«Красивая работа». Сеть автозапчастей в Петербурге понесла колоссальные убытки от кибератаки

В Петербурге крупная сеть магазинов автозапчастей и СТО «ЕвроАвто» стала жертвой кибератаки. Причиненный взломщиками ущерб исчисляется миллионами рублей, такого же порядка суммы уже инвестированы в защиту. Как правило, с жертвы требуют выкуп в криптовалюте и исчисляется он десятками миллионов, однако компания не поддалась на провокацию и сумела самостоятельно восстановить работоспособность систем. Заместитель генерального директора Илья Плисов рассказал «Фонтанке», на что нацеливались взломщики и как нашли лазейку, чтобы внедриться в защищенную сеть.

Как хакеры ломают систему

Атака состояла из двух частей, причем первый акт случился еще в конце ноября и был полуавтоматическим, говорит Плисов. Наибольший интерес для хакеров представляют крупные компании. В поисках таковой они, как рыбаки сети, раскидывают свои фишинговые сайты, ссылки и письма. Чтобы взломщик получил доступ, достаточно щелкнуть в письме по какой-нибудь ссылке, делится он.

На первый взгляд ничего не произойдет, не возникнет мигающих символов или нелепых визуальных эффектов, которые сопровождали кибернападения в 2000-е годы. Опасное случится внутри системы: злоумышленник получит доступ к компьютеру во внутренней сети, начнет атаку на более серьезные машины и запустит сканирование на наличие серверов сетевых устройств. Процесс не быстрый и может растянуться на несколько месяцев. В процессе исследования нападающие поймут, к кому вторглись и какой выкуп за восстановление ценных данных с него можно запросить.

Последствия первого акта почувствовали и клиенты. В сезон массовой смены резины в сервис невозможно было записаться: чат-бот в Телеграме безмолвствовал, мастера было не дозваться, запчасти удаленно не купить и «решать вопросы» приходилось ногами.

Второй акт «марлезонского балета» организует команда из нескольких человек, делится Плисов. Получив доступ к сети, в ручном режиме они управляют процессом и одновременно запускают несколько действий: шифрование на нескольких серверах, средства проникновения, средства закрепления, средства удаления логов, чтобы было непонятно, откуда вошли.

— Красивая работа! Когда мы подключали людей для исследования инцидента, они отметили хорошо подчищенные следы. Это делается для того, чтобы не было возможности подготовиться к следующей атаке, — объясняет он.

Нападение на «ЕвроАвто» развивалось по такому же сценарию, объясняет Илья: злоумышленники закрепились на серверах и сетевых устройствах — для того, чтобы добраться до места, где сохранены резервные копии серверов, полностью вывести из строя информационные системы и нанести максимальный ущерб.

— Могут еще подключиться программы-шифровальщики, которые зашифруют данные, если жертва не позаботилась и не сохранила нормальные бэкапы, — делится он.

Выкуп ценой в три биткоина

Как отметил Плисов, за восстановление всей системы атакующие просят выкуп, обычно в криптовалюте и в размере от 1 до 3 биткоинов (По курсу на 29 января один биткоин стоит чуть больше 10 млн. рублей. — Прим. ред.). За последние годы сумма требований взломщиков заметно подросла: в 2022 году с Минстроя команда DumpForums.com потребовала выплатить 0,5 биткоина, пригрозив, что иначе данные сотрудников министерства станут достоянием Сети.

Как отмечает Плисов, в компании примерно представляли, чем может обернуться взлом системы, и за лето даже «немного подготовились»: заказали pentest — тест на проникновение, который имитирует действия хакеров и выявляет уязвимости в системе и инфраструктуре. По результатам тестирования готовится отчет с рекомендациями по устранению слабых мест и улучшению киберзащиты.

— Там длинный набор техник — защита бэкапов, выделение отдельных частей сети. Есть целый список того, что нужно сделать, там 10-15 вопросов к системным администраторам, и кто на них не ответит, они следующие. Вопрос стоит не как именно, а когда до них доберутся, — отмечает он.

Но этого оказалось недостаточно: результаты компания должна была получить в январе, за это время ее уже дважды атаковали.

Ущерб на миллионы

К фатальным результатам кибернападение на «ЕвроАвто» не привело, отмечает Илья Плисов, по пятибалльной шкале сотрудники отработали на «четверку». Злоумышленники смогли сбить настройки роутеров и маршрутизаторов, после перезагрузки устройства поднялись, но сеть не восстановилась.

— Для нас это [восстановление] обошлось потерей пары рабочих дней: 17 часов простоя в первый раз и 48 часов частичного во второй. Последние 25 лет мы посвятили автоматизации, вот большая часть этой автоматизации в момент атаки, конечно, отваливается. Но ничего не умерло и не сломалось, — делится Плисов.

По его оценкам, хакеры причинили компании ущерб в «миллионы» рублей.

На 100% от нападения хакеров, считает Плисов, никто не защищен. В направлении защиты нужно двигаться постоянно — увеличивать количество оборудования и усложнять его, и это «бесконечная история». По оценкам Ильи, компания уже инвестировала в защиту «несколько миллионов» рублей, у крупных компаний расходы могут переваливать и за десятки миллионов. Но главная проблема в том, что импортозамещение по части электроники сегодня полноценно не исполнено, говорит Плисов:

— Нам нужны хорошие железки, которые не доступны к покупке здесь, так сказать, простыми способами. Это означает, что даже если мы сейчас заплатили 5 миллионов за все «железо», мы можем увидеть его лишь через три-четыре месяца.

Серийные нападения

За последние 12 месяцев хакеры крушили российские компании с остервенелой регулярностью. Как правило, многие предпочитают платить и этот факт не публичить. И речь здесь не только про репутацию, но и про повторные риски кибернападения.

В начале мая прошлого года с масштабным техническим сбоем столкнулся СДЭК, из-за чего приостановились выдача и прием отправлений. Ответственность за атаку взяла на себя хакерская группировка Head Mare. Причиной паралича работы экспресс-курьера эксперты назвали вирус-шифровальщик. Сейчас в компании все работает.

— Все сервисы СДЭК функционируют в штатном режиме. Никакой внешней активности, способной повлиять на работу систем, не зафиксировано. Отклонений от установленной работы систем нет, — поделились с «Фонтанкой» в компании.

К августу эксперты насчитали 9 компаний, подвергшихся атаке этих взломщиков, и подробно рассказали, какими инструментами они пользовались.

В сентябре злоумышленники пытались атаковать инфраструктуру разработчика антивирусных программ и систем защиты информации Dr. Web. Как сообщали тогда в компании, атаку вовремя пресекли, а требование о выкупе проигнорировали.

В начале октября «умерли» сайты судов Петербурга, на восстановление их работы потребовалось около месяца. Как отметили в судебном департаменте при Верховном суде РФ, причиной прекращения работы сайтов стала хакерская атака на систему ГАС «Правосудие». Ответственность за кибератаку взяла на себя проукраинская хакерская группировка BO Team.

В ноябре на теневой форум выложили частичную базу данных заказов интернет-магазина запчастей Rossco, писал телеграм-канал «Утечки информации». В Сеть уплыли 10 из 33 миллионов строк с персональными данными, адресами доставки и стоимостью заказов.

В январе этого года кибератаке подверглась электронная торговая площадка «Росэлторг». Злоумышленники пытались уничтожить данные и всю ИТ-инфраструктуру проведения электронных закупок, из-за чего приостановили торги на поставку оборудования для госнужд Петербурга.