Οι περισσότεροι σύγχρονοι οργανισμοί, χρησιμοποιούν και θα συνεχίσουν περισσότερο να χρησιμοποιούν τα συστήματα υπολογιστών τους για να εκτελούν ορισμένες βασικές επιχειρηματικές λειτουργίες με τον ένα ή τον άλλο τρόπο.
Οι περισσότερες επιχειρήσεις έχουν έναν ιστότοπο για να διαφημίσουν ή να πουλήσουν τα προϊόντα τους, να κρατήσουν ηλεκτρονικά δεδομένα για υπαλλήλους και πελάτες, να χρησιμοποιήσουν προγράμματα λογισμικού για να παρακολουθούν τα δεδομένα πωλήσεων και να διαχειρίζονται τα επίπεδα των αποθεμάτων και να χρησιμοποιούν email για να επικοινωνούν με πελάτες και προμηθευτές. Εάν αυτά τα συστήματα καθίσταντο μη διαθέσιμα ως αποτέλεσμα της επίθεσης στον κυβερνοχώρο (cyber attact) ή της αποτυχίας του συστήματος, θα μπορούσε να έχει επιζήμια επίδραση στην εν λόγω επιχείρηση και να έχει ως αποτέλεσμα σημαντικές απώλειες.
Ένας από τους κύριους παράγοντες κινδύνου στον κυβερνοχώρο είναι το ransomware .
Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού ή προγράμματος κρυπτογράφησης που λειτουργεί με την κρυπτογράφηση δεδομένων σε ένα δίκτυο και, στη συνέχεια, απαιτεί την πληρωμή λύτρων με αντάλλαγμα ένα κλειδί αποκρυπτογράφησης για να ανακτήσει την πρόσβαση στα δεδομένα.
Πρόσφατα έπεσε θύμα επίθεσης ransomware μια μικρή επιχείρηση υπηρεσιών, η οποία ειδικεύεται κυρίως στην πώληση προιόντων ιδιωτών και επιχειρήσεων, κυρίως μέσω τηλεφωνικού κέντρου και e-mail. Διατηρεί γραφεία σε διαφορετικές τοποθεσίες. Οι πελάτες έρχονται σε επαφή με το τηλεφωνικό κέντρο. Το back office καταχωρεί τα στοιχεία σ' ένα πρόγραμμα λογισμικού και, στη συνέχεια, εκδίδει στον πελάτη μια προσφορά. Εάν η προσφορά γίνει αποδεκτή από τον πελάτη, εκδίδεται συμβόλαιο και το προιόν αποστέλλεται για παράδοση.
Το περιστατικό ξεκίνησε όταν ένας χάκερ κατάφερε να αποκτήσει πρόσβαση στα συστήματα υπολογιστών της εταιρείας μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Το RDP επιτρέπει στους απομακρυσμένους χρήστες να συνδεθούν στην επιφάνεια εργασίας άλλου υπολογιστή μέσω σύνδεσης δικτύου και χρησιμοποιείται συνήθως από οργανισμούς για να επιτρέπουν στους υπαλλήλους να έχουν πρόσβαση στα δίκτυά τους ενώ εργάζονται από απόσταση. Εάν η θύρα που χρησιμοποιεί ένας οργανισμός για πρόσβαση RDP εκτίθεται απευθείας στο Διαδίκτυο, είναι εύκολο για τους κακόβουλους παράγοντες να το βρουν, όπου στη συνέχεια προσπαθούν να αποκτήσουν πρόσβαση στα συστήματα υπολογιστών ενός οργανισμού.
"Σε αυτήν την περίπτωση, η θύρα που χρησιμοποιούσε η επιχείρηση για πρόσβαση RDP ήταν ανοιχτή ( δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας πολλών παραγόντων για πρόσβαση RDP ) στο Διαδίκτυο, παρέχοντας στον χάκερ ένα άνοιγμα που εκμεταλλεύτηκε."
Έχοντας εντοπίσει αυτήν την ευπάθεια, ο Hacker ξεκίνησε μια επίθεση (cyber attact) για να αποκτήσει διαπιστευτήρια στον λογαριασμό του διαχειριστή του οργανισμού. Μια επίθεση brute-force είναι όταν ένας χάκερ χρησιμοποιεί ένα πρόγραμμα υπολογιστή για να σπάσει τους κωδικούς πρόσβασης δοκιμάζοντας πολλούς πιθανούς συνδυασμούς σε γρήγορη διαδοχή, με το πρόγραμμα να δοκιμάζει συνήθως μια μακρά λίστα με τους πιο συχνά χρησιμοποιούμενους κωδικούς πρόσβασης. Σε γενικές γραμμές, όσο μεγαλύτερο και πιο περίπλοκο είναι ο κωδικός πρόσβασης, τόσο πιο δύσκολο και χρονοβόρο είναι το πρόγραμμα να τον σπάσει.
Δυστυχώς ο τοπικός λογαριασμός διαχειριστή της επιχείρησης είχε έναν αδύναμο κωδικό πρόσβασης, συνέπεια της χρήσης ενός προεπιλεγμένου κωδικού πρόσβασης που δεν είχε αλλάξει ποτέ.
Με τον κωδικό πρόσβασης που δεν έχει πολυπλοκότητα, το πρόγραμμα brute-force μπόρεσε να σπάσει τον κωδικό πρόσβασης με ευκολία. Το χειρότερο ήταν οτι η επιχείρηση δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας πολλών παραγόντων για πρόσβαση RDP, οπότε μόλις ο κωδικός πρόσβασης είχε σπάσει, ο εισβολέας μπόρεσε να αποκτήσει πρόσβαση στο δίκτυο του οργανισμού χωρίς να χρειαστεί να περάσει από μια δεύτερη διαδικασία επαλήθευσης, όπως εισαγωγή κωδικού ή αριθμού επαλήθευσης.
Ο χάκερ λαμβάνει κλειδιά για ολόκληρο το σύστημα
Μόλις συνδέθηκε ο Hacker, κατέβασε λογισμικό απομάκρυνσης του κωδικού πρόσβασης που του επέτρεψε να αποκτήσει τα διαπιστευτήρια λογαριασμού του διαχειριστή, και μεγαλύτερη πρόσβαση στο δίκτυο. Με την προκαταρκτική εργασία, ο Hacker κατάφερε στη συνέχεια να εκκινήσει το λογισμικό κρυπτογράφησης σε πολλούς διακομιστές, αφήνοντας ένα σημείωμα λύτρων για την επιχείρηση και ζητώντας να γίνει πληρωμή 40 bitcoin σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.
Αφού ανακάλυψαν το email για τα λύτρα και συνειδητοποίησαν ότι τα συστήματα και τα δεδομένα δεν ήταν πλέον προσβάσιμα, η επιχείρηση ενημέρωσε την ομάδα ανταπόκρισης της εταιρείας που είχε αναλάβει την ασφάλιση από κυβερνοεπιθέσεις, για να καθορίσει το επόμενο βήμα.
Η πρώτη προτεραιότητα της ομάδας αντιμετώπισης συμβάντων ήταν να καθοριστεί η κατάσταση των αντιγράφων ασφαλείας του οργανισμού. Ευτυχώς, η επιχείρηση είχε αποθηκευμένα αντίγραφα ασφαλείας εκτός σύνδεσης σε μια μονάδα flash USB από την οποία θα μπορούσε να αποκατασταθεί. Δεδομένου του υψηλού κόστους των λύτρων και του γεγονότος ότι υπήρχαν εφεδρικά αντίγραφα, η επιχείρηση αποφάσισε να αποφύγει την πληρωμή τους και αντ' αυτού να τ' ανακτήσει .
Η ομάδα IT της επιχείρησης, συνεργαζόμενη με την ομάδα απόκρισης συμβάντων της ασφαλιστικής εταιρείας, προσπάθησε να αποκαταστήσει το σύστημα από τα αντίγραφα ασφαλείας εκτός σύνδεσης, αλλά αυτή ήταν μια χρονοβόρα διαδικασία, που περιελάμβανε την ανακατασκευή όλων των επηρεαζόμενων διακομιστών και σταθμών εργασίας, και χρειάστηκαν σχεδόν δύο εβδομάδες για την πλήρη αποκατάσταση του συστήματος.
Προγραμματίστε μια ΔΩΡΕΑΝ
Συνάντηση One-on-One
Στείλτε το τηλέφωνο σας, για να επικοινωνήσουμε εμείς μαζί σας
Το Πρόβλημα με την πλήρη επάνοδο των εργασιών
Εν τω μεταξύ, η επιχείρηση αντιμετώπισε σημαντικά λειτουργικά προβλήματα. Αυτή η διαταραχή έγινε αισθητή στην αποθήκευση των στοιχείων των πελατών. Η εταιρεία χρησιμοποιεί ένα πρόγραμμα λογισμικού εταιρικού πόρου (ERP) για τη διαχείριση αυτού του τμήματος της επιχείρησης. Το σύστημα χρησιμοποιείται για τη διαχείριση του πελατολογίου, των προιόντων και την δημιουργία προσφορών για πελάτες, τη χρέωση και την παράδοση για τους πελάτες. και στην παροχή δεδομένων πωλήσεων σε πραγματικό χρόνο για τα στελέχη. Εν ολίγοις, η πρόσβαση στο σύστημα ERP ήταν ουσιαστικό μέρος των επιχειρηματικών δραστηριοτήτων.
Δυστυχώς, το σύστημα ERP επηρεάστηκε από την επίθεση ransomware και κατέστη απρόσιτο, με αποτέλεσμα να υπάρξουν προβλήματα με το τηλεφωνικό κέντρο και το προσωπικό των πωλήσεων. Παρόλο που τα τηλεφωνικά συστήματα του οργανισμού δεν επηρεάστηκαν και το προσωπικό του τηλεφωνικού κέντρου μπορούσε ακόμη να δέχεται κλήσεις από υποψήφιους πελάτες, χωρίς πρόσβαση στο σύστημα ERP, δεν ήταν δυνατό να ελεγχθεί αυτόματα εάν ένα συμβόλαιο ήταν ενεργό ή όχι. Η μόνη επιλογή ήταν να σημειώσουν τα στοιχεία επικοινωνίας του πελάτη σε ένα κομμάτι χαρτί, να καλέσουν μια από τις συνεργαζόμενες εταιρείες και να ζητήσουν από ένα μέλος του προσωπικού της να ελέγξει με φυσικό τρόπο εάν ήταν διαθέσιμο ή όχι.
Επιπλέον, ακόμη και αν ένα προιόν ήταν διαθέσιμο, δεν ήταν δυνατό να στείλουν επίσημα έγγραφα προσφοράς στον πελάτη, καθώς η κανονική διαδικασία δημιουργίας προσφορών εξαρτάται από το σύστημα ERP, οπότε το προσωπικό του τηλεφωνικού κέντρου έπρεπε να δώσει ενδεικτικές τιμές μέσω τηλεφώνου ή να ζητήσει ξανά τα στοιχεία.
Η ζημιές και η απώλεια κερδών
@BusinessConsulting
Επιπλέον, χωρίς πρόσβαση σε προηγούμενες προσφορές και λεπτομέρειες πελατών στη βάση δεδομένων ERP, το προσωπικό του τηλεφωνικού κέντρου δεν μπόρεσε να τρέξει τις προσφορές με υποψήφιους πελάτες και να εξασφαλίσει νέες παραγγελίες. Εάν ένας πελάτης ερχόταν σε επαφή για να επιβεβαιώσει ότι θα ήθελε να προχωρήσει στην αγορά ενός συγκεκριμένου προιόντος, το προσωπικό δεν ήταν σε θέση να την επεξεργαστεί χωρίς να ελέγξει όλα τα στοιχεία μέσω του συστήματος ERP όπως συνήθως.
Αυτό είχε ως αποτέλεσμα λειτουργικές δυσκολίες οι οποίες επιβράδυναν σημαντικά τη διαδικασία πωλήσεων και δημιούργησαν μια άσχημη εμπειρία πελάτη με την εταιρεία. Η βάση πελατών του ασφαλισμένου αποτελείται κυρίως από μικρούς, αλλά και από τέσσερις πολύ μεγάλους, οι οποίοι δεν επιδέχονται καθυστερήσεις. Αυτό είχε ως αποτέλεσμα, η αφοσίωση των πελατών να γίνει προβληματική
Αμέσως μετά την επίθεση ransomware, τα έσοδα μειώθηκαν κάτω από το 5% του συνήθους επιπέδου του και παρόλο που τα συστήματα υπολογιστών του οργανισμού λειτουργούσαν ξανά πλήρως εντός δύο εβδομάδων από την επίθεση, χρειάστηκαν αρκετές εβδομάδες για να προσελκύσουν και κερδίσουν ξανά τους βασικούς πελάτες. Συνολικά, κατά τη διάρκεια μιας περιόδου 8 εβδομάδων, η επιχείρηση σημείωσε πτώση των εσόδων της σε νέες εργασίες από τα αναμενόμενα. Μετά την εφαρμογή του επιτοκίου μικτού κέρδους της επιχείρησης 28%, αυτό αντιπροσωπεύει απώλεια διακοπής επιχείρησης 110.000 περίπου.
Αυτό προήλθε από επιπλέον 43.000 που πραγματοποιήθηκαν για την αποκατάσταση των διακομιστών και των σταθμών εργασίας που έχουν επηρεαστεί από τη δημιουργία αντιγράφων ασφαλείας, τη διενέργεια ερευνών για τον προσδιορισμό της βασικής αιτίας της επίθεσης, τη διεξαγωγή πλήρους σάρωσης για την αφαίρεση τυχόν υπολειπόμενων κακόβουλων προγραμμάτων από τα συστήματα υπολογιστών του ασφαλισμένου, και την αποκατάσταση μετά την παραβίαση προκειμένου να μειωθεί η πιθανότητα επανάληψης της επίθεσης. Ευτυχώς για την εν λόγω επιχείρηση, είχαν εφαρμόσει ένα ασφαλιστήριο συμβόλαιο στον κυβερνοχώρο και κατάφεραν να ανακτήσουν αυτές τις απώλειες βάσει του συμβολαίου.
Δημιουργία και λειτουργία των επιχειρήσεων
@BusinessConsulting
Αυτή η επίθεση επισημαίνει μερικά βασικά σημεία.
Πρώτον, τη σημασία της αποτελεσματικής ασφάλειας του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Συγκεκριμένα, δείχνει τη σημασία της ύπαρξης ελέγχου ταυτότητας πολλών παραγόντων σε όλους τους λογαριασμούς email επιχειρήσεων. Αν και η επίθεση ενεργοποιήθηκε εν μέρει με τη χρήση ενός αδύναμου κωδικού πρόσβασης στον λογαριασμό διαχειριστή τομέα του οργανισμού, είναι πολύ απίθανο η επίθεση να είχε προχωρήσει περισσότερο εάν η επιχείρηση είχε έλεγχο ταυτότητας πολλών παραγόντων για να εξασφαλίσει το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας.
Δεύτερον, δείχνει πόσο εξαρτώνται οι περισσότερες επιχειρήσεις από τα συστήματα υπολογιστών τους. Σε αυτήν την περίπτωση, το επιχειρηματικό μοντέλο της επιχείρησης εξαρτάται σε μεγάλο βαθμό από το εταιρικό σύστημα προγραμματισμού πόρων για την αποτελεσματική αναζήτηση και πώληση, και όταν το πρόγραμμα λογισμικού δεν ήταν διαθέσιμο ως αποτέλεσμα μιας επίθεσης ransomware, η επιχείρηση υπέστη σημαντική λειτουργική και οικονομικές δυσκολίες.
Αυτή η επίθεση επισημαίνει τη σημασία της ύπαρξης ασφαλιστηρίου συμβολαίου στον κυβερνοχώρο. Ακόμα κι αν μια επιχείρηση έχει τον έλεγχο διαχείρισης κινδύνων, μπορεί να έχει σημαντικές επιπτώσεις στο κόστος σε περίπτωση επίθεσης στον κυβερνοχώρο. Σε αυτήν την περίπτωση, παρόλο που μπορεί να υπάρξουν αντίγραφα ασφαλείας εκτός σύνδεσης για να μπορέσει να ανακάμψει με επιτυχία, η επιχείρηση είχε ακόμη 110.000 ζημιά, ως αποτέλεσμα της επίθεσης ransomware. Ωστόσο, με την εφαρμογή του ασφαλιστηρίου συμβολαίου στον κυβερνοχώρο, ο ασφαλισμένος μπόρεσε να αντισταθμίσει επιτυχώς αυτές τις απώλειες, παρέχοντας ένα πολύτιμο δίχτυ ασφαλείας για την εταιρεία.
Προγραμματίστε μια Συνάντηση
One-on-One
Ας συζητήσουμε πώς μπορούμε να βοηθήσουμε την επιχείρηση σας να φτάσει στην επόμενη κανονικότητα. Θα δούμε τι κάνετε τώρα και τι χρειάζεται να αλλάξετε για να κλιμακώσετε την επιχείρηση σας στην κερδοφορία υψηλών αριθμών.
Κάντε κλικ για να προγραμματίσετε μόνος σας, την συνάντηση μας.