10 громких кибератак на российский бизнес в 2024 году

В 2024 году киберпреступники атаковали российские предприятия в 2,5 раза чаще, чем в предыдущем. Банки, сотовые операторы, госструктуры, сайты мероприятий и даже антивирус — никто не защищён от кибератак на 100%. Расскажем о самых ярких и необычных случаях.

1. Таинственная утечка 500 000 000 строк с данными россиян

2. Взлом СДЭКа и логистический коллапс на три дня

3. Массированные кибератаки на экономические форумы

4. DDoS-атака на банковскую систему России

5. Кибератака на операторов связи

6. Атака на электронные цифровые подписи

7. Взлом антивируса: Dr.Web с «изюминкой»

8. Атака на российское правосудие

9. Масштабный взлом ВГТРК

10. Первая атака на компанию в секторе добычи ископаемых

Выводы: кибербезопасность нельзя игнорировать в любом секторе

23 февраля ТАСС взяло короткое интервью у замглавы Роскомнадзора Милоша Вагнера. Чиновник рассказал, что за 2024 год в сеть утекли более 510 миллионов строк кода с записями о персональных данных российских граждан. Причём 500 млн строк украли за один раз.

Замглавы не раскрыл, кто совершил это преступление и откуда утекли данные, но сообщил, что ведётся расследование. Дополнительной информации по этому случаю нет, поскольку никто об утечке не заявлял. На конец февраля 2025 года новых данных по делу нет.

26 мая сайт и приложение СДЭК перестали работать. Клиенты не могли получать, отправлять посылки или отслеживать их продвижение. Работа логистической компании встала.

На следующий день кибергруппировка Head Mare опубликовала пост, в котором взяла ответственность за кибератаку на себя. СДЭК атаку не подтвердила и заявила, что произошёл «обширный технический сбой». Сотрудники компании восстановили часть системы, но не смогли возобновить обслуживание клиентов.

Только 29 мая СДЭК начала выдавать посылки. Отследить груз и отправить посылку всё ещё было невозможно. Восстановить систему в полном объёме компания смогла только к первому июня.

Сообщение в телеграм-канале Head Mare о том, что они взломали СДЭК

📝 Безопасность компании начинается с грамотного директора по информационной безопасности — читайте в нашем материале, какую пользу бизнесу приносит CISO.

ПМЭФ-2024: в начале июня в Санкт-Петербурге прошёл международный экономический форум. Он длился четыре дня, в течение которых происходили мощные кибератаки. Порталы ПМЭФ заваливали мусорными запросами по 200 000 обращений в секунду. Киберпреступники пытались взломать информационные системы, чтобы сорвать мероприятие и украсть данные.

Представители ПМЭФ сообщили, что отразили все атаки, а форум не получил ущерб. Однако в сети есть информация, что киберпреступникам удалось вывести посторонние изображения на экраны форума.

Фотографии в публикации выглядят правдоподобно, но их ничего не подтверждает. Мы нашли официальные снимки мероприятия, на которых видно, что люди с фото на самом деле выступали в этом месте. Однако не нашли источники, которые подтвердили бы, что посторонние изображения на фото не сфальсифицированы.

ВЭФ-2024: в начале сентября во Владивостоке проходил другой экономический форум. Киберпреступники постарались проникнуть в его IT-инфраструктуру, чтобы просканировать систему, выгрузить из неё чувствительные данные и нарушить работу мероприятия.

Всего злоумышленники совершили шесть кибератак, в которых комбинировали разные методы взломов. Службе кибербезопасности форума удалось отбить все атаки, ход мероприятия не пострадал.

📝 Как с нуля выстроить систему кибербезопасности, чтобы избежать таких последствий, рассказали в отдельном материале.

24 июля 2024 года клиенты нескольких банков обнаружили проблемы с приложениями из-за массированной DDoS-атаки. Злоумышленники перегрузили сервера ложными запросами, поэтому настоящие клиенты не могли управлять своими финансами.

От атаки пострадали клиенты Альфа-банка, Газпромбанка, Росбанка, Россельхозбанка и ВТБ. Проблемы проявлялись по-разному: одни пользователи не могли зайти в приложение, у других не открывались только определённые разделы, у третьих не работали переводы.

Самое интересное в этой атаке, что пострадала не одна, а несколько организаций. Это значит, что киберпреступники атаковали либо сразу несколько сайтов, либо единый узел, который связывает все компании.

Россельхозбанк пишет на Хабр об атаке. <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fhabr.com%2Fru%2Fcompanies%2Frshb%2Fnews%2F831028%2F&postId=1860599" rel="nofollow noreferrer noopener" target="_blank">Источник</a>

Самый простой способ избежать таких проблем — пройти Кибериспытание
🧑‍💻 Получить помощь экспертов по кибербезопасности

21 августа 2024 года многие пользователи не могли написать сообщения через WhatsApp, Telegram, а также зайти на некоторые сайты, например, GitHub и Steam. В этот же день Главный радиочастотный центр (ГРЧЦ) выпустил новость о том, что операторы связи подверглись DDoS-атаке.

Корреспонденты РБК спросили о произошедшем у «Билайна» и «Ростелекома» и получили ответ, что их системы работают стабильно. Вероятно, злоумышленники атаковали других операторов связи. Несмотря на масштабы проблемы, к трём часам дня все сервисы восстановили свою работу.

Некоторые пользователи в сети предположили, что сбои связаны не с DDoS-атакой, а с обновлением определенного сетевого оборудования.

Сервис Downdetector зафиксировал многочисленные сбои. <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fdowndetector.su&postId=1860599" rel="nofollow noreferrer noopener" target="_blank">Источник</a>

В ночь с 10 на 11 сентября 2024 года злоумышленники атаковали компанию, которая выдаёт ключи для электронно-цифровых подписей. Киберпреступникам удалось взломать сайт организации и нарушить процесс выдачи сертификатов.

Во время атаки на сайте появились посторонние надписи, часть выданных сертификатов безопасности пришлось отозвать и приостановить выдачу новых, также пострадал CRL список.

CRL список — это файл с перечнем отозванных сертификатов, у которых ещё не истёк срок действия.

Кибератака не затронула ту часть инфраструктуры, которая отвечает за изготовление сертификатов, поэтому все выданные ранее ключи продолжили работать. Однако у пользователей могли возникать сложности с проверкой сертификатов из-за проблем с CRL списком.

16 сентября 2024 года преступная группировка DumpForums заявила, что взломала антивирус Dr.Web. Злоумышленники скопировали некоторые базы данных компании и похвастались в сети, что занимались этим целый месяц.

Киберпреступники опубликовали в интернете пару скриншотов с информацией о пользователях антивируса. Журнал «Хакер» связался с бывшим сотрудником компании Dr.Web и спросил, настоящие ли данные на изображениях. Специалист анонимно подтвердил правдивость информации.

В свою очередь, Dr.Web опроверг заявление злоумышленников о том, что они получили доступ к персональным данным пользователей. Данные со скриншотов назвали недостоверной информацией. На следующий день антивирус восстановил свою работу, а компания усилила меры безопасности на своих ресурсах.

Dr. Web опубликовал в новостях на своём сайте информацию об атаке на инфраструктуру. <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fnews.drweb.ru%2Fshow%2F%3Fi%3D14907&postId=1860599" rel="nofollow noreferrer noopener" target="_blank">Источник</a>

📝 Как застраховаться от киберрисков, если взламывают даже ИБ-компании, читайте в нашей статье про новый продукт для российского рынка — «Киберстрахование»

7 октября кибергруппировка BO Team атаковала государственную автоматизированную систему «Правосудие». Это несколько сайтов, которые упрощают общение с судами и позволяют быстрее увидеть судебные решения и движение по ним.

Злоумышленники нанесли значительный ущерб: сломали доступ и смогли удалить много данных о судопроизводстве, в том числе резервные копии. После кибератаки сайты не открывались, поэтому пользователи не могли воспользоваться возможностями системы. Людям приходилось работать по-старому: узнавать информацию по телефону и обмениваться бумажными документами.

Восстановление системы заняло много времени. Официальное уведомление выпустили только 25 ноября.

Уже упомянутая BO Team в один день атаковала не только судебную систему, но и медиахолдинг ВГТРК. У компании за один день стёрли архивы с записями телепередач и прервали онлайн-трансляции. В офисах пропал доступ в интернет, отказала телефония и многие внутренние сервисы. Стабильно работало только телевещание.

Постепенно все системы восстановили, а на видеохостинги вернули утраченные файлы. Это была самая масштабная кибератака на телекомпанию.

Все интернет-ресурсы медиахолдинга отображались с ошибками

📝 В чём отличие киберпреступников и белых хакеров, и почему вам нужна помощь вторых, читайте в нашей статье.

TetraSoft — это компания, которая разрабатывает программы для удалённого отслеживания добычи нефти и газа. Первый раз преступники проникли в систему в июле 2024 года, а пытаться разрушать начали в конце сентября — начале октября.

Эксперты выяснили, что это была атака на цепочку поставок углеводородов. Злоумышленники пытались нанести урон всей отрасли по добыче ископаемых.

Совместные усилия специалистов Positive Technologies и TetraSoft помогли защитить сервера и не допустить критического урона.

По уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, нацеленной именно на отечественный сектор добычи с прицелом на максимальный отраслевой урон. Ранее инцидентов такого масштаба мы не наблюдали
Денис Свечников, исполнительный директор TetraSoft для Positive Technologies

Взлом серверов или шпионаж могут нанести большой ущерб компании любого размера, если их вовремя не заметить. Если проблему обнаружить и сразу принять меры, можно уменьшить урон. Поэтому стоит уделять внимание кибербезопасности, даже если вашу компанию ни разу не взламывали и кажется, что ломать нечего.

🤖 Записывайтесь на Кибериспытание, чтобы найти уязвимости в вашей системе, защититься до нападения и избежать потерь.