Причиной сбоя в работе СДЭК мог стать вирус-шифровальщик

Ответственность за остановку работы сервиса доставки посылок СДЭК 27 мая взяла на себя международная хакерская группа Head Mare. Компания приостановила прием и выдачу отправлений еще 26 мая. Затем хакеры рассказали о взломе СДЭК в своем аккаунте в соцсети X. Группа злоумышленников также опубликовала скриншоты проникновения в систему СДЭК и «передала привет» российской компании по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по кибербезопасности.

В сообщении взломщики отметили, что использовали вирус-шифровальщик. Это подтверждают и источник «Ведомостей» в СДЭК, и собеседник в одной из крупных компаний в сфере информационной безопасности. Такой вирус шифрует данные, из-за чего компания теряет к ним доступ.

«Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», – заявил «Ведомостям» представитель СДЭК. В компании не ответили на вопрос, когда сервис возобновит работу. По словам другого источника «Ведомостей» в СДЭК, прием и выдача посылок может возобновиться 28 мая.

Представитель Bi.Zone отказался от комментариев.

Шифровальщик попадает внутрь системы различными путями: чаще всего пользователи загружают его через электронную почту или другие сообщения, реже систему взламывают, объясняет «Ведомостям» руководитель департамента расследований T.Hunter и эксперт рынка НТИ SafeNet Игорь Бедеров. Шифровальщики также называют вирусами-вымогателями, потому что чаще всего злоумышленники сообщают о том, что конкретно нужно сделать для «расшифровки» данных: с кем связаться, как и сколько заплатить, рассказывает руководитель отдела аналитики «Серчинформ» Алексей Парфентьев.

Количество атак с использованием вирусов-шифровальщиков за 2023 г. выросло на 160% относительно 2022 г., говорится в исследовании Российской ассоциации электронной коммерции (РАЭК), посвященном экономике рунета. Средняя сумма первоначального выкупа за расшифровку данных составила в 2023 г. 53 млн руб., по данным РАЭК.

СДЭК – это крупная компания, бизнес которой сильно зависит от бесперебойной работы информационных систем, рассуждает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. По его словам, атаки на такие компании часто приводят к большим убыткам из-за простоев.

Выручка ООО «СДЭК-глобал» (основное юрлицо компании) по РСБУ в 2023 г. выросла на 36,4% до 34 млрд руб., чистая прибыль – на 43% до 1,49 млрд руб. В конце апреля 2024 г. «Ведомости» писали, что основатель, генеральный директор и мажоритарный владелец СДЭК Леонид Гольдорт нашел покупателя на свою долю в ООО «СДЭК-глобал». У Гольдорта было 55,44%. Покупателем доли Гольдорта, по информации газеты, должен стать фонд под управлением УК «Современные фонды недвижимости». Но до сих пор сделка не была заключена.

После атаки шифровальщика компании стоит изолировать зараженные системы, чтобы предотвратить дальнейшее распространение вируса, продолжает Пермяков. Затем стоит проанализировать угрозу – тип вируса, критичность зашифрованных данных и систем и проч., уведомить о ситуации всех заинтересованных лиц и приступить к устранению угрозы. Для этого нужно удалить вирус, восстановить системы и данные, переустановить ОС, а также зафиксировать все действия, которые были предприняты для устранения инцидента, и предупредить регулирующие органы, советует специалист.

Если это известное вредоносное ПО, то для него может быть уже написана программа-декриптор, которая позволит расшифровать зашифрованные злоумышленниками данные, объясняет коммерческий директор компании «Код безопасности» Федор Дбар. Если декриптора нет, то нивелировать риск от вирусов-шифровальщиков позволяют бэкапы, т. е. резервные копии данных. Но в зависимости от уровня исполнения такие вирусы могут удалить и резервные копии, заметил эксперт.

По словам Парфентьева, в подобных ситуациях, когда компания сталкивается с шифровальщиком, специалисты оценивают срок восстановления каждой системы по отдельности. Обычно это занимает от нескольких часов до нескольких дней – это максимум вреда, который может причинить вирус-шифровальщик, добавляет Парфентьев.

Head Mare опубликовала и скриншоты уничтожения бэкапов, заявив, что СДЭК сохраняла резервные копии раз в полгода. Верить на слово злоумышленникам не стоит, говорит один из собеседников «Ведомостей» в компании, специализирующейся на кибербезопасности. Хакеры нередко преувеличивают «степень своих заслуг», подтверждает представитель другой компании по кибербезопасности.

В крупных компаниях бэкапы обновляют ежедневно, а восстановление через резервную копию занимает несколько часов, утверждает Бедеров. Но если нет ни бэкапов, ни декриптора, то процесс может затянуться надолго. «Придется анализировать вирус, пытаться подобрать к нему ключ дешифровки. При этом не рекомендуется платить выкуп: вероятно, злоумышленники не дадут никаких ключей, а лишь посмеются, забрав еще и деньги», – советует Дбар.

По словам Парфентьева, шифровальщики бывают типовыми, массовыми – от них легко защищают антивирусы. Но есть индивидуальные разработки, которые используют точечные уязвимости для взлома конкретной компании и IT-инфраструктуры. Последнее – часть масштабной индустрии, состоящей не только из создателей вирусов, но и оценщиков данных, которые могут определить сумму, на которую согласится компания для выкупа данных, продолжает эксперт. В такие группы злоумышленников также включают экспертов по различным ОС, специалистов по средствам защиты информации, по финансовым операциям в криптовалютах и др.

Количество кибератак на российские компании значительно возросло за последние годы по политическим причинам, добавляет Пермяков. По его словам, из-за этого инвестиции компаний в информбезопасность продолжают возрастать.