Реклама в Telegram-каналах DzikPic и dev.by теперь дешевле. Узнать подробности 👨🏻‍💻
Support us

Известную ИТ-компанию взломали. Возможно, она сокращает команду и поэтому тоже

По словам источника, история повлияла на финансовое положение компании.

27 комментариев
Известную ИТ-компанию взломали. Возможно, она сокращает команду и поэтому тоже

По словам источника, история повлияла на финансовое положение компании.

Паглядзіце беларускую версію

Хакерская группировка Sneaking Leprechaun за последний год атаковала ради выкупа 30+ организаций из России и Беларуси, сообщила компания по управлению цифровыми рисками Bi.Zone. Основная часть пострадавших занимается разработкой и интеграцией ПО. 

На просьбу dev.by к ИТ-сообществу рассказать о таких кейсах откликнулся экс-сотрудник компании «Софтек».

По его словам, осенью 2022 года хакеры создали тикет в Jira и добавили в него всех сотрудников — так те узнали о взломе и требовании выкупа. 

— Взломали через уязвимость в Confluence. По словам СЕО, делом занималось ФБР, — рассказал экс-сотрудник. — Несколько дней сервисы компании были парализованы. Но так как взлом произошёл в пятницу вечером, на [текущую] работу сильно не повлияло.

В уведомлении не было никаких названий — только почта, по которой со взломщиками надо связаться, и пара ссылок на примеры, что за данные они украли.

Заказчикам о взломе сообщила сама компания. Какие данные и чьи утекли, нам не раскрывали, но известно, что в их числе почти все крупные клиенты. Какой выкуп требовали и как в итоге решили вопрос, тоже не раскрывали. Но репутацию это подпортило.

Из-за этого случая ушли некоторые заказчики и появились трудности с привлечением новых, увеличились расходы на безопасность (новое ПО и лицензии, наём новых безопасников). Наравне с расходами на релокацию сотрудников из РБ этот инцидент, по словам руководства, стал одной из причин сокращения штата весной этого года.

Теперь на ресурсы компании можно попасть только через новый VPN, всем на девайсы (личные и корпоративные) установили ПО, которое в реальном времени отслеживает угрозы и подозрительную активность. Его функционал шире, чем у антивируса, он отслеживает всю активность, поэтому у сотрудников есть к нему вопросы. Но заверяют, что личную информацию ПО компании не передаёт.

К учётным записям привязали Google Authenticator, телефон (теперь обязательно). Более частыми стали смены паролей.

«Софтек» основана в 1997 году. Штаб-квартира компании находится в Хьюстоне, штат Техас. В 2008 году в Минске был открыт центр разработки — «Софтек Девелопмент». С июля 2009 года компания являлась резидентом ПВТ. Входила в топ-50 компаний по размеру штата.

После 24.02 компания запустила процесс релокации. Одним из вариантов для переезда стала Литва. По данным rekvizitai.vz.lt, за прошлый и этот год штат литовского офиса вырос с 30 до 130+ сотрудников.

В марте этого года «Софтек» объявила о сокращении 60 сотрудников по всему миру, в том числе в Литве. Это часть «стратегической перестройки компании», объяснило руководство сотрудникам. По данным dev.by, это порядка 15% штата.

В апреле стало известно о намерении компании уйти из Беларуси. Сейчас юрлицо в Беларуси находится в ликвидации.

Немного теории о взломах

Экс-сотрудник «Софтек» НЕ знает, была ли эта атака хакерской группировки Sneaking Leprechaun или какой-то другой — злоумышленники не подписывались.

В компании отказались комментировать кейс, сославшись на кофиденциальность.

Мы спросили специалиста по вредоносному ПО, как безопасники выделяют хакеров в отдельные группировки, что делают компании, узнав о взломе, и как защититься.

Откуда появилось название хакерское группировки? Они что, подписываются?

Часто секьюрити-организации сами придумывают имя какой-либо атаке. Взломщики не подписываются, но при исследовании взломов двух разных организаций всегда можно понять, один атакующий или разные. По используемым эксплоитам, утилитам,  malware-коду. По техникам и тактикам движения по сети, способу взаимодействия с жертвой,  по используемым IP при атаке и эксфильтрации данных организации. 

Судя по статье на habr.com, количество жертв и их географию bi.zone узнали, получив доступ к управляющему серверу злоумышленников. Там они и увидели список заражённых серверов.

Неужели взломанные компании платят выкуп? А где гарантии? 

Гарантий жертве никто не даёт. Всё — по договорённости между жертвой и атакующим.

Обычно злоумышленники требуют оплату в криптовалюте. Суммы разные — зависят от «оценочной стоимости» украденных данных и потенциального урона. Иногда жертвы действительно платят. Давно процветает бизнес с использованием шифровальщиков: шифруют данные, до которых могут дотянуться, и требуют выкуп за возможность расшифровать.

Обычно советуют не платить. Но жертва сама решает, насколько критичны украденные данные и какой ущерб причинит их слив. Многое зависит от того, кого касаются украденные данные, — самой организации или её клиентов.

Что ещё делают пострадавшие

Обычно пострадавшие обращаются в секьюрити-компанию, чьими услугами они пользуются, за Incident response. Либо самостоятельно ищут тех, кто сможет провести расследование. Крупные компании имеют своих специалистов по ИБ, но также могут обращаться в компании, предоставляющие услуги по защите сети. 

Но в любом случае компания не сообщает IR-команде, как она урегулирует утечку данных со своими заказчиками.

Как защититься

Исключить возможность взлома невозможно, но можно сделать так, чтобы стоимость взлома была выше полученной выгоды. Для этого требуется грамотная работа организации в области обеспечения безопасности сетевой инфраструктуры.

Обновление сервисов, подверженных атакам, грамотная защита серверов и рабочих станцией, разделение сетей и прав доступа у пользователей. По этой теме много публикаций.

Крупные организации могут позволить специализированный софт, штат специалистов по безопасности или сервисы вроде MDR - передачи анализа событий в сетевой инфраструктуре сторонней организации.

Обеспечение ИБ требует денег. Поэтому в наших реалиях взломать банк куда сложнее, чем какой-нибудь государственный ресурс. 


dev.by, как и другим честным медиа, сегодня очень сложно: редакция работает за пределами страны, а наши рекламные доходы сократились в несколько раз. Но мы справляемся — с вашей помощью. Это вы делитесь с нами инфоповодами, мнениями, опытом, временем и вниманием. А 210 читателей поддерживают нас донатами.
В 2023 году мы хотим собрать 1000 читателей-подписчиков.

Помочь нам можно через Patreon

Из Беларуси — через Donorbox.

И ещё криптой, тут кошельки.

Спасибо, что прочитали это сообщение.

Ещё одна американская компания уходит из Беларуси
Ещё одна американская компания уходит из Беларуси
По теме
Ещё одна американская компания уходит из Беларуси
Новый рекламный формат в наших телеграм-каналах.

Купить 500 символов за $150

Читайте также
Как разработчик в Польше работал курьером (но потом всё получилось)
Как разработчик в Польше работал курьером (но потом всё получилось)
Как разработчик в Польше работал курьером (но потом всё получилось)
@dzikpic, канал для айтишников в Польше, рассказал историю Александра. Перед тем, как попасть в польскую компанию, он два месяца доставлял еду в Glovo. Каково это — ездить на велосипеде по 10-12 часов в день и почему маникюрщица зарабатывает больше разработчика.
15 комментариев
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
Айтишник купил дом в Польше. Как получить разрешение в 2023, когда отказов больше
@dzikpic, канал для ИТ-экспатов в Польше, рассказывает историю белорусского айтишника, который купил дом в Гданьске, с комментариями эксперта. Обсудить историю можно в чате.
12 комментариев
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
22 комментария
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

1

надо было выбирать бренды ОАЦ и биклауд с битриксом

Anonymous
Anonymous
4

Слишком жирно

table
table Table в Database
6

вот это верное предложение, с таким гуаном ни одна хакерская группировка связываться не будет, себе же дороже

Комментарий скрыт за нарушение правил комментирования.
[censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement]

1

надо таблетки ,что б тебе прописали более сильнодействующие .

1

Так джира / конфлуенс всегда были Овер-дырявыми и вообще нечего свои джира логин страницы в интернет выставлять было. Для доступа к корп ресурсам придумали впн не просто так.
7 мес назад логи Пейджа джиры был доступен: https://sur.ly/i/jira.softeq.com/

-10

Штаб квартира кучерявых бла-бла Техас: 11 продавцов и 7 разрабов – это типичная шарашка, не представляющая никакой ценности ни для кого кроме бедолаг, которые работают сверхурочно ради блага кучерявых господ.

0

с каждым днем все радостнее жить. вот [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement], и тогда заживем

Пользователь отредактировал комментарий 30 мая 2023, 21:06

0

странно, девбай зацензорил цитату из фильма про василия ивановича чапаева о том, когда наступит хорошая жизнь

0

так он же утонул

0

я слышал в еду сыплют и потом люди внезапно спать хотят
когда плавают или едут например куда-то то есть в. нужное время

0

мне как-то тоже сыпнули коллеги твои

-1

затрымалі дырэктара маркетынгавага агенцтва Gusarov Андрэя Гусарава

fallinmyhand
fallinmyhand Патриот в Мерси Софтваре
2

а чем он в ИТ известен?

-3

а ты чем известен кроме как тут сидеть [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] писать.

Bart Simpson
Bart Simpson Meme officer в localhost
-1

Для полубогов давно пора делать "Skin in the Game".
Стейкнул премию в вестинг, через год получишь, если не взломают.
Или в Bug Bounty critical vulnerability не найдут.
Возможно и бизнес KPI надо до уровня земли спускать.

Пользователь отредактировал комментарий 31 мая 2023, 14:57

-1

Издержки стремительного развития информационных технологий. Чем больше программного обеспечения используется, тем выше риск взлома. Интересна судьба безопасников компании. Уволили или взяли дополнительных?

vasaris
vasaris HR в lamabadas
0

ty budesh smejatsia, no v tom IT otdele im dazhe povysili zarplatu)))

Дмитрий Иванов
Дмитрий Иванов ФРилансер в Global Freelance
0

Повысили :)

0

А если я, например, не покажу свой ВНЖ, не разрешу сканировать? Он же не нужен для въезда в Беларусь — у меня есть паспорт.

— У пограничников есть права истребовать с лиц, пересекающих государственную границу, дополнительные документы, которые имеются для пересечения государственной границы. Это могут быть и права, и временный вид на жительство. И если же будет интерес к человеку, который пересекает границу, увидеть [его] ВНЖ, и мы знаем, что он у него есть, — значит, будут либо сотрудники РОВД вызваны, либо дополнительные мероприятия на выявление — личный досмотр и тому подобное. То есть смотрите сами. Вы же не на рынке, правильно? На государственной границе, где проводится ряд мероприятий в отношении лиц.

Документами Госпогранкомитета прописано, что пограничники могут истребовать дополнительные документы. А за отказ от действия законного представителя есть ответственность.

fallinmyhand
fallinmyhand Патриот в Мерси Софтваре
1

доставят до РОВД а там уже [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] будешь кричать и руками махать

1

А если я, например, не покажу свой ВНЖ, не разрешу сканировать?

Мне вообще тут кажется всё просто. [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] очередной указа в котором обязал всех граждан в добравольно принудительном порядке предоставить ВНЖ и прочие документы других стран. Видно очередь желающих не выстраилась вот они и начали таким методом делать. Теперь всё законно в стране не до законов.

fallinmyhand
fallinmyhand Патриот в Мерси Софтваре
1

а есть идеи для чего им? Неужели будут считать родственников того кто получил ВНЖ неблагонадежными и их увольнять?

1

Давить через родственников будут.

cheburashka3
cheburashka3 big boss в дикий аутсорс
-2

тяжелая ситуация, непонятно кто слил на девбай. Руководсвту терпения

-1

admitad следующий?

0

тоже джиру с торентов скачали?
а кейген чей? хотя наверное на сервере дату перевести нужно
тогда заодно и ссл работать перестанет