Президент Larson Studios Рик Ларсон (Rick Larson) и его жена, по совместительству — деловой партнер, Джилл Ларсон (Jill Larson) рассказали изданию Variety о том, как уступки хакерам и безответственный подход к безопасности позволили группировке Dark Overlord шантажировать голливудские студии.
В 2016 году за два дня до празднования католического Рождества Рик и Джилл получили SMS с угрозой взлома на свои личные мобильные телефоны, но не придали этому особого значения. В канун праздника пришло еще одно: «Почему вы игнорируете меня? На электронной почте ждет письмо, которое изменит вашу жизнь». Ларсоны все еще не сильно беспокоились, но все изменилось, когда на следующий день пришло новое письмо. Группа взломщиков, называющая себя Dark Overlord, сообщила, что ей удалось проникнуть на серверы компании и угрожала утечкой всех данных Larson Studios.
Главный инженер компании Дэвид Дондорф (David Dondorf) и начальник отдела цифровых систем Крис Унтанк (Chris Unthank) оставили свои семьи в рождественское утро и бросились в студию, чтобы оценить последствия действий хакеров. Dark Overlord украла с сервера и удалила все данные, как и обещала в своих посланиях, и потребовала выплат в биткоинах, если студия хочет вернуть все данные обратно. Тогда Унтанк и Дондорф отключили всю аппаратуру от сети и вызвали ФБР.
Однако власти не смогли ничем помочь в то рождественское утро: ФБР попросило заполнить формы, выразило свое сочувствие, и на этом работа бюро закончилась. В компании понимали, что формы не подскажут, как реагировать на требования харкеров о выкупе, и потому Larson Studios наняла частных экспертов в области безопасности данных, чтобы узнать, что произошло, и что делать дальше.
В конце концов им удалось выяснить, как хакеры провернули атаку. Dark Overlord сканировала публичные адреса и искала компьютеры, работающие на незащищенных версиях Windows и случайно наткнулась на старый компьютер в Larson Studios под управлением Windows 7. Дондорф объяснил, что атака не была целенаправленной — хакеры хотели проверить свои силы, удастся ли им найти компьютер, который получится взломать.
Когда были выяснены все обстоятельства, компания усилила меры безопасности и внимательно изучила, что же было украдено. Джилл Ларсон отмечает, что на это команда потратила большую часть января. Прежде чем заплатить выкуп, они хотели получить от хакеров доказательства.
Larson Studios не сразу решила пойти навстречу взломщикам, но Dark Overlord предоставила очень мало времени на принятие решения. Злоумышленники угрожали тем, что выпустят новый сезон сериала Netflix «Оранжевый — хит сезона» до Нового года. Поэтому компании пришлось согласиться на сотрудничество, хотя бы для того, чтобы выиграть время.
Тем временем эксперты по безопасности, нанятые Ларсонами, изучали предыдущие атаки команды Dark Overlord. В предыдущие месяцы группа взломщиков нацелилась на медицинские учреждения и другие предприя. Злоумышленники успели атаковать американского производителя клея Gorilla Glue перед Larson Studios и детскую благотворительную организацию сразу после. Предыдущие атаки показали, что выплата выкупа действительно срабатывала — хакеры возвращали материалы в компании и уничтожали копии у себя.
Когда в конце января хакеры доказали, что украли контент десятка крупных студий, в том числе Netflix, ABC, CBS и Disney, Ларсон сделал две вещи: написал заявление в полицию и решил заплатить злоумышленникам. «Наши клиенты доверили нам защиту своей интеллектуальной собственности, и лучший способ подтвердить их доверие — заплатить хакерам», — говорит Рик Ларсон. Хакеры потребовали 50 биткоинов, что на тот момент составляло чуть более 50 тысяч долларов.
6 февраля Джилл Ларсон и Унтанк встретились со спецагентом Джоном Пальмери (John Palmieri), специалистом по киберпреступности. Пальмери посоветовал не платить и не общаться с вымогателями. Но он также отметил, что компания наверняка сама лучше знает, какое решение будет наилучшим для бизнеса.
Покупка и отправка биткоинов вызвала трудности. Сначала Джилл Ларсон пришлось собрать необходимую сумму в Coinbase — своего рода интернет-банке для транзакций биткоинов. Банк не позволил провести всю операцию разом, и она потратила около недели на то, чтобы передать всю сумму Dark Overlord — всего 19 транзакций. После этого Larson Studios получила последнее письмо от кибер-преступников, подтверждающее оплату.
На несколько недель наступило затишье, а 31 марта в компанию позвонили из ФБР и сообщили, что хакеры использовали украденные в декабре материалы, чтобы шантажировать студии в Голливуде. Несколько дней спустя телефон Ларсона разрывался от звонков из отделов безопасностей этих студий.
До этого момента Larson Studios не сообщила об атаке ни одному из своих клиентов. Молчание — одно из условий, которые поставили хакеры. Группировка Dark Overlord даже связалась с некоторыми журналистами и спросила о возможном инциденте, чтобы удостовериться, выдаст ли компания секрет. Larson Studios молчала, и хакеры сказали Ларсону, что это было верным решением.
Компания Ларсонов потратила сумму с шестью нулями на новые меры безопасности, некоторые из которых были рекомендованы студиями. Теперь они хранят аудио- и видеофайлы раздельно, так что злоумышленники не смогут их выкрасть одновременно. Выходные данные зашифрованы, сети разделены, а компьютеры в помещении заблокированы. Только теперь Larson Studios чувствует себя в безопасности.
Это не значит, что ранее компания не принимала никаких мер предосторожности. Сотрудники Larson Studios просто не знали об этом. Наличие компьютера с необновленной операционной системой, подключенного к сети, — недосмотр компании.
Эта история побудила многие студии озаботиться вопросами безопасности. Компании уже значительно повысили уровень безопасности после атаки на Sony Pictures в 2014 году, которая привела к утечке десятков тысяч электронных писем. Однако эксперты в области безопасности давно предупреждали об отсутствии должной защиты у аутсорсеров, которых у студий очень много.
Студии отдают на аутсорс обработку звука, цветокоррекцию, 3D-масштабирование и многое другое. Некоторые посредники — крупные игроки, но большая часть — это все же небольшие семейные компании вроде Larson Studios. После взлома Dark Overlord ходят слухи о необходимости стандартизации систем безопасности для таких предприятий.
Larson Studios до сих пор продолжает усиливать меры безопасности и пытается восстановить свою репутацию. Последнее не особо удается. Когда в мае вышла новость о возможной краже новой части фильма «Пираты Карибского моря» от Disney, многие журналисты ссылались на случай с Larson Studios, несмотря на то, что компания не имеет к фильму никакого отношения.
Автор: krasandm