В течение июля взломщики нарушили работу сразу нескольких крупных компаний. А за вторник, 29 июля, как минимум три крупных компании сообщили о сбое, среди них аптеки и медклиника
Второй день последствия хакерской атаки устраняет «Аэрофлот». После сбоя информационных систем компания на 18:00 мск выполнила 172 рейса с вылетом из Москвы. Запланировано было 216, сообщил авиаперевозчик.
Соответственно, около 50 рейсов отменили. Очевидцем и пострадавшим частично оказался адвокат Павел Двуреченский. Однако из Москвы в Сочи он сегодня долетел.
— Я билеты купил накануне, чуть ли не за два дня до вылета. Потом, как я купил билеты, случается эта DDoS-атака на серверы «Аэрофлота», пропадает на некоторое время возможность выкупать билеты, у них ломается вся система. Я приехал в аэропорт, пообщался с сотрудниками «Аэрофлота», они мне сказали: если вы летите днем, то, скорее всего, у вашего рейса будет либо небольшая задержка, либо улетите [по расписанию]. Я в итоге оставил себе дневной рейс и на нем полетел. Но на табло были отмененные, отложенные рейсы, также была куча людей, которые бегали и не знали, что делать. Это то, что я сегодня наблюдал. Я только прилетел недавно. У меня все закончилось хорошо, но я был очевидцем, как у людей нервы сдавали, как они психовали, ругались. «Аэрофлот» старался чем-то помочь, но видно было, что это нештатная ситуация. Но они молодцы, стараются быстро урегулировать ситуацию. В целом об «Аэрофлоте» у меня хороший отзыв. Я в Сочи прилетел из Москвы, «Шереметьево», терминал B.
— Какие направления больше всего подверглись отменам, задержкам?
— Самые популярные направления — Питер, Сочи. То, что я видел на табло, — задержка, красными цифрами новое время либо «рейс отменен». Также скажу про аэропорт «Шереметьево»: народ там есть, но очередей нет, на стойке регистрации нет очередей, передо мной был один или два человека, на досмотре очередей нет, в зоне вылета — тоже, в кафе без проблем можно успеть все заказать, перекусить, нет столпотворения. То есть «Аэрофлот» смог справиться с этой атакой на хорошем уровне.
Хронология последних событий. 17 июля — атака на «Винлаб», магазины сети не работали пять дней. 28 июля атаковали «Аэрофлот», на восстановление нормальной работы перевозчика потребовалось около суток, но устранение всех последствий может занять еще больше времени. Через день — новая атака, на этот раз пострадали аптеки «Столички» и «Неофарм».
О том, что объединяет эти и другие атаки, которые произошли ранее в текущем году, рассуждает эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:
«До этих атак были еще атаки на нефтяные компании. А еще до этого были атаки на провайдеров — тоже успешные. Сейчас пошли атаки на медицину. На «Аэрофлот» была тоже атака. Это следствие того, что злоумышленники получили доступ к сети этих компаний довольно давно. И не факт, что в одно время, а в течение какого-то времени, после чего, скорее всего, все-таки доступ был перепродан какой-то группировке, которая была заинтересована именно в таком деструктивном действии, после чего злоумышленники просто начали уничтожать инфраструктуру атакуемого, что обычно несвойственно для коммерчески замотивированных группировок».
Обращает внимание то, что у всех последних кибератак был большой медийный эффект. Когда ты не можешь купить любимый напиток в специализированном магазине или, например, когда отменяют рейс, и ты вынужден ждать вылета в аэропорте, это заметно. Это обсуждают и обычные люди, и СМИ.
Технические подробности последних кибератак пока неизвестны. В ходе расследований, скорее всего, удастся установить, как и когда взломщики проникли в корпоративные сети компаний. Правда, не факт, что о результатах объявят публично.
Что касается, например, «Аэрофлота», то одна из группировок, которая взяла на себя ответственность, утверждает, что гендиректор авиаперевозчика не менял пароль с 2022 года, а в корпоративной сети используются устаревшие операционные системы Windows XP и 2003, для которых Microsoft уже давно не выпускает обновлений безопасности.
Комментирует эксперт по информационной безопасности Александр Кукульчук:
«В случае «Аэрофлота», естественно, генеральный директор и его учетная запись не могут компрометировать сеть. То, что самый вип-пользователь не менял пароль, не такая страшная беда, хотя небольшая кибергигиена должна быть. Администраторы, скорее всего, это администраторы информационной безопасности, имеют полный доступ. То, что там используют старое ПО — Windows XP, Windows 2003, как пишут, — они действительно больше подвержены атакам, но компрометация все-таки была серверных частей, бизнес-систем. Ссылаться на иностранное или отечественное ПО здесь, конечно, не имеет смысла, потому что компрометация была инфраструктуры».
В Госдуме уже заявили, что атаку на «Аэрофлот» могли организовать недружественные государства. Не исключено, что и другие атаки — тоже. Продолжает управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев:
— Нужно дождаться итогов расследования. Я уверен, что полное расследование будет по всем инцидентам. Смогут их объединить каким-то паттерном или нет, покажет время. Что касается такого количества атак, это нестандартно. Мягко говоря, ненормально, потому что мы сталкиваемся с целевыми атаками, но обычно они разовые, и между ними есть достаточно большой временной лаг. В данном случае мы увидели отказ в работе многих сервисов большого количества компаний. Это говорит скорее о том, что атаки, вероятно, координируются.
— Ждать ли новых масштабных кибератак в ближайшее время?
— Надо надеяться, что этого не произойдет, но вероятность есть. Более того, если мы посмотрим на опережающие индикаторы, все указывает на то, что атаки готовятся, и их, вероятно, будет немало.
После серии успешных кибератак эксперты заговорили о том, что российским компаниям и организациям, вероятно, придется увеличивать расходы на кибербезопасность и переходить на отечественные решения в этой области, потому что программам и оборудованию, разработанных в недружественных государствах, доверия нет.
Оценили 0 человек
0 кармы