Ce tip de companii, care administrează fonduri de investiții deținute de familii bogate, sunt vânate de pirații cibernetici
Firmele de private equity – ce administrează fonduri de investiții deținute de familii bogate sau de instituții financiare – au intrat în atenția hackerilor care caută să obțină o răscumpărare.
Într-o zi de octombrie, Norm Hullinger se îndrepta către serviciu când a primit un apel telefonic din care a aflat că rețeaua companiei sale nu funcționează normal. Nu a fost o simplă defecțiune. Hackerii începuseră să blocheze datele distribuitorului de echipament sportiv Alphabroder. Voiau peste trei milioane de dolari pentru a debloca rețeaua.
Luptându-se cu ideea de a plăti, Hullinger, chief executive officer, a pornit într-o călătorie din ce în ce mai familiară firmelor de avocatură, spitalelor și orașelor care s-au aflat la celălalt capăt al negocierilor cu infractorii ransomware (un tip de software utilizat pentru a bloca hardware-ul victimei, căreia i se cere apoi o sumă pentru a-l debloca, n.r.).
Chiar dacă experții au tras un semnal de alarmă în legătură cu răspândirea și creșterea complexității acestui tip de atacuri, penetrările rețelelor unor companii, precum cea condusă de Hullinger, au rămas de cele mai multe ori în afara atenției publice. Asta, probabil, pentru că, în cazul Alphabroder, o firmă de private equity, Littlejohn & Co., deține afacerea. Întrucât firmele de private equity se bazează pe reputația lor de investitori pricepuți pentru a obține încrederea fondurilor de pensii, a bogătașilor și a altor clienți, nu ar dori să recunoască public că ele sau una dintre companiile lor au fost lovite un atac ransomware. „De cele mai multe ori, firmele de private equity nu dau informații despre atacurile ransomware, pentru a nu-și afecta reputația“, spune Dan Burke, specialist în securitate cibernetică la firma de brokeraj în asigurări Woodruff Sawyer.
Ușor de găsit
Potrivit mai multor experți în securitate cibernetică, private equity și în asigurări, atacatorii ransomware văd companiile din portofoliile firmelor de private equity ca pe niște ținte grase. La urma urmei, proprietarii au buzunare adânci. În același timp, în general, au cumpărat companiile cu scopul de a mări profiturile, iar asta are ca efect, deseori, o securitate cibernetică slabă. Cel mai bun lucru pentru atacatori, spun aceștia, este că țintele nu sunt greu de găsit. Firmele de private equity cer acestor companii divulgarea unor informații detaliate, iar când cumpără una, anunță tranzacția printr-un comunicat de presă.
„Le spui atacatorilor că ești pe cale să injectezi o mare sumă de bani într-o companie despre care se presupune că are o proprietate intelectuală valoroasă. Este ca și cum le-ai da o hartă cu un traseu către comoară“, spune Mike O’Malley, vicepreședinte al companiei de securitate cibernetică Radware, despre anunțurile de achiziție.
Nu există statistici care să ilustreze că firmele de private equity sunt atacate mai des decât altele. Dar sectorul a fost victima unui număr crescut de atacuri țintite și din ce în ce mai sofisticate. „Comunitatea firmelor de private equity, în ansamblu, este foarte preocupată“, spune Gregory Garrett, șeful departamentului de securitate cibernetică la BDO Digital, o firmă de consultanță tehnologică. El a discutat recent pe această temă cu aproape 40 de executivi de la o mare firmă de private equity de pe Park Avenue din New York pe care a refuzat să o identifice. „Marile bănci au investit o sumă extraordinar de mare în hardware, software și în training. Firmele de private equity nu au făcut asta“, spune el.
Hackerii ransomware par să se îndepărteze de tactica atacurilor vaste efectuate la nimereală asupra mai multor organizații simultan și se concentrează pe o pradă mare, care promite câștiguri mai însemnate, spun experții în ransomware. Atacatorii pot explora rețelele companiilor săptămâni sau chiar luni întregi înainte de criptarea datelor. În plus, încep să amenințe că vor dezvălui public datele companiei dacă nu sunt făcute plăți ori să mărească suma de răscumpărare.
Aceste cercuri infracționale par, de asemenea, să caute detalii operaționale, cum ar fi cine aprobă plăți importante sau numele angajaților-cheie, informații care i-ar putea ajuta să penetreze o rețea – adică numai tipuri de detalii precise pe care firmele de private equity, în calitate de consultanți în investiții, sunt obligate să le înregistreze.
Unii experți care luptă cu crizele ransomware spun că au avut de-a face cu atacuri declanșate aparent de anunțurile de achiziție. Austin Berglas, de la firma de securitate cibernetică BlueVoyant, spune că a ajutat în ultimele luni la rezolvarea unor crize care au afectat cinci companii din portofolii private equity, inclusiv din domeniile produselor cosmetice, comerțului electronic, tehnologiei și finanțelor.
În timp ce Biroul Federal de Investigații (FBI) recomandă cu tărie ca sumele cerute de hackeri să nu fie plătite, multe companii o fac oricum – poate că între 50% și 85% din aceia care apelează la specialiști capabili să gestioneze crizele, potrivit mai multor experți, inclusiv dintre cei chemați să negocieze cu atacatorii.
Există asigurări
Multe firme de private equity plătesc asigurări de securitate cibernetică pentru atacuri ransomware, polițe care ar putea acoperi inclusiv plățile de răscumpărare și costurile de reluare a operațiunilor.
Compania de brokeraj de asigurări Aon Plc a pregătit polițe de asigurare împotriva atacurilor cibernetice pentru companiile din portofoliile deținute de peste 20 de firme de private equity, spune Christian Hoffman, un executiv de la Aon Plc. Pentru a obține această acoperire, firmele de private equity trebuie să demonstreze că sistemele lor de apărare cibernetică sunt puternice, spune Hoffman. „Firmele de private equity iau foarte în serios securitatea cibernetică“, adaugă el.
Câteva atacuri au întârziat sau au omorât tranzacții vizate de firmele de private equity. Eric Friedberg, executiv la Aon, a descris două achiziții de peste un miliard de dolari întârziate pentru o lună sau pentru mai mult timp din cauza atacurilor ransomware, perioadă în care firmele de private equity au evaluat riscurile de securitate cibernetică ale companiilor pe care le vindeau.
În urmă cu doi ani, o companie de comerț electronic care funcționa de mulți ani era pe punctul de a fi achiziționată de o firmă de private equity când a fost atacată de hackerii ransomware. Atacul a durat cinci zile. Descurajați de breșele de securitate cibernetică pe care atacul le-a expus, pretendenții de la firma de private equity și-au retras oferta de achiziție, potrivit lui Chris Duvall, senior director la Chertoff Group, care a refuzat să dezvăluie numele companiilor implicate.
„Indiferent dacă plătești sau nu, trebuie să-ți reconstruiești rețeaua“, spune Charles Carmakal, vicepreședinte la FireEye, unde conduce o echipă care a rezolvat peste 1.000 de breșe de securitate. „Trebuie să înlături ușile din spate. Dacă un atacator vrea, ar putea să se întoarcă imediat și să-și instaleze din nou ransomware-ul“, adaugă Carmakal.
Prețuri
Nu toate atacurile ransomware au ca final reluarea normală a operațiunilor companiei. În august 2019, Colorado Timberline, o companie de tipărire din Denver, a anunțat pe pagina sa de Facebook că rețeaua sa de computere a fost infectată. Atacul a survenit la doi ani după ce firmele de private equity Frontenac și Charter Oak Equity au cumpărat compania. „Am fost afectați de curând de mai multe evenimente IT și din păcate nu putem depăși cel mai recent atac ransomware“, a comunicat compania pe propriul site.
Cu venituri estimate de aproape 23 de milioane de dolari și cu 100 de angajați, compania s-a închis. Frontenac, care a refuzat să comenteze, și Charles Oak Equity, care nu a răspuns solicitării de a comenta, au rămas să împartă cu celelalte părți implicate banii rezultați din vânzările de lichidare.
Detalii despre atacul asupra companiei Alphabroder au ieșit la iveală după ce Hullinger a discutat despre asta la o conferință a industriei, desfășurată în noiembrie. Un video cu comentariile sale a fost încărcat pe YouTube. În acele observații, el a spus că a înțeles în câteva ore că rețeaua companiei sale, care procesează aproximativ 40.000 de comenzi pe zi, este supusă unui atac ransomware. Asigurătorul de securitate cibernetică al firmei a adus experți în investigații și negociatori care au preluat cazul în câteva ore. (Alphabroder și Littlejohn au refuzat să comenteze, la fel și Hullinger.)
Negociatorii au reușit să micșoreze prețul de răscumpărare de 3,2 milioane de dolari, cerut inițial de infractorii vorbitori de rusă, la aproape jumătate din sumă. „Nu sunt tipul de om care, dacă vine cineva pe stradă și-i spune «dă-mi portofelul tău», să i-l înmâneze“, le-a spus Hullinger participanților la conferință. Dar el a acceptat să plătească. La o zi după atac, Alphabroder a primit o cheie de decriptare. La două zile după atac, compania lucra din nou la viteză maximă.
Acest articol a apărut în numărul 87 al revistei NewMoney
FOTO: Getty
Articol preluat din Bloomberg Businessweek
Citește ultimul număr al revistei NewMoney în format e-paper.