Известную ИТ-компанию взломали. Возможно, она сокращает команду и поэтому тоже

Паглядзіце беларускую версію

На просьбу dev.by к ИТ-сообществу рассказать о таких кейсах откликнулся экс-сотрудник компании «Софтек».

По его словам, осенью 2022 года хакеры создали тикет в Jira и добавили в него всех сотрудников — так те узнали о взломе и требовании выкупа. 

— Взломали через уязвимость в Confluence. По словам СЕО, делом занималось ФБР, — рассказал экс-сотрудник. — Несколько дней сервисы компании были парализованы. Но так как взлом произошёл в пятницу вечером, на [текущую] работу сильно не повлияло.

В уведомлении не было никаких названий — только почта, по которой со взломщиками надо связаться, и пара ссылок на примеры, что за данные они украли.

Заказчикам о взломе сообщила сама компания. Какие данные и чьи утекли, нам не раскрывали, но известно, что в их числе почти все крупные клиенты. Какой выкуп требовали и как в итоге решили вопрос, тоже не раскрывали. Но репутацию это подпортило.

Из-за этого случая ушли некоторые заказчики и появились трудности с привлечением новых, увеличились расходы на безопасность (новое ПО и лицензии, наём новых безопасников). Наравне с расходами на релокацию сотрудников из РБ этот инцидент, по словам руководства, стал одной из причин сокращения штата весной этого года.

Теперь на ресурсы компании можно попасть только через новый VPN, всем на девайсы (личные и корпоративные) установили ПО, которое в реальном времени отслеживает угрозы и подозрительную активность. Его функционал шире, чем у антивируса, он отслеживает всю активность, поэтому у сотрудников есть к нему вопросы. Но заверяют, что личную информацию ПО компании не передаёт.

К учётным записям привязали Google Authenticator, телефон (теперь обязательно). Более частыми стали смены паролей.

«Софтек» основана в 1997 году. Штаб-квартира компании находится в Хьюстоне, штат Техас. В 2008 году в Минске был открыт центр разработки — «Софтек Девелопмент». С июля 2009 года компания являлась резидентом ПВТ. Входила в топ-50 компаний по размеру штата.

После 24.02 компания запустила процесс релокации. Одним из вариантов для переезда стала Литва. По данным rekvizitai.vz.lt, за прошлый и этот год штат литовского офиса вырос с 30 до 130+ сотрудников.

В марте этого года «Софтек» объявила о сокращении 60 сотрудников по всему миру, в том числе в Литве. Это часть «стратегической перестройки компании», объяснило руководство сотрудникам. По данным dev.by, это порядка 15% штата.

В апреле стало известно о намерении компании уйти из Беларуси. Сейчас юрлицо в Беларуси находится в ликвидации.

Немного теории о взломах

Экс-сотрудник «Софтек» НЕ знает, была ли эта атака хакерской группировки Sneaking Leprechaun или какой-то другой — злоумышленники не подписывались.

В компании отказались комментировать кейс, сославшись на кофиденциальность.

Мы спросили специалиста по вредоносному ПО, как безопасники выделяют хакеров в отдельные группировки, что делают компании, узнав о взломе, и как защититься.

Откуда появилось название хакерское группировки? Они что, подписываются?

Часто секьюрити-организации сами придумывают имя какой-либо атаке. Взломщики не подписываются, но при исследовании взломов двух разных организаций всегда можно понять, один атакующий или разные. По используемым эксплоитам, утилитам,  malware-коду. По техникам и тактикам движения по сети, способу взаимодействия с жертвой,  по используемым IP при атаке и эксфильтрации данных организации. 

Судя по статье на habr.com, количество жертв и их географию bi.zone узнали, получив доступ к управляющему серверу злоумышленников. Там они и увидели список заражённых серверов.

Неужели взломанные компании платят выкуп? А где гарантии? 

Гарантий жертве никто не даёт. Всё — по договорённости между жертвой и атакующим.

Обычно злоумышленники требуют оплату в криптовалюте. Суммы разные — зависят от «оценочной стоимости» украденных данных и потенциального урона. Иногда жертвы действительно платят. Давно процветает бизнес с использованием шифровальщиков: шифруют данные, до которых могут дотянуться, и требуют выкуп за возможность расшифровать.

Обычно советуют не платить. Но жертва сама решает, насколько критичны украденные данные и какой ущерб причинит их слив. Многое зависит от того, кого касаются украденные данные, — самой организации или её клиентов.

Что ещё делают пострадавшие

Обычно пострадавшие обращаются в секьюрити-компанию, чьими услугами они пользуются, за Incident response. Либо самостоятельно ищут тех, кто сможет провести расследование. Крупные компании имеют своих специалистов по ИБ, но также могут обращаться в компании, предоставляющие услуги по защите сети. 

Но в любом случае компания не сообщает IR-команде, как она урегулирует утечку данных со своими заказчиками.

Как защититься

Исключить возможность взлома невозможно, но можно сделать так, чтобы стоимость взлома была выше полученной выгоды. Для этого требуется грамотная работа организации в области обеспечения безопасности сетевой инфраструктуры.

Обновление сервисов, подверженных атакам, грамотная защита серверов и рабочих станцией, разделение сетей и прав доступа у пользователей. По этой теме много публикаций.

Крупные организации могут позволить специализированный софт, штат специалистов по безопасности или сервисы вроде MDR - передачи анализа событий в сетевой инфраструктуре сторонней организации.

Обеспечение ИБ требует денег. Поэтому в наших реалиях взломать банк куда сложнее, чем какой-нибудь государственный ресурс. 

dev.by, как и другим честным медиа, сегодня очень сложно: редакция работает за пределами страны, а наши рекламные доходы сократились в несколько раз. Но мы справляемся — с вашей помощью. Это вы делитесь с нами инфоповодами, мнениями, опытом, временем и вниманием. А 210 читателей поддерживают нас донатами.
В 2023 году мы хотим собрать 1000 читателей-подписчиков.

Помочь нам можно через Patreon. 

Из Беларуси — через Donorbox.

И ещё криптой, тут кошельки.

Спасибо, что прочитали это сообщение.