Когда целый американский город был парализован ransomware - Реальность кибератаки на Сент-Пол

Безопасность
https://ru.andytips.com/posts/2025/saint-paul-ransomware-ataka-interlock-issledovanie-2025/
Содержимое страницы

В июле прошлого года разрушительная атака ransomware поразила Сент-Пол, Миннесота, вызвав один из худших инцидентов кибербезопасности в муниципальной истории США.
Вся компьютерная система города была парализована, сетевые коммуникации отказали, граждане не могли оплатить счета за воду, библиотеки потеряли доступ к Wi-Fi, и даже городские служащие не могли работать.

Оказалось, что это была атака ransomware, организованная группой хакеров под названием “Interlock.”
Самое возмутительное то, что когда город отказался платить выкуп, эти преступники опубликовали 43ГБ данных граждан в интернете.

Давайте разберём, что именно произошло и что мы можем из этого извлечь.

Как всё началось

Я наткнулся на эту историю, листая новости о безопасности.
В Корее в последнее время участились атаки ransomware, так что я слежу за тем, что происходит в других местах. Но это? Это было совсем другого уровня.
Целый американский город поставлен на колени. Я не мог в это поверить.

Можете представить, каково это - когда парализован целый город?
Когда я об этом подумал, стало по-настоящему страшно.
Все цифровые сервисы, которые мы считаем само собой разумеющимися в повседневной жизни, внезапно становятся бесполезными в один момент.
(То есть, мы вообще можем функционировать без интернета сейчас?)

Хронология атаки

Вот как всё развивалось, день за днём.

  • 22 июля 2025: Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпускает предупреждение о группе ransomware Interlock
  • 25 июля 2025: Автоматизированные системы безопасности Сент-Пола впервые обнаруживают “подозрительную активность” и начинается атака
  • 25-27 июля 2025: Атака продолжается всё выходные, ущерб системе нарастает
  • 27 июля 2025: Городские власти полностью отключают все информационные системы для предотвращения дальнейшего ущерба
  • 28 июля 2025: Wi-Fi в мэрии и публичных библиотеках отключён, инструменты онлайн-платежей деактивированы, доступ к внутренней сети приостановлен (службы экстренной помощи 911 (американский экстренный номер) остаются работоспособными)
  • 29 июля 2025: Мэр Мелвин Картер официально объявляет местное чрезвычайное положение / Губернатор Тим Уолц активирует команду киберзащиты Национальной гвардии Миннесоты / ФБР начинает расследование и развёртывает две национальные компании по кибербезопасности
  • 30 июля 2025: Город объявляет, что зарплаты сотрудников будут выплачены в обычном режиме, несмотря на отключение системы начисления зарплат
  • 1 августа 2025: Городской совет Сент-Пола единогласно решает продлить чрезвычайное положение на 90 дней
  • 8 августа 2025: Ручная обработка зарплат завершена, всем сотрудникам выплачено в обычном режиме
  • 10 августа 2025: Атакующий идентифицирован как группа ransomware ‘Interlock’ официально подтверждён / Начинается операция восстановления “Operation Secure St. Paul” (сброс паролей и проверка оборудования для примерно 3,500 человек)
  • 11 августа 2025: Город официально объявляет об отказе от требований выкупа / Interlock мстит, публикуя 43ГБ украденных данных в даркнете (в основном документы Департамента парков и отдыха) / Объявляет о 12-месячном бесплатном сервисе мониторинга кредитов для всех сотрудников
  • 12 августа 2025: Операция Secure St. Paul Фаза 1 завершена (обработано более 2,000 человек)
  • Конец августа 2025: Телефонные службы, онлайн-платежи за воду, платёжные системы парков и отдыха начинают постепенное восстановление

Июль 2025: Сбой системы Сент-Пола

Первые подозрительные признаки в Сент-Поле были обнаружены в пятницу утром, 25 июля 2025 года.
Автоматизированные системы безопасности города обнаружили “подозрительную активность.” Но было уже слишком поздно.

Атака хакеров продолжалась все выходные. С 25 по 27 июля весь город по сути находился под цифровой осадой.
Чтобы предотвратить дальнейший ущерб, городские власти приняли радикальное решение отключить все информационные системы в воскресенье, 27 июля.

Каковы были последствия?
Wi-Fi в мэрии и публичных библиотеках полностью отключился, а системы онлайн-платежей были полностью парализованы.
У граждан не было возможности оплатить счета за воду.

Им удалось сохранить работу 911 (американский экстренный номер) - что, знаете ли, довольно критично.
Но все те другие сервисы, на которые полагаются люди? Платежи за воду,
городские архивы, внутренние системы… всё офлайн.

Чрезвычайное положение

29 июля мэр Сент-Пола Мелвин Картер решил, что они больше не могут держаться.
Он официально объявил, что это была не просто ошибка системы, а скорее “преднамеренная, скоординированная цифровая атака изощрённых внешних субъектов.”

Он немедленно объявил местное чрезвычайное положение.
Это показывает, насколько серьёзной стала ситуация.

Губернатор Миннесоты Тим Уолц также издал исполнительный указ в тот вечер, развернув команду киберзащиты Национальной гвардии Миннесоты.
Официальной причиной было то, что “масштаб и сложность атаки превысили возможности реагирования города.”
Подумайте только - развернуть Национальную гвардию из-за кибератаки на город… это абсолютно беспрецедентно.

ФБР подключилось. Две крупные компании по кибербезопасности тоже. Все метались в панике.

Личность Interlock

Только 10 августа была раскрыта личность атакующих.
На пресс-конференции мэр Картер раскрыл, что это была работа группы ransomware под названием “Interlock.” (Что, честно говоря, заняло гораздо больше времени, чем можно было бы подумать.)

Interlock - это не просто какая-то группа хакеров.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпустило предупреждение о них всего за три дня до атаки.
Мэр Картер описал их как “изощрённую, финансово мотивированную организацию, нацеленную на корпорации, больницы и правительственные агентства, крадущую и продающую терабайты конфиденциальной информации.”

Их требование было простым:
Заплатите нам деньги.

Точная сумма? Никто не говорит. Но Сент-Пол не уступил.
И вот тогда всё стало по-настоящему плохо.

Репрессалии и утечка данных граждан

Когда город отказался платить выкуп, началась месть Interlock.
11 августа они опубликовали 43ГБ данных, украденных из Сент-Пола, в интернете.

К счастью, большая часть утёкших данных была из общих дисков Департамента парков и отдыха.
Они включали рабочие документы, копии удостоверений личности, которые сотрудники предоставляли в отдел кадров, и даже личные кулинарные рецепты - описанные как “разнообразные и несистематические” материалы.

Но не зная, что ещё может утечь, городу пришлось успокаивать своих граждан.
Город объявил, что предоставит всем сотрудникам 12 месяцев бесплатного мониторинга кредитов и услуг защиты от кражи личных данных.
Это была мера предосторожности на случай, если более конфиденциальная информация была скомпрометирована.

Запуск операции восстановления

Чтобы восстановить свои системы, Сент-Пол запустил массивную операцию.
Названная “Operation Secure St. Paul,” эта операция потребовала, чтобы все примерно 3,500 городских служащих собрались в подвале Roy Wilkins Auditorium и выстроились в очередь перед примерно 80 установленными там компьютерами.

Сотрудникам нужно было предъявить свои удостоверения личности и номера сотрудников, провести примерно 30 минут на сброс паролей и пройти проверки безопасности на своих рабочих ноутбуках.
Этот процесс продолжался три дня с 10 по 12 августа, с 6 утра до 10 вечера.
Это был полный перезапуск. У них, должно быть, было невероятно тяжёлое время.

Только после сброса всей информации об учётных записях
они смогли начать перезапускать системы одну за другой.

Что такое ransomware?

Быстрое напоминание о ransomware, на случай, если вы не знакомы.

Это в основном цифровой захват заложников.
Программа проникает в вашу систему, блокирует все ваши важные файлы шифрованием, а затем - вот в чём фокус - требует оплату, чтобы разблокировать их.
Типа “плати или теряй всё”.

Современные атакующие ransomware стали более коварными.
Они не просто шифруют файлы - они заранее крадут важные данные.
Поэтому когда жертвы отказываются платить, они добавляют ещё одну угрозу: “Тогда мы опубликуем личную информацию ваших клиентов или граждан в интернете.”

Это называется “Двойное вымогательство.”

Мотивы преступников

Так почему же эти преступники вкладывают столько времени и усилий в эти заражения?

Деньги, очевидно.
Эти атаки приносят серьёзные деньги - мы говорим о сотнях тысяч, иногда миллионах за одну атаку. Когда вы нацеливаетесь на больницы или муниципальные правительства, выплата может быть массивной.
Вот почему все прыгают на этот поезд.

Затем есть вся эта штука с RaaS - Ransomware as a Service.
Думайте о модели франшизы: большие группы вроде Interlock создают инструменты, более мелкие хакеры
проводят реальные атаки, все делят прибыль.
Соглашение типа “я занимаюсь технологией, ты делаешь грязную работу”.

Криптовалюта тоже облегчила дело.
Платежи в биткоинах практически невозможно отследить, поэтому преступники чувствуют себя гораздо безопаснее, требуя выкупы таким образом.

И честно говоря? Там всё ещё полно лёгких целей.
Местные правительства, малый бизнес - многие не инвестируют достаточно в безопасность.
Они думают “с нами этого не случится”, пока это не случается.
Тогда уже слишком поздно.

И всё ещё много целей со слабой кибербезопасностью.
Особенно местные правительства и малые предприятия часто имеют недостаточные инвестиции в безопасность, что облегчает хакерам проникновение.
Они думают “ничего серьёзного с нами не случится…” и становятся самоуспокоенными, затем их полностью разрушают при первой же атаке.

Вот в чём дело с кибербезопасностью: Если хакер действительно хочет проникнуть,
в конце концов он это сделает. У каждой системы есть уязвимости.
Вопрос не “могут ли они взломать?” а “сколько времени это займёт?” Сильная безопасность даёт вам время - иногда достаточно, чтобы они сдались и пошли дальше.

Что мы можем сделать

Итак, как мы можем защитить себя от таких атак?

Резервные копии - ваша страховочная сеть.
Храните копии важных файлов на внешних дисках или облачном хранилище - где-то отдельно от вашей основной системы.
Таким образом, если ransomware ударит, вы не полностью в заднице.
Только одно: не оставляйте резервные диски постоянно подключёнными к вашему компьютеру.
Они тоже могут быть зашифрованы, если вредоносное ПО распространится.
Да, немного хлопотно отключать их каждый раз, но оно того стоит.

Держите всё обновлённым.
Я знаю, я знаю - уведомления об обновлениях раздражают.
Но эти патчи безопасности существуют не просто так.
Когда ваша ОС или программное обеспечение предлагает обновиться, не откладывайте.
Хакеры специально ищут системы с устаревшим ПО с известными уязвимостями.
Выработайте привычку устанавливать обновления, как только они становятся доступны.

Относитесь к подозрительным письмам как к яду.
Вот в чём дело - большинство ransomware не появляется магически на вашем компьютере.
Ему нужно, чтобы вы впустили его, обычно через фишинговое письмо.
То вложение от кого-то, кого вы не знаете? Удалите его.
Та ссылка в странном сообщении? Не кликайте.
Если что-то кажется странным в письме, вероятно, так оно и есть.
Доверяйте своим инстинктам.

Используйте сильные пароли и включите двухфакторную аутентификацию.
Разный пароль для каждой учётной записи - да, запоминать их все сложно, но для этого и существуют менеджеры паролей.
И включайте двухфакторную аутентификацию везде, где возможно.
Она добавляет дополнительный слой, который сильно усложняет жизнь атакующим, пытающимся взломать ваши аккаунты.

Сделайте себя трудной целью.
Вот что знают эксперты по безопасности: если решительный хакер действительно хочет проникнуть в конкретную систему, он в конце концов найдёт способ.
Но вот хорошие новости - большинство хакеров не настолько терпеливы.
Они ищут лёгкие победы, а не вызовы.
Так что наслаивайте меры безопасности.
Сильные пароли, двухфакторная аутентификация, обновлённое ПО, настройки файрвола - всё.
Сделайте вашу систему достаточно раздражающей для взлома, и хакеры обычно перейдут к более лёгким целям.
В конце концов, они ведут бизнес.
Время - деньги, даже для преступников.

Ежедневная осознанность безопасности

На самом деле, я много размышлял, исследуя этот инцидент в Сент-Поле.
Думаю, я был слишком самодовольным в отношении кибербезопасности в своей повседневной жизни.

Наши повседневные жизни неотделимы от цифровых технологий, верно?
От интернет-банкинга до покупок, соцсетей и работы…
Почти всё делается онлайн, но наш интерес к безопасности был недостаточным.

Особенно мысль “кто будет взламывать обычного человека вроде меня?” кажется действительно опасной.
Ransomware часто распространяется неизбирательно, а не нацеливается на конкретных людей.
Это как забросить широкую сеть, чтобы поймать любую рыбу, которая попадётся.

Я также понял, что если меня атакуют, я не должен скрывать это или пытаться решить самостоятельно.
Как сделал Сент-Пол, я должен открыто просить о помощи и работать с экспертами для решения проблемы.

Благодаря этому инциденту с ransomware в Сент-Поле я по-новому оценил, насколько важна кибербезопасность.
Было шокирующим, что целый город может быть парализован, и страшно, что такие атаки становятся всё более изощрёнными.

Так что да, это история Сент-Пола. Страшно, правда?

Как выглядит ваша настройка безопасности? Есть истории ужасов или советы, которыми можно поделиться?
Оставьте их в комментариях - мне было бы интересно услышать, что вы все об этом думаете.