Хакерская атака на сеть Varus: как ритейлер возобновлял работу всех своих сервисов

Украинские компании регулярно подвергаются хакерским атакам. Это элемент войны России против Украины, которым государство-агрессор стремится расшатать экономику и дестабилизировать ситуацию в стране. В 2023 году количество таких нападений значительно возросло: злоумышленники изучают системы защиты, ищут уязвимости и пытаются нанести ущерб украинскому бизнесу. Так, в конце мая под масштабную кибератаку попала сеть супермаркетов Varus.

Как обнаружили и предупредили угрозу

26 мая 2023 года IT-специалисты Varus обнаружили попытку взломать информационно-телекоммуникационные сети компании (далее ITC). С учетом политики ІТ-безопасности, у компании есть держурный системный администратор, контролирующий показатели систем защиты. Именно он обратил внимание на сообщение системы безопасности о попытке использовать эксплойт на центральном домене компании и заблокировал эту активность. К сожалению, несмотря на оперативное реагирование, один из серверов компании все же был зашифрован. Из-за небольшой уязвимости хакеры загрузили вредоносное программное обеспечение, открывавшее доступ к ITC компании. Таким образом, они получили доступ к системе и разместили в ней инфицированные файлы. Всего было обнаружено пять инфицирований сервисов, на которых были размещены зараженные файлы, инициировавшие построение тоннелей, чтобы злоумышленники могли получить доступ к сети компании.

“По всем признакам, целью атаки было нанесение вреда, дестабилизация и остановка процессов внутри компании. Злоумышленники использовали доминиканские прокси-серверы, что обычно характерно для русских хакерских группировок. Так, один из адресов принадлежал известной российской компании в сфере киберзащиты. Благодаря быстрой реакции наших специалистов, преступники не смогли реализовать свое намерение и нанести компании существенный ущерб”, — комментирует Сергей Плахтыря, IT-директор сети Varus.

Как восстанавливали работу

Атаку заметили вовремя и предотвратили шифрование данных: специалисты приступили к блокированию ресурсов ІТС. Компания была вынуждена остановить работу системы лояльности, процессы взаимодействия с поставщиками и работу всего бэк-офиса. Если бы шифрование распространилось по системе, остановка бизнеса на срок более 24 часов была бы неизбежна. Параллельно с блокировкой системы и сервисов IT-специалисты Varus сканировали и устраняли уязвимости в ITC. Когда первая волна атаки была отбита, хакеры не оставили попыток прорвать оборону с помощью других инструментов. Один из серверов компании зашифровали штатными средствами Windows – BitLocker – так, чтобы получить доступ к информации стало невозможно.

Однако на второй день специалисты Varus перехватили инициативу и были готовы к любым попыткам злоумышленников совершить новое нападение. 28 мая к расследованию инцидента и блокированию его последствий присоединились международные специалисты по кибербезопасности. Они обнаружили и закрыли уязвимости в системе. Также была установлена новая антивирусная защита, EDR-система и другое специализированное ПО для защиты ITC от вмешательства злоумышленников.

“Эта атака сделала нас еще сильнее. Мы знаем, что враг бодрствует и найдет слабину, если она есть. Поэтому украинские компании должны быть готовы: регулярно осуществляйте проверки систем защиты, обновляйте программное обеспечение и антивирусные программы. Будьте на шаг впереди – и пусть никакие попытки врага не достигают цели”, – резюмирует Сергей Плахтыря.

В начале атаки IT-специалисты отключили все сервисы Varus, чтобы хакеры не получили доступ к ним. Сейчас большинство сервисов ритейлера уже работают в обычном режиме. Остальные восстановят в ближайшее время.

Справка. Varus – национальная сеть супермаркетов, представленная на рынке продуктового ритейла компании «Омега». Первый магазин сети открылся в 2003 году в Днепре, в настоящее время общее количество – 103 супермаркета в разных городах Украины.

Сеть Varus работает в нескольких форматах: классические супермаркеты, магазины to go и сервис осознанных покупок varus.ua.