23 September, 2024

Хакеры парализовали работу СДЭК. Кто атаковал крупнейшего доставщика России и как этому порадовались на Украине?

Хакеры парализовали работу СДЭК. Кто атаковал крупнейшего доставщика России и как этому порадовались на Украине?
28.05.2024 21:03

Сервисы компании остаются недоступными для пользователей, и пока неизвестно, когда они смогут быть восстановлены. Ответственность за атаку взяла на себя малоизвестная группировка Head Mare, но эксперты предполагают, что за этим могут стоять иные участники. Вопрос о том, кто мог взломать СДЭК и какая угроза может возникнуть для обычных россиян, вызвал интерес у журналистов издания "Лента.ру".

На своей странице в X (ранее — Twitter), хакерская группировка Head Mare, утверждавшая, что именно она стоит за атакой на компанию, выразила свои насмешливые комментарии по поводу департамента информационной безопасности СДЭК.

Этот инцидент поднимает вопросы о безопасности данных и информационной защите в современном бизнесе. Какие меры предосторожности следует принять, чтобы защититься от подобных атак? Какие последствия могут возникнуть для компании и ее клиентов в результате подобных инцидентов?

Важно понимать, что безопасность данных в современном мире играет ключевую роль. К сожалению, в некоторых случаях недостаточное внимание к этому вопросу может привести к серьезным последствиям. В частности, представитель Head Mare заявил, что «криворукие админы с маленькой зарплатой делали бэкап раз в полгода» (как правило, в крупных компаниях резервные копии делают от нескольких раз в час до нескольких раз в месяц — прим. «Ленты.ру»). Они также заявили, что системные администраторы СДЭК «оказались слишком слабы», а политики безопасности «не оправдали себя».

Это подчеркивает важность регулярного обновления политик безопасности и проведения аудитов системы защиты данных. При этом утверждается, что резервные копии данных были полностью уничтожены из-за действий вируса-шифровальщика. Никакого выкупа киберпреступники не потребовали.

Важно отметить, что недостаточное внимание к резервным копиям данных и политикам безопасности может привести к серьезным угрозам для бизнеса. Вместе с тем, это также подчеркивает необходимость постоянного обновления и улучшения систем защиты информации.

Эксперты, опрошенные «Лентой.ру», выразили сомнения в правдивости заявления о том, что в СДЭК делали бэкапы всего раз в полгода. Мария Фесенко, специалист по информационной безопасности (ИБ) компании «Код безопасности», подчеркнула, что в компаниях с зрелыми ИБ-департаментами резервное копирование обычно выполняется автоматически. Например, отдельные изменения базы данных могут резервироваться каждые 15 минут, а полное копирование происходить раз в месяц.

Однако, несмотря на это, эксперты считают, что компания, такая как СДЭК, наверняка принимает все необходимые меры для регулярного бэкапирования данных и их сохранности. Возможно, у них есть отдельные мощности для хранения резервных копий, что делает доступ к ним шифровальщику практически невозможным. Таким образом, вероятность того, что шифровальщик смог добраться до бэкапов компании и зашифровать их, крайне низка.

Это подтверждает тот факт, что СДЭК является крупной и надежной компанией, которая обрабатывает огромное количество данных. В таких организациях безопасность и сохранность информации находятся на первом месте, и они предпринимают все возможные меры, чтобы защитить свои данные от угроз. Поэтому можно с уверенностью сказать, что заявление о редком бэкапировании данных в СДЭК не соответствует действительности.

Важно помнить, что перенастройка IT-инфраструктуры – это не быстрый процесс. Необходимо уделить достаточно времени на то, чтобы все изменения были внедрены правильно и безопасно. Кроме того, важно убедиться, что внутри организации нет злоумышленников, которые могли бы навредить системам», — подчеркнула Фесенко.

Первые признаки проблем в работе у СДЭК были замечены в воскресенье, 26 мая. Масштабный сбой затронул практически все системы компании, что привело к недоступности сайта для пользователей и личных кабинетов. Кроме того, сотрудники пунктов выдачи заказов столкнулись с проблемами в выдаче и приеме посылок.

Следует также отметить, что в процессе перенастройки IT-инфраструктуры необходимо учитывать возможные уязвимости, которые могут быть использованы злоумышленниками для вторжения в систему. Важно провести тщательный аудит безопасности и принять все меры предосторожности, чтобы защитить данные организации и ее клиентов.

В связи с техническим сбоем, представители СДЭК объявили о временной неработоспособности приложения и сайта компании, а также о приостановке приема и выдачи отправлений на пунктах выдачи. Они уточнили, что в настоящее время ведется работа по восстановлению функциональности сервисов.

Как пояснили в компании, приостановка выдачи заказов связана с желанием избежать ошибок при их ручной обработке. Несмотря на обещания о восстановлении работы сервисов к определенной дате, в компании признали, что не смогли выполнить обещание. Позднее было заявлено, что работы по восстановлению продвигаются, но возобновление обслуживания отложено.

Следует отметить, что такие технические сбои могут серьезно повлиять на работу клиентов и партнеров компании, вызвав неудобства и задержки в доставке грузов. Кроме того, недоступность сайта и приложения может привести к потере заказов и ухудшению репутации компании.

Во вторник, 28 мая, в СДЭК снова пообещали устранить последствия сбоя на следующий день, 29 мая. При этом официально компания не подтверждает версию об атаке вирусов-шифровальщиков. В беседе с «Ведомостями» представитель СДЭК заявил, что компания рассматривает несколько версий случившегося, однако публично озвучивать их не готова. Возможно, это связано с желанием избежать паники среди клиентов и партнеров.

Источники Telegram-канала Shot в СДЭК менее оптимистичны в прогнозах. По их данным, на восстановление работоспособности сервисов может уйти до трех-пяти дней. Приоритетом они называют возобновление работы ПВЗ. Это вызывает серьезные нарушения в работе логистической сети и может негативно сказаться на репутации компании. Возможно, это станет поводом для пересмотра стратегии в области кибербезопасности и рисков управления.

Возможные последствия взлома СДЭК вызывают серьезные опасения. Если базы данных компании действительно были скомпрометированы, то злоумышленники могли получить доступ к конфиденциальной информации. Неясно, содержат ли эти базы персональные данные пользователей, и какие именно могут быть утечки. Важно также понять, какое вредоносное ПО использовалось при атаке, так как от этого зависит масштаб угрозы. Согласно эксперту Фесенко, существуют вирусы, которые просто шифруют данные, не крадя их.

По мнению главного редактора портала Cyber Media Валерия Иванова, если утечка данных не приносит выгоды злоумышленникам для дальнейших атак или продажи, то они могут быть опубликованы в открытый доступ, чтобы усугубить ущерб компании. Это может привести к дополнительным проблемам и угрозам для пользователей и бизнеса.

Исходя из этой ситуации, необходимо принимать меры для защиты конфиденциальных данных и предотвращения возможных последствий в случае утечки. Компаниям следует уделить большее внимание безопасности информационных систем и разработке мер по защите данных пользователей.

В связи с недавними кибератаками на российские организации, эксперты в области безопасности настоятельно рекомендуют всем клиентам СДЭК принять меры по повышению безопасности своих аккаунтов. В «Коде безопасности» было отмечено, что необходимо сменить пароли во всех используемых сервисах и сделать их сложными, содержащими не менее 13 символов, включая буквы, цифры и специальные символы. Также рекомендуется активировать двухфакторную аутентификацию там, где она еще не была включена.

Однако, это не единственная организация, ставшая жертвой кибератак. В аккаунте Head Mare в X, зарегистрированном в декабре 2023 года, появились утверждения о других атаках на российские компании. В частности, были опубликованы скриншоты, которые, якобы, свидетельствуют о взломе внутреннего документооборота компании «Уралвагонзавод». Согласно этим утверждениям, хакеры получили доступ к 32 тысячам файлов.

Эти случаи кибератак подчеркивают необходимость принятия мер по защите информации и повышению безопасности во всех сферах деятельности. Компании и организации должны постоянно обновлять свои системы безопасности, следить за последними тенденциями в кибербезопасности и обучать своих сотрудников правилам безопасного использования информационных ресурсов. Только так можно минимизировать риски и защитить себя от киберугроз.

В последние дни появились новые данные о кибератаке на компанию «Русснефть», которая, как сообщается, столкнулась с утечкой огромного объема конфиденциальных документов. По информации, полученной из источников близких к ситуации, хакеры, представляющие себя как Head Mare, утверждают, что им удалось получить доступ к 857 тысячам файлов. В дополнение к предыдущим утечкам, они также утверждают, что служба безопасности компании контролирует политические взгляды своих сотрудников.

Однако, на этот раз хакеры не ограничились только утечкой информации. В своем заявлении они утверждают, что передали добытые материалы в компетентные органы для использования в будущих судебных процессах против России и предателей. Неясно, кто именно является предателями в данном контексте и какие именно органы получили эти материалы. Возможно, это лишь начало более широкой кибератаки, целью которой является не только утечка информации, но и дискредитация определенных лиц или организаций.

Недавно хакеры атаковали не только российский разработчик программного обеспечения «Галактика», но и НПО «Высокоточные системы и технологии», ФГАУ «Управление имуществом специальных проектов» Министерство обороны России и краснодарский интернет-провайдер «Телецентр». Это вызвало серьезные опасения в отношении безопасности информационных систем и данных этих организаций.

Согласно представителям Head Mare, это нападение связывается с международной хактивистской группировкой. Они также отмечают, что у Head Mare отсутствуют аккаунты на крупных русскоязычных площадках, посвященных киберпреступности. Это указывает на возможную международную природу атаки и на необходимость сотрудничества между различными странами и организациями для борьбы с киберугрозами.

Кроме того, атака на такие важные структуры, как Министерство обороны России, подчеркивает необходимость усиления мер по защите критической информационной инфраструктуры и улучшения сотрудничества между государственными и частными секторами в области кибербезопасности.

По данным «Ленты.ру», последние тренды хактивизма свидетельствуют о том, что приверженцы этой организации постепенно отходят от DDoS-атак и переходят к заражению вредоносным ПО для нанесения максимального ущерба и простоя инфраструктуры. Отсутствие требования выкупа за расшифровку данных в этом случае соответствует этим трендам. Однако, как отмечает эксперт Иванов, финансовая мотивация здесь скорее всего отсутствует, и политические цели играют важную роль. СДЭК стал целью хактивистов с самого начала, возможно из-за того, что его офисы были видны большинству хактивистов из окна. Иванов сомневается, что это работа APT-группы, и предполагает, что Head Mare является просто каналом для публикации информации об инциденте, а настоящие исполнители не хотят привлекать лишнее внимание к себе.

Следует отметить, что на русскоязычных даркнет-площадках возникло предположение о возможности внутреннего конфликта в компании СДЭК, который мог послужить толчком для атаки на их системы. Эта информация была опубликована в узкоспециализированных сообществах, где обсуждались возможные способы доступа к внутренним системам компании. При этом, согласно экспертам, вредоносное ПО Babuk было наиболее вероятным инструментом, использованным для атаки.

Однако стоит отметить, что сами хакеры из группировки LockBit могут не иметь прямого отношения к взлому систем СДЭК. Во-первых, они обычно требуют выкуп за доступ к зашифрованным данным, в то время как в данном случае такие требования не поступали. Во-вторых, последняя версия их вредоносного ПО стала широко доступной в даркнете, что позволило многим киберпреступникам по всему миру использовать ее для своих целей.

Таким образом, ситуация с атакой на СДЭК может быть более сложной и запутанной, чем кажется на первый взгляд. Возможно, за ней стоят не только хакеры из группировки LockBit, но и другие участники киберпреступного сообщества, стремящиеся получить доступ к ценной информации компании.

Недавно в сети появилась информация о возможной атаке на компанию СДЭК. Этот инцидент вызвал резонанс в социальных сетях. Публикацию Head Mare об этом инциденте прокомментировал аккаунт Инфовойск Украины, написав: «Отлично». Популярный Telegram-канал «Двач» обратил внимание на сообщения еще одного пользователя с ником UniHorny. Судя по приведенным скриншотам его аккаунта, он является сотрудником СДЭК. В своих комментариях под первоначальным постом Head Mare он согласился с тем, что «бить по гражданской инфраструктуре — нормальный военный ход».

Этот случай вызвал серьезные обсуждения в интернете и среди пользователей соцсетей. Позднее UniHorny закрыл доступ к своей странице, удалил последние комментарии, а также сменил имя пользователя на нецензурное. В СДЭК онлайн-активность своего предполагаемого сотрудника пока официально не прокомментировали. В связи с этим возникли вопросы о безопасности данных и информационной безопасности в целом.

Источник и фото - lenta.ru