Хакерская атака на сеть VARUS: как ритейлер возобновлял работу всех своих сервисов
Украинские компании регулярно подвергаются хакерским атакам. Это элемент войны России против Украины, которым государство-агрессор стремится расшатать экономику и дестабилизировать ситуацию в стране. В 2023 году количество таких нападений значительно возросло: злоумышленники изучают системы защиты, ищут уязвимости и пытаются нанести ущерб украинскому бизнесу. Так, в конце мая с масштабной кибератакой столкнулась сеть супермаркетов VARUS.
Как обнаружили и предотвратили угрозу
26 мая 2023 года IT-специалисты VARUS обнаружили попытку взломать информационно-телекоммуникационные сети компании (далее ИTC). С учетом политики ИТ-безопасности, у компании есть очередной системный администратор, контролирующий показатели систем защиты. Именно он обратил внимание на сообщение системы безопасности о попытке эксплуатации эксплойта на центральном домене компании и заблокировал эту активность. К сожалению, несмотря на оперативное реагирование, один из серверов компании все же был зашифрован. Из-за небольшой уязвимости хакеры загрузили вредоносное программное обеспечение, открывавшее доступ к ИTC компании. Таким образом, они получили доступ к системе и разложили в ней инфицированные файлы. Всего было обнаружено 5 инфицированих сервисов, на которых были размещены зараженные файлы, инициировавшие построение тоннелей, чтобы злоумышленники могли получить доступ к сети компании.
"По всем признакам, целью атаки было нанесение вреда, дестабилизация и остановка процессов внутри компании. Злоумышленники использовали доминиканские прокси-серверы, что обычно характерно для российских хакерских группировок. Так один из адресов принадлежал известной российской компании в сфере киберзащиты. Благодаря быстрой реакции наших специалистов, преступники не смогли реализовать свое намерение и нанести компании существенный ущерб", — комментирует Сергей Плахтыря, IT-директор сети VARUS.
Как восстанавливали работу
Атаку заметили вовремя и предотвратили шифрование данных, специалисты приступили к блокированию ресурсов ИТС. Компания была вынуждена остановить работу системы лояльности, процессы взаимодействия с поставщиками и работу всего бэк офиса. Если бы шифрование распространилось по системе, остановка бизнеса на срок более 24 часов была бы неизбежна. Параллельно с блокировкой системы и сервисов IT-специалисты VARUS сканировали и устраняли уязвимости в ITC. Когда первая волна атаки была отбита, хакеры не оставили попыток прорвать оборону с помощью других инструментов. Один из серверов компании зашифрован штатными средствами Windows — BitLocker так, чтобы получить доступ к информации стало невозможно.
Однако на второй день специалисты VARUS перехватили инициативу и были готовы к любым попыткам злоумышленников совершить новое нападение. 28 мая 2023 г. к расследованию инцидента и блокированию его последствий присоединились международные специалисты по кибербезопасности. Они обнаружили и закрыли уязвимости в системе. Также была установлена новая антивирусная защита, EDR система и другое специализированное ПО для защиты ИТС от вмешательства злоумышленников.
"Эта атака сделала нас еще сильнее. Мы знаем, что враг бодрствует и найдет слабину, если она есть. Поэтому украинские компании должны быть готовы: регулярно осуществляйте проверки систем защиты, обновляйте программное обеспечение и антивирусные программы. Будьте на шаг впереди — и пусть никакие попытки врага не достигают цели", — резюмирует Сергей Плахтыря, IT-директор сети VARUS.
В начале атаки IT-специалисты отключили все сервисы VARUS, чтобы хакеры не получили доступ к ним. По состоянию на сегодня большинство сервисов ритейлера уже работают в обычном режиме. Остальные восстановят в ближайшее время.