Хакерская группировка Head Mare взяла на себя ответственность за атаку на СДЭК
Хакерская атака на компанию СДЭК парализовала ее работу на некоторое количество дней. Сервисы компании остаются труднодоступными для юзеров с вечера воскресенья, 26 мая. Когда их получится починить — неведомо. Ответственность за атаку на себя взяла малоизвестная группировка Head Mare, но профильные специалисты считают, что за выводом из строя большой компании могут стоять другие люди. Кто мог взломать СДЭК и чем атака способна повредить обыденным россиянам, разбиралась «Лента.ру».
Хакеры окрестили СДЭК худшей транспортировкой в РФ
Хакерская группировка Head Mare, которая утверждает, что точно она стоит за атакой на компанию, обрисовала происшедшее на собственной страничке в X (раньше — Twitter) с толикой насмешки над департаментом информационной безопасности СДЭК. А именно, агент Head Mare проговорил, что «криворукие администраторы с малеханькой заработной платой делали бэкап раз в шесть месяцев» (обычно, в больших компаниях запасные копии делают от нескольких раз в час до нескольких раз за месяц — прим. «Ленты.ру»). Они также заявили, что системные админы СДЭК «оказались через чур слабы», а политики безопасности «не оправдали себя».
При всем этом утверждается, что запасные копии данных были на сто процентов уничтожены из-за действий вируса-шифровальщика. Никакого выкупа киберпреступники не востребовали.
Решения ваших бед не существует, даже не пытайтесь. Клиенты СДЭК, не сетуйте. Посылки отменяются на неопределенное время
агент Head Mare
Head Mare могут обманывать в деталях
Опрошенные «Лентой.ру» специалисты усомнились в справедливости заявления о том, что в СДЭК делали бэкапы всего раз в шесть месяцев. Профессионал по информационной безопасности (ИБ) компании «Шифр безопасности» Мария Фесенко отметила, что в компании со зрелыми ИБ-департаментами запасное копирование производится автоматом. К примеру, часто отдельные конфигурации базы данных резервируются каждые 15 минут, а полное копирование происходит раз за месяц.
«Такая компания, как СДЭК, стопроцентов делает бэкапы постоянно и хранит их на отдельных мощностях, потому шифровальщик не был должен до их добраться. Но перенастройка IT-инфраструктуры просит времени. К тому же нужно убедиться, что злоумышленники еще не находятся снутри организации и ими не затронуты другие системы», — произнесла Фесенко.
Юзеры СДЭК не могут получить и выслать посылки уже некоторое количество дней
СДЭК обещал решить делему, но не сумел
1-ые сведения о дилеммах у СДЭК появились в воскресенье, 26 мая. В итоге масштабного сбоя, коснувшегося практически всех систем, у юзеров закончил раскрываться ресурс компании, личные кабинеты стали недосягаемы. Также, сотрудники пт выдачи заказов (ПВЗ) не могли вручать и принимать посылки.
«Из-за технического сбоя в текущее время не работают дополнение и ресурс СДЭК, также невозможны прием и выдача отправлений на ПВЗ. В этот миг мы работаем над восстановлением работоспособности наших сервисов», — заявили представители СДЭК в Telegram-канале компании.
СДЭК не сумел оперативно вернуть функциональность собственных сервисов после сбоя
После чего в СДЭК растолковали приостановку выдачи заказов желанием избежать ошибок при их ручной обработке. В компании пообещали, что работа сервисов будет восстановлена со вторника, 28 мая, но этого не случилось. Позже в СДЭК признали, что в течение пн. «сильно продвинулись в восстановлении настоящей работы», но «оказались не готовы начать сервис».
Во вторник, 28 мая, в СДЭК опять пообещали убрать последствия сбоя на последующий денек, 29 мая. При всем этом официально компания не подтверждает версию об атаке вирусов-шифровальщиков. В разговоре с «Ведомостями» агент СДЭК проговорил, что компания рассматривает несколько версий происшедшего, но открыто озвучивать их не готова.
Источники Telegram-канала Shot в СДЭК наименее оптимистичны в прогнозах. По их данным, на восстановление работоспособности сервисов может уйти до трех-пяти дней. Ценностью они именуют возобновление работы ПВЗ.
Чего стоит бояться обычным россиянам
В случае если СДЭК точно взломали, базы данных компании были бы выгружены злодеями. Какие точно и есть ли в их индивидуальные данные юзеров, пока неясно. В «Коде безопасности» отмечают, что почти все находится в зависимости от того, какое точно вредное ПО применялось. Из слов Фесенко, есть вирусы, которые только шифруют данные, но не воруют их.
Современные вирусы-вымогатели, обычно, делают и то, и иное, потому данные юзеров СДЭК — e-mail, номер телефона и так дальше — могут быть применены взломщиками для жульнических схем и попыток взлома фаворитных цифровых сервисов
Мария Фесенкопециалист по информационной безопасности компании «Шифр безопасности»
Индивидуальные данные получателей и отправителей посылок могут быть под опасностью
«Если эти базы данных не необходимы злодеям для последующих атак, тех же фишинговых кампаний, либо не ликвидны для реализации — они их непременно выложат на всеобщее обозрение в наиблежайшее время, чтоб нанести еще больший вред компании», — добавил самый важный редактор портала Cyber Media Валерий Иванов.
В «Коде безопасности» рекомендовали клиентам СДЭК в любом случае профилактировать безопасности: поменять пароли во всех применяемых сервисах, сделав их сложными (13 и больше символов, с знаками, цифрами и спецсимволами). Также стоит установить двухфакторную аутентификацию там, где ее до сего времени по некий причине не было.
Head Mare и прежде штурмовали русские компании
В аккаунте Head Mare в X, зарегистрированном в декабре 2023 года, есть утверждения и о других атаках на русские организации. Поначалу киберпреступники выпустили несколько снимков экрана, как-будто имеющих отношение к внутреннему документообороту компании «Уралвагонзавод». Тогда заявлялось, что в общей трудности в распоряжении взломщиков оказались 32 тыщи файлов.
Потом в Head Mare объявили о взломе компании «Русснефть», приведя еще несколько снимков экрана. Суммарно речь шла о как-будто украденных 857 тыщах документов. При всем этом хакеры заявили, что служба безопасности организации смотрит за своими сотрудниками, оценивая их политические взоры.
«Добытые материалы переданы для отработки в надлежащие органы и дополнят доказательную базу будущих судебных процессов против РФ и предателей», — написал агент группировки, не уточнив, о каких предателях и о каких органах речь идет.
Могущественные хакеры из Рязани 25 лет воровали скрытые документы США.Почему в Америке убеждены, что за ними стоит ФСБ?Броня в дырах.Россию всегда штурмуют в кибепространстве. Как обеспечить информационную безопасность?В даркнете посиживают сотки тыщ жителей России.Что они отыскивают на теневых ресурсах? И истина ли, что там можно отыскать все, что угодно?
Следом под удар, как говорят хакеры, попали русский программист программного обеспечения «Звездная система», НПО «Высокоточные системы и технологии», ФГАУ «Управление имуществом особых проектов» Министерство обороны РФ и краснодарский интернет-провайдер «Телецентр».
В ранешних сообщениях агент Head Mare именует объединение интернациональной хактивистской группировкой. На это показывает также то, что у Head Mare нет аккаунтов на больших русских площадках, посвященных киберпреступности. При всем этом, по данным «Ленты.ру», отсутствие требования выкупа за расшифровку данных полностью соответствует последним трендам хактивизма, приверженцы которого поэтапно отходят от организации DDoS-атак против собственных пострадавших в сторону инфецирования их вредным ПО с целью нанесения наибольшего вреда и простоя инфраструктуры.
Что такое хактивизм
Хактивизм — международное течение и целая философия, подразумевающая продвижение разных базисных ценностей (к примеру, свободы слова либо прав человека) при помощи киберпреступной деятельности. Подвид хактивизма — похищение скрытой инфы, которая возможно проливает свет на нелегальные деяния властей тех либо других стран. В широком смысле хактивистами являются Эдвард Сноуден и Джулиан Ассанж.
«Потому что нет инфы о денежной мотивации, почти наверняка, она политическая. СДЭК стал целью с первых дней специальной военной операции, так как его кабинеты большая часть хактивистов могли узреть практически в окно. Сомневаюсь что это APT-группа. Полностью возможно, что Head Mare — это легко канал для статьи сведений об инциденте, а реальные исполнители не желают завлекать к для себя избыточное внимание», — сделал предположение Иванов.
Некие юзеры одобрили атаку на СДЭК
На русских даркнет-площадках представили, что атака могла стать следствием внутреннего конфликта в СДЭК с следующей публикацией методов доступа к внутренним системам в узкоспециализированных обществах. При всем этом более возможным инвентарем выполнения атаки именуется вредное ПО Babuk.
Но на снимках экрана, размещенных Head Mare видно, что у части файлов иконка заменена на логотип группировки LockBit, что показывает на использование точно их вредоноса
Сами хакеры из LockBit могут быть не причастны к взлому: во-1-х, они постоянно требуют выкуп, а во-2-х, последняя версия их ПО сама стала достоянием даркнет-общественности, из-за чего ее используют многие киберпреступники по всему миру.
Публикацию Head Mare об атаке на СДЭК лаконически ответил акк Инфовойск Украины, написав: «Превосходно». Известный Telegram-канал «Двач» направил внимание на извещения еще 1-го юзера с ником UniHorny. Судя по приведенным снимкам экрана его аккаунта, он является сотрудником СДЭК. В собственных комментах под начальным постом Head Mare он согласился с тем, что «лупить по штатской инфраструктуре — обычный военный ход».
Позже он закрыл доступ к собственной страничке, удалил последние комменты, и еще сменил имя юзера на непреличное. В СДЭК онлайн-активность собственного предполагаемого сотрудника пока официально не откоментировали.