Эксперт оценил возможности хакеров спровоцировать в России перебои с продуктами питания

В Голландии из-за атаки вируса-шифровальщика в крупнейшей сети супермаркетов пропал сыр. Руководитель Лаборатории компьютерной криминалистики Group-IB в европейской штаб-квартире (Амстердам) Артем Артемов рассказал газете ВЗГЛЯД, как российские торговые сети должны быть защищены от действий хакеров.

Крупнейший поставщик продуктов питания в Нидерландах стал жертвой атаки вируса-шифровальщика. В результате в супермаркетах пропал сыр, сообщает издание Bleeping Computer. Поясняется, что действия хакеров заблокировали возможности компании получать заказы от клиентов и находить товар на складе.

«Этот инцидент произошел в ведущей сети супермаркетов в Нидерландах. Дело в том, что они завозят продукцию на один, максимум на два дня. В отличие от российских ретейлеров, там очень частые поставки продуктов, поэтому пару дней сыр все еще был в магазинах. Потом его стало меньше, так как у логистической компании, которая его развозила, еще были маршруты и заказы, а дальше на какой-то период продукт пропал. Компания просто не знала, куда везти продукт», – рассказывает Артемов.

Тем не менее, такие атаки вполне возможны и на российские сети, причем не только продуктовые, продолжает эксперт. Вирусы-шифровальщики особенно опасны для крупных продуктовых ретейлов, у которых единая логистическая система для нескольких торговых сетей. И если ее зашифровать и сделать так, чтобы невозможно было восстановить резервные копии, то они рискуют прекратить свою работу как минимум на несколько дней.

«А дальше все будет зависеть от того, есть ли у них какие-то запасные резервные копии, которые не подверглись шифровке, потому что с нуля восстановить всю эту структуру будет очень-очень сложно. Либо вопрос будет в том, станет ли компания платить деньги хакерам за расшифровку этой информации. Самостоятельно избавиться от проблемы практически невозможно», – уверен специалист.

Он объясняет, что после того, как хакеры проникают в систему компании (в 90 % случаев это происходит через электронную почту - письмо с «вредоносным документом», которое открывает один из сотрудников), начинается распространение по сети, которое может занять от пары дней до двух недель. В это время атакующие проводят «разведку», ищут важную информацию (серверы), которую можно зашифровать. Какие-то данные они копируют себе, чтобы в будущем попросить дополнительный выкуп за их конфиденциальность. Кроме того, злоумышленники ищут, где хранятся резервные копии, удаляют их или шифруют, после чего шифруют все остальное.

«Единственный вариант для компании спастись – это подготовиться к подобной атаке заранее. Для этого необходимо использовать решения для защиты сети от целевых кибератак – тщательно анализировать всю входящую почту и принудительно открывать (детонировать) подозрительные письма, анализировать сетевой трафик внутри периметра, фиксировать все происходящие события на конечных станциях (компьютерах) сотрудников. Второй эшелон – это настройка резервного копирования, продолжает эксперт. То есть резервные копии должны храниться в недоступном месте (на внешних носителях, либо на отдельных серверах, которые отделены отдельными паролями).

Соответственно, при столкновении с подобной атакой, компания потратит деньги, но практически сразу продолжит свою работу. Единственное, что ей будет необходимо обязательно – понять в ближайшее время, как именно к ним внутрь попали злоумышленники, чтобы такое не повторилось вновь (и построить первый эшелон защиты). Для этого необходимо привлекать экспертов, которые установят вектор атаки и проконсультируют, как исключить подобные инциденты в будущем.

«Мы часто очень реагируем на подобные инциденты, связанные с шифровальщиками и, обычно, на восстановление компании после такой атаки тратится около 5–7 дней. То есть это время, за которое они более-менее могут наладить процесс», – заключил собеседник.

В начале марта в компании «Лаборатория Касперского» рассказали, что с декабря прошлого года десять российских финансовых и транспортных компаний подверглись хакерским атакам, в которых используется ранее неизвестная программа-шифровальщик Quoter.