Хакеры атаковали IT-инфраструктуру ЛУКОЙЛа

IT-системы ЛУКОЙЛа (MOEX: LKOH) 26 марта подверглись кибератаке. Так, сотрудники московских офисов компании столкнулись с трудностями в работе персональных компьютеров, а на ряде АЗС была недоступна оплата банковскими картами. Эксперты считают, что речь может идти о вирусе-вымогателе, шифрующем данные жертвы: популярность и простота использования готовых программ только растет.

Выйти из полноэкранного режима

Развернуть на весь экран

Утром 26 марта Центр мониторинга и управления сетью связи общего пользования (подведомственный Роскомнадзору ЦМУ ССОП) сообщил о хакерской атаке на ЛУКОЙЛ. В уведомлении заявлялось, что «критическая инфраструктура компании не затронута». В ЛУКОЙЛе ситуацию не прокомментировали.

К середине дня стали появляться сообщения о том, что сотрудники компании «получили указание от начальства не включать компьютеры и не пользоваться рабочими сервисами», в частности об этом сообщили в РБК. Перестали работать электронные пропуска в московских офисах, а на АЗС ЛУКОЙЛа не принимали банковские карты для оплаты. Работа была парализована в офисах на Сретенском бульваре, Якиманке и Покровском бульваре, сообщала «Газета.ру».

Источники «Ъ» в отрасли кибербезопасности отметили, что скорее всего компания столкнулась с вирусом-вымогателем, используемым для шифрования инфраструктуры для требования выкупа. DDoS-атаки зафиксировано не было, поэтому вектором могли послужить фишинг, атака на поставщика или использование уязвимостей систем защиты ЛУКОЙЛа.

Источники «Ъ» предполагают, что атака могла быть частью целенаправленной кампании против энергетических предприятий.

Некоторые специалисты связывают инцидент с группами вроде BlackCat (ALPHV) или LockBit, которые активно атакуют корпоративный сектор. Пока нет подтверждений о типе использованного шифровальщика, но характер восстановления (до суток) указывает на частичное поражение инфраструктуры, отмечает руководитель компании «Интернет-розыск» Игорь Бедеров.

В апреле прошлого года масштабной кибератаке с использованием вируса-шифровальщика подвергся Агрокомплекс им. Н. И. Ткачева (см. «Ъ» от 10 апреля 2024 года). Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин отмечает, что в феврале этого года похожей атаке подверглось «пищевое предприятие в Сибири».

За 2024 год количество атак в России увеличилось на 44% по сравнению с 2023-м, говорят в «Газинформсервисе», в том числе ссылаясь на рост доступности вредоносного ПО. За 12 месяцев прошлого года в России было зафиксировано более 500 тыс. атак с использованием программ-вымогателей, говорит Игорь Бедеров.

ИБ-специалисты отмечают, что даже выплата выкупа не гарантирует восстановления данных. «Деньги идут на развитие новых атак, а компании, которые платят, часто снова становятся мишенями»,— предостерегает владелец продукта AxelNAC Николай Санагурский. По оценке «Интернет-розыска», только 10–15% жертв получают ключи дешифрования после оплаты.

Филипп Крупанин