Опубліковано

Хакерська атака на мережу VARUS: як ритейлер відновлював роботу всіх своїх сервісів

Українські компанії регулярно зазнають хакерських атак. Це — елемент війни Росії проти України, яким держава-агресор прагне розхитати економіку та дестабілізувати ситуацію в країні. У 2023 році кількість таких нападів значно зросла: зловмисники вивчають системи захисту, шукають вразливості й намагаються завдати збитків українському бізнесу. Так, наприкінці травня з масштабною кібератакою стикнулась мережа супермаркетів VARUS.

Як виявили та запобігли загрозі

26 травня 2023 року IT-фахівці VARUS виявили спробу зламати інформаційно-телекомунікаційні мережі компанії (далі ITC). З урахуванням політики ІТ-безпеки, в компанії є черговий системний адміністратор, який контролює показники систем захисту. Саме він і звернув увагу на повідомлення системи безпеки про спробу експлуатації експлойту на центральному домені компанії і заблокував цю активність. На жаль, не зважаючи на оперативне реагування, один із серверів компанії все ж було зашифровано. Через невелику вразливість хакери завантажили шкідливе програмне забезпечення, яке відкривало доступ до ITC компанії. Таким чином вони отримали доступ до системи та розклали у ній інфіковані файли. Всього було виявлено 5 інфікувань сервісів, на яких були розміщені заражені файли, які ініціювали побудову тунелів, щоб зловмисники могли отримати доступ до мережі компанії.

«За всіма ознаками, метою атаки було завдання шкоди, дестабілізація та зупинка процесів всередині компанії. Зловмисники використовували домініканські проксі сервери, що зазвичай характерно для російських хакерських угруповань. Так одна з адрес належала відомій російській компанії у сфері кіберзахисту. Завдяки швидкій реакції наших фахівців, злочинці не змогли реалізувати свій намір та завдати компанії суттєвих збитків», — коментує Сергій Плахтиря, IT- директор мережі VARUS.

Як відновлювали роботу

Атаку помітили вчасно та запобігли шифруванню даних, фахівці почали блокування ресурсів ІТС. Компанія була вимушена зупинити роботу системи лояльності, процеси взаємодії з постачальниками і роботу усього бек офісу. Якби шифрування поширилось системою, зупинка бізнесу на термін більш ніж 24 годи була б неминуча. Паралельно з блокуванням системи та сервісів IT-спеціалісти VARUS сканували та усували вразливості в ITC. Коли першу хвилю атаки було відбито, хакери не покинули спроб прорвати оборону за допомогою інших інструментів. Один із серверів компанії зашифрували штатними засобами Windows — BitLocker так, щоб отримати доступ до інформації стало неможливо.

Проте на другий день спеціалісти VARUS перехопили ініціативу та були готові до будь-яких спроб зловмисників здійснити новий напад. 28 травня 2023 року до розслідування інциденту та блокування його наслідків приєднались міжнародні фахівці з кібербезпеки. Вони виявили та закрили вразливості у системі. Також було встановлено новий антивірусний захист, EDR система та інше спеціалізоване ПЗ для захисту ІТС від втручання зловмисників.

«Ця атака зробила нас ще сильнішими. Ми знаємо, що ворог не спить та знайде слабину, якщо вона є. Тому українські компанії мають бути напоготові: регулярно здійснюйте перевірки систем захисту, здійснюйте оновлення програмного забезпечення та антивірусних програм. Будьте на крок попереду — і нехай жодні спроби ворога не досягають мети», — резюмує Сергій Плахтиря, IT- директор мережі VARUS.

На початку атаки IT-спеціалісти вимкнули всі сервіси VARUS, аби хакери не отримали до них доступ. Станом на сьогодні більшість сервісів ритейлера вже працюють у звичному режимі. Решту відновлять найближчим часом.