Хакеры зашифровали офис

Хакеры взломали еще одну российскую компанию. Речь о петербургском интеграторе 1С — «Смарт офис». Он обслуживает компьютеры, локальные сети, предоставляет продукты 1С и удаленные рабочие места и популярен у бухгалтерских и консалтинговых фирм. С ней также сотрудничает «АвтоДорСтрой». Вирус преступников зашифровал данные «Смарт офис». Все его услуги недоступны. Руководство интегратора связывает атаку с хакерской группировкой Head Mare, она же взяла на себя ответственность за взлом CDEK. Впрочем, эксперты в совпадении сомневаются. Как такие крупные компании допустили взлом? И в чем могла быть уязвимость? Разбиралась Екатерина Вихарева.

Выйти из полноэкранного режима

Развернуть на весь экран

По словам клиентов «Смарт офиса», сбои начались еще 24-25 мая — даже раньше, чем у CDEK. Но официально о кибератаке интегратор рассказал только 27 мая. В сообщении на сайте он заверяет, что принимает все возможные меры. Это подтверждает один из клиентов, консалтинговая фирма Business Set.

Она арендует у «Смарт офис» сервер, но без 1С. Благодаря оперативности партнера, в прежнем формате компания заработает уже 3 июня, говорит гендиректор Business Set Антон Антипин: «Уже на прошлой неделе мои подчиненные не смогли проводить обучение на площадке "Смарт офис", наши сотрудницы на личных ноутбуках проводили занятия, уже используя наши возможности. В принципе, клиенты с пониманием отнеслись, поэтому серьезно на работе нашей компании это не отобразилось. Плюс ребята из "Смарт офиса" сейчас оперативно на новых серверах разворачивают наше программное обеспечение».

Руководство интегратора связывает атаку с группировкой Head Mare. Аргументов несколько: одинаковый вирус и дата нападения, но в этот раз хакеры оставили послание, чтобы с ними связались. В случае со CDEK, Head Mare рассказали о взломе в бывшем Twitter. Про «Смарт офис» в том же аккаунте информации нет. Обе компании заявляют, что киберпреступники получили доступ к их системам, вопреки всем принятым мерам безопасности. Но могли не учесть человеческий фактор, допускает эксперт в сфере информационной безопасности Игорь Бедеров:

«Почта — самый массовый способ доставки. Нужно периодически проводить тренировки, отправлять тестовые письма без вредоносного содержимого. По итогу собирается обобщенная справка о том, что из 100 сотрудников 80 кликнули на опасную ссылку и запустили этот алгоритм. С этими 80 дальше проводятся отдельные беседы. Относиться к атаке на IT-компанию айтишники и "офисный планктон" будет с большим пониманием, конечно, чем кладовщица тетя Маша, которой не пришел вовремя ее заказ на маркетплейсе».

Опрошенные “Ъ FM” эксперты отмечают, что гарантированной защиты не бывает. Есть, например, уязвимости нулевого дня, которые еще не исправили сами разработчики ПО. Они тоже могут стать лазейками для хакеров. Еще одна точка риска — заражение рабочего компьютера через необновленный софт. А заполучив доступ к профилю администратора, можно добраться и до большого объема данных, продолжает сооснователь сервиса «Битрикс-24» Сергей Рыжиков:

«Есть такой тип атаки — стилер. Пользователь инфицируется вирусом на каком-то сайте, и с его компьютера похищаются логины и пароли на вход в локальную сеть. Иногда просто на обычном сайте, который был взломан через уязвимость браузера, если он не обновлен. В больших компаниях любому из сотрудников могут подсадить вирус. Зачастую не так просто обновить тысячи работников. Это серьезная проблема. Компаниям непросто за этим следить».

Еще одна уязвимость — необновленные серверы, рассуждает белый хакер Марсель Дандамаев: «Через сервер сделать гораздо проще. Нет какой-то статистики уязвимостей в программном обеспечении. Это может быть одна уязвимость в год или 10. Пока компания увидит эти обновления, затем она должна установить, потом проверить, все ли хорошо. Если мы берем общую статистику, CDEK лидирует по утечкам. У них было, по-моему, за 2022-2023 год порядка трех-пяти инцидентов, а у других — по одному. Тут просто статистика и очевидный вывод».

Основатель Swordfish Security Юрий Сергеев в интервью «РИА Новостям» отметил еще одну проблему. По его словам, крупные организации часто считают себя неуязвимыми либо полагают, что максимальный риск — это скомпрометированные данные пользователей. Поэтому не уделяют безопасности должного внимания до первой атаки хакеров. Или до N-ой.

С нами все ясно — Telegram-канал "Ъ FM".