. В будущем создание резервных копий станет обязательным.

Отсутствие резервных копий явно усложнило восстановление систем. Вице-президент Маруф Амин отметил, что серьезность атаки также связана с объединением данных различных министерств и ведомств. «Когда все данные были централизованы, оказалось, что взлом одной системы затронул всех. Раньше я не думал, что взлом может быть настолько разрушительным»,— заявил вице-президент журналистам.

Президент Джоко Видодо приказал провести аудит правительственных центров данных, чтобы предотвратить подобные инциденты в будущем.

После атаки вымогателей на национальные центры данных министр связи и информатики Индонезии Буди Арие Сетиади столкнулся с нарастающим давлением в обществе и требованиями уйти в отставку. Петиция с требованием отставки министра собрала более 18 тысяч подписей всего за одну неделю.

Внезапная отмена

После громкого инцидента вымогатели Brain Cipher проснулись знаменитыми и, видимо, пожалели об атаке на Индонезию. Спустя почти две недели после атаки, представители Brain Cipher неожиданно выпустили ключи дешифровки , причем абсолютно бесплатно, позволяя жертвам восстановить все зашифрованные данные без необходимости платить выкуп.

Этот неожиданный шаг озадачил как экспертов по кибербезопасности, так и пострадавшие организации. Почему хакеры внезапно решили «отменить» последствия своей атаки?

Эксперты разделились во мнении относительно мотивов внезапной смены позиции Brain Cipher. Некоторые полагают, что на решение группы могло повлиять давление со стороны правоохранительных органов, имеющих определенные сведения об участниках группировки. Другие считают, что причиной стали внутренние конфликты группы и несогласие некоторых участников с действиями остальных.

Восстановление после кибератаки

Индонезия стала одной из самых пострадавших от действий Brain Cipher стран. Многочисленные предприятия и государственные учреждения оказались практически полностью парализованы после вымогательской атаки. Выпуск ключей дешифровки должен принести долгожданное облегчение жертвам, многие из которых изо всех сил пытались восстановить свои данные и вернуться к нормальной работе.

ИБ-компании в Индонезии уже начали распространять ключи дешифровки среди пострадавших. Первоначальные отчеты показывают, что ключи действительно работают, эффективно справляясь с зашифрованными файлами. Индонезийское правительство одобрило такое развитие событий и в настоящий момент усердно работает над смягчением последствий атаки.

В заявлении главы Министерства безопасности Хади Тьяджанто говорится, что данные для 30 государственных услуг, находящихся под контролем 12 министерств, были восстановлены с использованием «стратегии дешифрования», детали которой не разглашаются.

Однако неясно, использовало ли правительство предоставленный Brain Cipher ключ для дешифрования данных. Главы Министерства безопасности и Министр связи не дали комментариев по этому вопросу.

Согласно заявлению чиновников, восстановление данных и нормализация работы государственных служб станут приоритетом для индонезийского правительства в ближайшие месяцы.

Индонезия усиливает кибербезопасность

Данный инцидент стал суровым напоминанием о том, насколько уязвимы современные цифровые системы и как важно защищать их от киберугроз. В мире, где технологии играют ключевую роль, надежная кибербезопасность становится неотъемлемой частью благополучной жизни общества.

Часто, чтобы осознать реальную потребность в результативной кибербезопасности, компаниям приходится столкнуться с негативными последствиями хакерских атак.  Масштабная кибератака, которая существенно нарушила национальную систему данных Индонезии, стала катализатором для изменений в стране. После инцидента Индонезия предприняла активные шаги для укрепления своей киберустойчивости. Инцидент заставил правительство пересмотреть существующую цифровую политику, чтобы внести в нее необходимые изменения для предотвращения подобных атак в будущем.