Что происходит
О проблеме кибер-атак сообщил редакции Autonews.ru член правления Российского союза автосервисов и заместитель гендиректора компании «Автокомплекс «Евроавто» Илья Плисов. Кроме того, IT-специалисты тоже подтвердили, что нападения хакеров на автопроизводителей, дилеров и продавцов запчастей происходят регулярно — ущерб от их действий огромен.
Со взломом серверов и баз данных Плисов столкнулся лично. По его словам, за последние месяцы в России произошли десятки или сотни таких инцидентов, но пострадавшие не спешат делиться этой информацией с общественностью: это может нанести репутационный ущерб.
К чему приводят атаки хакеров
В беседе с Autonews.ru руководитель отдела технической поддержки Angara Security Никита Новиков подтвердил, что атаки шифровальщиков охватывают компании самых разных отраслей, особенно коммерческие, которые представляют значительный финансовый интерес для злоумышленников. Однако «нацеленность именно на автомагазины и станции техобслуживания (СТО) не является приоритетной для киберпреступников».
«Основной риск лежит на плечах крупных предприятий, производственных и дилерских центров, где масштаб операций и потенциальные финансовые потери делают выплату выкупа более вероятным исходом при атаке», — конкретизировал специалист.
В мае этого года масштабной хакерской атаке подвергся оператор доставки документов и грузов СДЭК. Его сайт несколько дней не открывался, а сервис был вынужден приостановить обработку заказов.
Атаки на небольшие СТО и автомагазины происходят реже, но и они несут в себе большие риски и ведут к финансовым потерям. Действия хакеров приводят не только к утечке данных и полному их уничтожению под видом шифрования, но и к невозможности осуществления компаниями коммерческой деятельности.
«В отличие от более мелких игроков, крупные автопроизводители и поставщики часто становятся приоритетными целями таргетированных кибератак. Высокая стоимость и непрерывность производственных процессов, многомиллиардные обороты делают такие компании уязвимыми и потенциально готовыми к уступкам для скорейшего восстановления», — уточнил Новиков.
Плисов рассказывает, какими последствиями грозят компаниям такие атаки:
- теряются все данные клиентов;
- стираются счета;
- обслуживающие компании не могут узнать, какие машины к ним записаны;
- исчезают данные по объемам уже выполненных работ.
«Это очень больной вопрос, который касается любого бизнеса», — подытожил специалист.
Взломщики поняли, что деньги есть не у обычных граждан, а у компаний
Как происходят атаки
Процесс хакерского нападения, по словам участников рынка, уже хорошо изучен бизнесом.
«Несколько месяцев назад мы изучали опыт коллег. Как следствие, были чуть больше готовы, чем другие компании. Тем не мене пропустили начало атаки и среагировали примерно через полчаса», — пояснил Плисов, добавив, что это происходит достаточно часто, но практически всегда остается незамеченным для клиентов, поскольку скрывается под видом обслуживания сайта и технических работ.
«Изначально нам казалось, что это таргетированные атаки, при которых хакеры пытаются разыскать слабые места, но опыт показал, что злоумышленники идут по иному пути, — конкретизировал Плисов. — Это некое развитие хакерской истории». Взломщики поняли, что деньги есть не только у обычных граждан, гораздо больше их у компаний. Стандартное требование к ним — выкуп потерянных данных обратно.
Сама атака развивается следующим образом.
- Делаются веерные рассылки: набор скриптов рассылается как обычные «письма счастья» с заманчивыми предложениями или прайс-листами.
- Письма открываются линейными сотрудниками: секретарями, менеджерами и так далее.
- Троян размещается на компьютере жертвы, но ничего страшного визуально не происходит.
- В этот момент злоумышленники уже имеют доступ к внутренней сети, начинается работа: перебор паролей, розыск серверов в автоматическом режиме.
- По прошествии времени злоумышленники понимают, в какой именно компании они закрепились и какие требования могут к ней выставить.
- Выбирается момент атаки, выискивается все, что можно «положить».
- Запускается процесс шифрования или удаления данных на максимальном числе серверов.
- Компании предъявляются требования — заплатить, но после уплаты злоумышленники пропадают.
Новиков уточнил, что у автомагазинов и СТО, как правило, отсутствуют продвинутые системы защиты, такие как EDR: «У компаний зачастую нет ни бюджета, ни инфраструктуры для их внедрения, а безопасность не входит в список приоритетов: ограниченные финансовые ресурсы и сосредоточенность на операционной деятельности вынуждают пренебрегать инвестициями в активную киберзащиту».
В большинстве случаев эти компании предпочитают самостоятельно восстанавливать работу и избегают огласки инцидентов, чтобы не подорвать доверие клиентов и сохранить деловую репутацию, добавил собеседник.
За один-два биткоина компания может откупиться от хакеров
Масштабы бедствия
По оценке Плисова, уже сейчас можно говорить о десятках или сотнях пострадавших компаний, атаки происходят регулярно по всей стране. «Если компании не озаботились сохранением бэкапов в удаленные места, недоступные для внутренней сети, не разделили данные и не организовали эшелонированную защиту, то они теряют все данные клиентов и не могут их обслужить», — пояснил он. Это очень острый вопрос, который касается всего бизнеса. Самое плохое, что вернуть данные в любом случае невозможно: «Из нашего опыта: их никому не восстановили».
Проблема атак вымогателей-шифровальщиков имеет глобальные масштабы. В частности, в июне текущего года в США произошла масштабная атака на дилеров. Тогда кибер-преступники смогли «положить» систему управления дилерскими центрами (DMS) компании CDK Global. Платформой пользуются порядка 15 тыс. дилеров США. Из-за сбоя дилерам пришлось перейти на бумажный документооборот, а покупатели не могли приобрести машины и обслужить ранее купленные.
Хорошим примером, по словам Новикова, может послужить и инцидент с Toyota в 2022 году. Тогда компания приостановила работу 28 производственных линий на 14 заводах после кибератаки на ключевого поставщика Kojima Industries. А атака на Honda в 2020 году привела к остановке заводов в США, Турции, Индии и Южной Америке.
«Эти инциденты ярко демонстрируют, что крупные автопроизводители и их поставщики остаются в зоне наибольшего риска, поскольку последствия кибератак здесь часто приобретают широкий резонанс и выражаются в крупных финансовых потерях», — подытожил эксперт.
- Что будет с ценами на машины в ноябре: очередное подорожание неизбежно
- Дилеры против перекупщиков. Как мы продавали подержанную Skoda Octavia
- «Вчера покупать выгоднее, чем завтра». Дилеры заявили о крахе автопродаж
- Эксперты о повышении ставки ЦБ: насколько подорожают машины и автокредиты