22 июля 2025 г.
Масштабные успехи хакеров случаются редко, но каждая из таких ситуаций привлекает внимание корпоративных заказчиков из разных вертикальных рынков, которые делают для себя практически выводы. Ситуация с холдингом Novabev Group исключением не стала.
Развитие событий
На третий день простоя сети алкомаркетов «ВинЛаб», атакованной 14 июня, убыток прогнозировали на миллиард, если последствия атаки не будут устранены к 17 числу, сообщал Forbes. Однако сеть из 2100+ алкомаркетов продолжила простой и после этой даты, только 21 июня начали поступать данные о начале продаж в розничных в сетевых магазинах начиная с Хабаровска, но пока только частично.
Убытки от простоя розничной сети — только один из механизмов возникновения убытков у холдинга Novabev Group, которому принадлежат алкомаркеты «ВинЛаб». Напомним, что компания присутствует на бирже, и ситуация отразилась на цене акций. Кроме того, холдингу принадлежит ряд известных брендов — в частности, Beluga, «Архангельская», «Беленькая» и др. — отгрузки премиальной водки Beluga были приостановлены, сообщали «Ведомости», о ситуации с остальной продукцией данных не было.
Можно предположить, что в итоге общая сумма убытков существенно — возможно, даже кратно — превысит упомянутый миллиард. Компания подтвердила, что ситуация вызвана атакой вируса-«шифровальщика», киберпреступники обратились с требованием выкупа, но холдинг не стал вступать в переговоры с хакерами.
Отказ от переговоров с киберпреступниками можно только приветствовать. Во-первых, оплата выкупа — который в данной ситуации, скорее всего, был бы существенным — привлекла бы повышенное внимание многочисленных хакерских группировок к такой форме преступного обогащения. Во-вторых, оплата выкупа совсем не гарантирует пострадавшей стороне возврат контроля за инфраструктурой: получив деньги, хакеры могут скрыться, не предоставив ключи для декодирования, да и обратный процесс не у всех «шифровальщиков» возможен в принципе — некоторые
Ransomware + APT
Инцидент с Novabev Group акцентирует важность двух направлений, которые напрямую между собой не связаны, но крайне важны для корпоративных заказчиков. Компаниям следует существенно пересмотреть схемы противостояния двум разным направлениям хакерской активности: и АРТ, и Ransomware.
«Шифровальщики» — они же вирусы-вымогатели или Ransomware — были и остаются одним из наиболее популярных инструментов в хакерской среде, применяемых для атак на корпоративных заказчиков. Причины очевидны: сочетание простоты применения с быстрой возможностью монетизации.
Электронная почта остается одним из основных каналов для проникновения «шифровальщиков» в инфраструктуру компании, впрочем, как и любого другого вредоносного программного обеспечения. Сегодня в компании с 1000 сотрудников, которые регулярно пользуются почтой, каждый день минимум один из них будет получать сообщение с «шифровальщиком», стилером или другим ВПО во вложении, сообщает Bi.Zone, отмечая, что только по итогам прошлого года компании стали в 3,5 раза чаще получать письма с вредоносным ПО.
«Компаниям важно уделять внимание многоуровневой защите почтового канала, чтобы отсекать и таргетированные рассылки, и массовые атаки», — сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности в BI.ZONE.
Использование «шифровальщика» может нанести компании убытки при атаке ВПО на отдельный сегмент ИТ-инфраструктуры, но в рассматриваемом случае вряд ли открытие отдельным сотрудником подозрительного вложения могло привести к остановке бизнеса по всей рублевой зоне.
Скорее всего, в данном случае была произведена целевая атака (иногда называемая таргетированной или АРТ), в рамках которой запуск «шифровальщика» стал заключительным этапом активностей атакующих. В такой ситуации взлом и проникновение от требований выкупа отделяет значительное время: от недель до месяцев. В течение этого периода хакеры — уже после реализации взлома — проникают и закрепляются в различные сегменты ИТ-рельефа атакуемой компании, прежде чем перейти к предпоследней стадии атаки. Финальной, напомним, является монетизация преступной деятельности. «Черные хакеры — это не какие-то там психи в худи из плохих фильмов, а хорошо организованные команды, работающие как отлаженный бизнес», — говорит Сергей Калмыков, генеральный директор «Кибердома».
«Ландшафт атак становится все более изощренным», — напоминает Владимир Зуев, технический руководитель RED Security SOC в компании RED Security, отмечая, что хакерам необходимо как можно дольше оставаться незамеченными, чтобы получить контроль над ключевыми системами или максимально большим объемом конфиденциальных данных.
Практические выводы
Противостоять целевым атакам крайне сложно. Кроме традиционного набора методов — включая багбаунти — приходится периодически привлекать киберкриминалистов, которые анализируют следы, неизбежно оставляемые хакерами внутри инфраструктуры взломанной компании. Киберкриминалисты специалисты редкие, поэтому дорогие, но периодический анализ следов киберпреступников — а за месяцы своего присутствия в ИТ-инфраструктуре они «натопчут» достаточно много! — может спасти компанию от масштабных неприятностей.
Подчеркнем, что сейчас нет и не может быть 100% защиты даже от недопустимых событий — а к таковым, очевидно, относится успешная атака «шифровальщика» на всю инфраструктуру. «Стало очевидно, что традиционная стратегия „укрепления существующих рубежей“ не обеспечивает достаточной киберустойчивости», — говорил Андрей Янкин, директор центра информационной безопасности в компании «Инфосистемы Джет», и был, безусловно, прав.
Компании должны быть готовы к действиям в ситуациях, когда несмотря на все усилия «безопасников» в отдельном противостоянии успех сопутствовал хакерам. Это касается как сохранности данных компании, так и возможности восстановить ИТ-инфраструктуру — хотя бы в виде MVP, достаточном для продолжения операционной деятельности — причем сделать это достаточно быстро, за часы, а не за дни. Здесь требуется как работа «айтишников», так и решение ряда оргвопросов — нужны киберучения, в ходе которых нужные действия отработают системные администраторы, обычные пользователи, «безопасники» (чтобы хакеры тут же не «положили» схемы уже известную им инфраструктуру) и др.
Заметим, что работы в этом направлении шли и раньше. Рост спроса на услуги тестирования планов восстановления работы бизнеса (DRP и BCP) более чем на 30% в прошлом году был зафиксирован компанией «Инфосистемы Джет», при этом наиболее популярным сценарием тестирования была именно успешная атака «шифровальщика». Кроме того, эксперты отметили переход от классического «инфраструктурного» пентеста к целевым: компании стали более зрело подходить к постановке целей, выбирая проверку реализации «катастрофических гипотез» и вариантов собственных действий после.
Вместо заключения
Заметим, что ситуация с атакой на Novabev Group является только частью общей картины. Первая половина прошлого лета тоже была ознаменована повышенной хакерской активностью, в результате чего некоторые крупные компании столкнулись с атаками «шифровальщиков», что привело к сбоям в работе их сайтов, приложений и платежных терминалов, временно приостановив деятельность организаций на несколько дней.
«Мы живем в реальности непрерывного противостояния киберпреступников и служб информационной безопасности, при этом злоумышленники постоянно развивают свои технологии, угрозы становятся всё более сложными, убытки от них все более значительными, — говорила Елена Бочерова, исполнительный директор компании „Киберпротект“. — Публичные кейсы успешных хакерских атак подталкивают организации к тому, чтобы уделять больше внимания информационной безопасности: проводить тренинги для сотрудников, расширять штат ИБ, инвестировать в новое оборудование и ПО, в то время как это должно быть частью стратегии любого бизнеса и выполняться системно и постоянно». Актуальность этих тезисов сегодня только возрастает.
«Ведущим трендом станет интеграция кибербезопасности и обеспечения непрерывности бизнеса в единую стратегию киберустойчивости, которая исходит из предположения о неизбежности киберинцидентов и фокусируется на способности организации эффективно им противостоять и быстро восстанавливаться после них», — отметил Андрей Янкин. О важности в данном случае комплексного подхода, учитывающего технические и финансовые аспекты, мы поговорим отдельно.
Источник: Александр Маляревский, внештатный обозреватель IT Channel News
