Пять изощрённых кибератак, которые нарушили работу бизнеса

DDoS-атака через принтеры, отель-заложник и цифровая эпидемия.

Материал подготовлен при поддержке Microsoft

Ущерб: 8% клиентов прекратили сотрудничество с провадейром Dyn (14,5 тысяч доменов)

К атаке на серверы крупного американского доменного провайдера Dyn преступники готовились долго. В течение нескольких месяцев они заражали устройства интернета вещей вирусом Mirai, который подбирал пароли, обращаясь к списку стандартных комбинаций, предустановленных производителями. В результате был сформирован гигантский ботнет — сеть заражённых устройств, которой хакеры удалённо управляли с помощью ботов.

21 октября 2016 года миллионы веб-камер, роутеров, принтеров и других «умных» устройств завалили провайдера обращениями. Серверы Dyn предсказуемо не выдержали одну из крупнейших DDoS-атак в истории: сайты не справлялись с лавиной ложных запросов.

В тот день пользователи более 60 крупных сервисов, среди которых Twitter, Amazon, PayPal, Netflix, Slack и Visa, не могли получить к ним доступ. В основном неполадки затронули жителей восточного побережья США.

Ущерб: ~ $10 млрд

Массовое заражение вирусом произошло 27 июня 2017 года. Он получил своё название от другого вируса-вымогателя — Petya, который так же блокировал доступ к системе и требовал выкуп за разблокировку. Жертвы NotPetya получали сообщение с требованием заплатить $300 в биткоинах. Платил пользователь или нет — не важно, он всё равно не мог получить доступ к заблокированным файлам.

Эпидемия началась с Украины. Вирус-шифровальщик проник на тысячи компьютеров при установке обновления бухгалтерского ПО M.E.Doc. Из-за вируса на несколько дней остановили работу энергетические корпорации, банки, частные компании, в аэропорту Борисполь перестали работать табло с расписанием, а в киевском метрополитене— банковские терминалы. Вскоре NotPetya распространился на российские компании, в том числе крупные корпорации.

Позже стали поступать сообщения о заражениях из США, Германии, Великобритании, Дании и других стран. Ущерб от кибератаки NotPetya оценивается примерно в $10 млрд, вирус уничтожил данные более чем на десяти тысячах компьютеров.

Среди прочих от атаки пострадала медицинская компания «Инвитро». Ей пришлось приостановить сбор биоматериала и выдачу результатов анализов. После атаки отдел информационной безопасности «Инвитро» в первую очередь изолировал системы, которые ещё не пострадали. Благодаря этому удалось избежать повреждения персональных данных клиентов. Далее началась работа по восстановлению всей ИТ-инфраструктуры и прикладных информационных систем.

Ущерб: обвал курса акции на 25,6% за месяц

В июле 2017 года одно из крупнейших бюро кредитных историй США Equifax обнаружило, что киберпреступники получили доступ к номерам социального страхования, адресам и номерам водительских прав 147,9 млн клиентов. Кроме того, в распоряжении хакеров оказались номера кредитных карт примерно 209 тысяч человек.

Официальные представители Equifax сообщили, что хакеры смогли проникнуть на серверы компании ещё в мае 2017 года, но их присутствие заметили только 29 июля. В компании не стали раскрывать подробностей атаки. Известно лишь, что преступники скомпрометировали одно из веб-приложений на официальном сайте.

7 сентября, после огласки инцидента, акции Equifax упали почти на 19% на вторичном рынке. А ещё в июле, через три дня после обнаружения утечки, три топ-менеджера бюро продали свои акции.

В мае 2019 года международное рейтинговое агентство Moody’s понизило Equifax в своём рейтинге и сменило прогноз относительно компании на негативный из-за проблем с кибербезопасностью. Решение агентства связано с тем самым инцидентом 2017 года.

Ущерб: €1,5 тысячи + расходы на восстановление и модернизацию системы

В ноябре 2017 года преступники запустили вирус-шифровальщик в систему, управляющую электронными ключами-картами от номеров четырёхзвёздочного отеля Romantik Seehotel Jegerwirt в Австрии. Сотни гостей не могли попасть в свои комнаты или их покинуть. Более того, хакеры получили контроль над всей системой, отключив все гостиничные компьютеры, возможность бронирования и кассы.

Отелю пришлось заплатить преступникам €1,5 тысячи в биткоинах. «У нас не было другого выбора», — объяснил решение отдать выкуп управляющий директор Кристоф Брандстеттер. На момент атаки в гостинице было забронировано 180 мест. Когда деньги поступили вымогателям, систему полностью восстановили, ключи-карты заработали, а персонал снова получил доступ к кассам.

Позже ИТ-отдел обнаружил, что хакеры оставили «черный ход» в надежде провести подобную атаку повторно, и улучшил систему безопасности. Её восстановление и модернизация обошлись отелю ещё в несколько тысяч евро.

Ущерб: неизвестно

В ноябре 2018 года Центральный банк посоветовал удалять все входящие письма от «Юнистрима» и обновить антивирусные базы. С официального адреса платёжной системы произошла рассылка вредоносных писем.

Специалисты «Лаборатории Касперского» позже подтвердили, что рассылаемые с адреса «Юнистрима» фишинговые письма содержали SCR-файл, который после загрузки скачивал на компьютер вредоносное ПО. По данным «Коммерсантъ», опасные письма с адреса банка приходили дважды — 19 и 21 ноября. Ответственность за атаки, предположительно, лежит на группировке Cobalt. По мнению экспертов, новый взлом стал следствием некачественного расследования первого инцидента.

Несколько банков-партнёров «Юнистрима», среди которых «Банк Азии» из Киргизии, «Имон Интернешнл» из Таджикистана и «Ипотека банк» из Узбекистана, временно приостановили сотрудничество после сообщений об атаках. Российский банк «Восточный» расторг договор о сотрудничестве. Некоторые кредитные организации заблокировали все входящие письма от банка.

Сначала в «Юнистриме» всё отрицали, но после предупреждений о новой рассылке глава компании Кирилл Пальчун заявил, что проблема вредоносной рассылки уже решена.