Sopra Steria says Ryuk ransomware attack cost €50m to remediate
قالت شركة Sopra Steria للخدمات الرقمية واستشارات تكنولوجيا المعلومات العملاقة يوم الأربعاء إن هجوم Ryuk ransomware، الذي أصاب شبكتها في 21 أكتوبر من هذا العام، من المتوقع أن يؤثر على هامش التشغيل بما يصل إلى 50 مليون يورو بسبب عدم توفر الخدمات وتكلفة العلاج.
أعلنت Sopra Steria لأول مرة عن حادثة برنامج الفدية في أواخر أكتوبر، مشيرة إلى أن هجوم الفدية نجح حيث استخدم المتسللون إصدارًا جديدًا من Ryuk ransomware لم يكن معروفًا من قبل لموفري برامج مكافحة الفيروسات ووكالات الأمن.
وقالت الشركة إنه بعد اكتشاف هجوم برنامج الفدية، أتاحت فرق الأمان التابعة لها توقيع فيروس الإصدار الجديد لجميع مزودي برامج مكافحة الفيروسات لمساعدتهم على تحديث برامجهم في أقرب وقت ممكن. تمكن خبراء الأمن أيضًا من احتواء الفيروس في جزء محدود فقط من البنية التحتية للمجموعة وحماية عملائها وشركائها.
قالت الشركة: "في هذه المرحلة، وبعد تحقيق متعمق، لم تحدد Sopra Steria أي بيانات مسربة أو أضرار لحقت بنظم معلومات عملائها. وبعد تحليل الهجوم ووضع خطة علاجية، بدأ الفريق في إعادة تشغيل نظام المعلومات الخاص به والعمليات بشكل تدريجي وآمن، اعتبارًا من اليوم. وسوف يستغرق الأمر بضعة أسابيع للعودة إلى طبيعتها في جميع أنحاء المجموعة ".
أصدر عملاق خدمات تكنولوجيا المعلومات، الأربعاء، تحديثًا جديدًا للهجوم السيبراني، يفيد بأن استعادة جميع الشبكات والخدمات، التي بدأت في 26 أكتوبر، كانت على وشك الاكتمال، ولم تحدد أي بيانات مسربة أو أضرار لحقت به. أنظمة معلومات العملاء.
قالت الشركة إنها تمكنت من استعادة الوصول إلى محطات العمل والبحث والتطوير وخوادم الإنتاج، بالإضافة إلى الأدوات والتطبيقات الداخلية، مع العمل عن كثب مع العملاء والتركيز على الأمن. ومع ذلك، فإن برنامج الإصلاح وعدم توفر بعض الخدمات لفترة طويلة قد وجه ضربة كبيرة لهامش تشغيل الشركة.
"من المتوقع أن يكون للمعالجة والمستويات المختلفة لعدم توفر الأنظمة المختلفة منذ 21 أكتوبر تأثير سلبي إجمالي على هامش التشغيل يتراوح بين 40 مليون يورو و 50 مليون يورو. وتبلغ التغطية التأمينية للمجموعة للمخاطر الإلكترونية 30 مليون يورو ،" قال سوبرا ستيريا.
"بعد تضمين العناصر المذكورة أعلاه ، تتوقع Sopra Steria للسنة المالية 2020 أن تشهد نموًا سلبيًا في الإيرادات العضوية يتراوح بين 4.5% و 5.0% (سابقًا "بين -2% و -4%") ، وهو هامش تشغيلي على النشاط التجاري لـ حوالي 6.5% (سابقًا "بين 6% و 7%")، وتدفق نقدي مجاني يتراوح بين 50 مليون يورو و 100 مليون يورو (سابقًا "بين 80 مليون يورو و 120 مليون يورو")".
يشير التأثير المالي الهائل الذي كان على Sopra Steria إلى تحمله إلى المدى الذي يمكن أن يؤثر فيه هجوم فدية ناجح على المؤسسات الكبيرة. هجوم مماثل لبرامج الفدية يستهدف مؤسسات أصغر يمكن أن يعيق العمليات لفترة طويلة أو قد يؤدي إلى نتائج أكثر خطورة.
قال Tom Davison، المدير الفني- الدولي في Lookout، لـ TEISS إنه نظرًا لأن مجرمي الإنترنت يكررون باستمرار لتجنب الاكتشاف والاستفادة من نقاط الضعف الجديدة، فإن أفضل دفاع هو الحفاظ على الأنظمة مصححة واستخدام أدوات الأمان التي يمكن أن تستفيد من مجموعات البيانات الضخمة. يسمح هذا بتحديد استباقي ومستمر للسلوكيات المارقة بدلاً من الاعتماد على توقيعات محددة.
وفقًا لـ Brian Higgins، أخصائي الأمن في موقع Comparitech.com، لطالما كانت المنهجية المفضلة لمجرمي الإنترنت لأخذ شفرة المصدر الحالية لمنصات الهجوم الناجحة وتعديلها لإنتاج إصدار "جديد". يمكن أن يتضمن ذلك في كثير من الأحيان تعديلات لتجاوز تدابير anti-virus (AV) المعاصرة مع ترك الحمولة كما هي، ويبدو أن هذا هو الحال هنا.
وأضاف: "إذا كان هذا يثبت أي شيء على الإطلاق فهو أنه، في حين يُنظر إلى AV غالبًا على أنها أداة قديمة وغير متطورة في صندوق الوقاية من الجرائم الإلكترونية، يظل من الضروري ضمان تنفيذها وتشغيل أحدث إصدار حيثما أمكن ذلك".
أعلنت Sopra Steria لأول مرة عن حادثة برنامج الفدية في أواخر أكتوبر، مشيرة إلى أن هجوم الفدية نجح حيث استخدم المتسللون إصدارًا جديدًا من Ryuk ransomware لم يكن معروفًا من قبل لموفري برامج مكافحة الفيروسات ووكالات الأمن.
وقالت الشركة إنه بعد اكتشاف هجوم برنامج الفدية، أتاحت فرق الأمان التابعة لها توقيع فيروس الإصدار الجديد لجميع مزودي برامج مكافحة الفيروسات لمساعدتهم على تحديث برامجهم في أقرب وقت ممكن. تمكن خبراء الأمن أيضًا من احتواء الفيروس في جزء محدود فقط من البنية التحتية للمجموعة وحماية عملائها وشركائها.
قالت الشركة: "في هذه المرحلة، وبعد تحقيق متعمق، لم تحدد Sopra Steria أي بيانات مسربة أو أضرار لحقت بنظم معلومات عملائها. وبعد تحليل الهجوم ووضع خطة علاجية، بدأ الفريق في إعادة تشغيل نظام المعلومات الخاص به والعمليات بشكل تدريجي وآمن، اعتبارًا من اليوم. وسوف يستغرق الأمر بضعة أسابيع للعودة إلى طبيعتها في جميع أنحاء المجموعة ".
أصدر عملاق خدمات تكنولوجيا المعلومات، الأربعاء، تحديثًا جديدًا للهجوم السيبراني، يفيد بأن استعادة جميع الشبكات والخدمات، التي بدأت في 26 أكتوبر، كانت على وشك الاكتمال، ولم تحدد أي بيانات مسربة أو أضرار لحقت به. أنظمة معلومات العملاء.
قالت الشركة إنها تمكنت من استعادة الوصول إلى محطات العمل والبحث والتطوير وخوادم الإنتاج، بالإضافة إلى الأدوات والتطبيقات الداخلية، مع العمل عن كثب مع العملاء والتركيز على الأمن. ومع ذلك، فإن برنامج الإصلاح وعدم توفر بعض الخدمات لفترة طويلة قد وجه ضربة كبيرة لهامش تشغيل الشركة.
"من المتوقع أن يكون للمعالجة والمستويات المختلفة لعدم توفر الأنظمة المختلفة منذ 21 أكتوبر تأثير سلبي إجمالي على هامش التشغيل يتراوح بين 40 مليون يورو و 50 مليون يورو. وتبلغ التغطية التأمينية للمجموعة للمخاطر الإلكترونية 30 مليون يورو ،" قال سوبرا ستيريا.
"بعد تضمين العناصر المذكورة أعلاه ، تتوقع Sopra Steria للسنة المالية 2020 أن تشهد نموًا سلبيًا في الإيرادات العضوية يتراوح بين 4.5% و 5.0% (سابقًا "بين -2% و -4%") ، وهو هامش تشغيلي على النشاط التجاري لـ حوالي 6.5% (سابقًا "بين 6% و 7%")، وتدفق نقدي مجاني يتراوح بين 50 مليون يورو و 100 مليون يورو (سابقًا "بين 80 مليون يورو و 120 مليون يورو")".
يشير التأثير المالي الهائل الذي كان على Sopra Steria إلى تحمله إلى المدى الذي يمكن أن يؤثر فيه هجوم فدية ناجح على المؤسسات الكبيرة. هجوم مماثل لبرامج الفدية يستهدف مؤسسات أصغر يمكن أن يعيق العمليات لفترة طويلة أو قد يؤدي إلى نتائج أكثر خطورة.
قال Tom Davison، المدير الفني- الدولي في Lookout، لـ TEISS إنه نظرًا لأن مجرمي الإنترنت يكررون باستمرار لتجنب الاكتشاف والاستفادة من نقاط الضعف الجديدة، فإن أفضل دفاع هو الحفاظ على الأنظمة مصححة واستخدام أدوات الأمان التي يمكن أن تستفيد من مجموعات البيانات الضخمة. يسمح هذا بتحديد استباقي ومستمر للسلوكيات المارقة بدلاً من الاعتماد على توقيعات محددة.
وفقًا لـ Brian Higgins، أخصائي الأمن في موقع Comparitech.com، لطالما كانت المنهجية المفضلة لمجرمي الإنترنت لأخذ شفرة المصدر الحالية لمنصات الهجوم الناجحة وتعديلها لإنتاج إصدار "جديد". يمكن أن يتضمن ذلك في كثير من الأحيان تعديلات لتجاوز تدابير anti-virus (AV) المعاصرة مع ترك الحمولة كما هي، ويبدو أن هذا هو الحال هنا.
وأضاف: "إذا كان هذا يثبت أي شيء على الإطلاق فهو أنه، في حين يُنظر إلى AV غالبًا على أنها أداة قديمة وغير متطورة في صندوق الوقاية من الجرائم الإلكترونية، يظل من الضروري ضمان تنفيذها وتشغيل أحدث إصدار حيثما أمكن ذلك".
