Сегодня 02 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → шифровальщик

Курьерская служба СДЭК парализована уже третий день из-за атаки вируса-шифровальщика

Сервис доставки посылок СДЭК приостановил работу 26 мая из-за обширного технического сбоя. Ответственность за этот инцидент взяла на себя международная хакерская группировка Head Mare, заявившая об этом в своём аккаунте в соцсети X. Злоумышленники опубликовали скриншоты проникновения в систему СДЭК и «передали привет» российской ИБ-компании Bi.Zone, которая консультирует СДЭК в вопросах кибербезопасности.

 Источник изображения: TheDigitalArtist / Pixabay

Источник изображения: TheDigitalArtist / Pixabay

В сообщении злоумышленников сказано, что в ходе атаки на IT-системы СДЭК они задействовали вирус-шифровальщик. Вредоносное программное обеспечение такого типа шифрует данные, из-за чего жертва атаки теряет к ним доступ. Неназванный источник в СДЭК, а также собеседник в одной из крупных ИБ-компаний, подтвердили, что в ходе атаки на СДЭК использовался шифровальщик.

«Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», — прокомментировал данный вопрос официальный представитель СДЭК. При этом в компании не сообщили, когда сервис может возобновить работу. Представители Bi.Zone никак не комментируют данный вопрос.

Эксперты отмечают, что шифровальщик может попасть в атакуемую систему разными способами. Чаще всего вирусы такого типа загружают пользователи через электронную почту или другие сообщения. Реже такое происходит в результате взлома системы злоумышленниками. Такие вирусы также принято называть вымогателями, поскольку обычно после завершения работы шифровальщика жертве предлагается заплатить выкуп за восстановление доступа к данным. По подсчётам Российской ассоциации электронной коммерции (РАЭК), количество кибератак с использованием шифровальщиков выросло в 2023 году на 160 % по сравнению с показателем за предыдущий год. Средний размер выкупа за расшифровку данных в 2023 году составил 53 млн рублей.

Скорость восстановления работоспособности систем СДЭК зависит от того, как часто компания делала бэкапы (резервные копии данных), и какой шифровальщик использовали злоумышленники. Если речь идёт об уже известном вредоносном ПО, то для него уже может существовать программа-декриптор, которая позволит расшифровать данные. Злоумышленники из Head Mare опубликовали скриншоты уничтожения бэкапов, заявив, что СДЭК делала резервные копии раз в полгода. Однако верить на слово злоумышленникам не стоит, поскольку часто они преувеличивают нанесённый в ходе атак ущерб.

Вчера сообщалось, что СДЭК возобновит работу сегодня после обеда. Однако позже стало известно, что произойдёт это несколько позже — курьерская служба уведомила, что в течение понедельника «значительно продвинулась» в восстановлении, но пока не готова возобновить обслуживание. «ПВЗ СДЭК восстановят выдачу отправлений не позднее завтрашнего дня, 29 мая. Мы работаем над полным возобновлением обслуживания, но также заготовили и резервные схемы», — сообщил «Интерфаксу» директор по коммуникациям СДЭК Михаил Берггрен.

«Лаборатория Касперского» обнаружила вирус-вымогатель ShrinkLocker — он использует BitLocker

Функция Windows BitLocker снова стала оружием в руках киберпреступников. Специалисты из «Лаборатории Касперского» обнаружили новый вирус-вымогатель под названием ShrinkLocker, который задействует для шифрования данных на атакуемых устройствах BitLocker. Злоумышленники использовали этот вымогатель для атак на IT-инфраструктуру компаний и государственных учреждений в Мексике, Индонезии и Иордании.

 Источник изображения: securelist.com

Источник изображения: securelist.com

Злоумышленники используют вредоносный скрипт на VBScript, языке сценариев, который используется для автоматизации задач на устройствах с Windows. Скрипт проверяет версию используемой ОС и запускает BitLocker, причём сделать это он может на ПК с разными версиями программной платформы, начиная от Vista или Windows Server 2008. Если скрипт обнаруживает более старую версию ОС, то он попросту удаляется с устройства.

Затем вредонос уменьшает все разделы хранилища на 100 Мбайт и задействует высвобожденное пространство для создания нового загрузочного раздела. Из-за этого вымогатель и получил название ShrinkLocker. Далее происходит шифрование хранящихся на устройстве данных с помощью BitLocker и создание нового 64-символьного ключа шифрования, который вместе с другой информацией о ПК жертвы отправляется злоумышленникам. После завершения шифрования компьютер перезагружается и ОС грузится из вновь созданного раздела, а доступ к хранящейся информации для жертвы полностью блокируется. Название нового загрузочного раздела меняется на адрес электронной почты хакера, вероятно, чтобы жертвы могли договориться о выкупе и восстановлении работоспособности устройств.

В сообщении отмечается, что автор ShrinkLocker должен обладать обширными познаниями о работе внутренних функций и утилит Windows. Экспертам «Лаборатории Касперского» не удалось установить, откуда проводятся атаки с использованием нового вредоноса или куда пересылаются данные жертв. Скрипт ShrinkLocker удалось обнаружить всего на одном ПК, где не был установлен BitLocker. Эксперты считают, что характер атак указывает на то, что цель злоумышленников скорее в том, чтобы нарушить работоспособность и уничтожить данные, а не получить выкуп.

Для защиты от атак такого типа рекомендуется чаще делать резервные копии. Кроме того, следует ограничить права пользователей на редактирование, чтобы из их учётных записей было нельзя изменять настройки BitLocker или реестра. В дополнение к этому рекомендуется использовать продвинутые решения для ИБ-защиты, способные отслеживать подозрительную активность и защищать IT-инфраструктуру.


window-new
Soft
Hard
Тренды 🔥
Картинки в стиле Ghibli перегрузили серверы OpenAI — выпуск новых функций замедлен 6 ч.
У Ubisoft пока нет чёткого плана работы новой компании с Tencent — инвесторы и сотрудники нервничают 7 ч.
«Загрузки быстрее, чем в Doom (2016)»: эксперт Digital Foundry остался в восторге от Doom: The Dark Ages 8 ч.
Консоли задержат релиз постапокалиптического стелс-экшена Steel Seed от создателей Close to the Sun — объявлена новая дата выхода 10 ч.
ИИ-модель Llama запустили на ПК из прошлого тысячелетия на базе Windows 98 11 ч.
Telegram продал виртуальных первоапрельских кирпичей почти на 100 млн рублей 11 ч.
Nintendo подтвердила рекордную продолжительность презентации Switch 2 и устроит две демонстрации игр для консоли 11 ч.
ChatGPT остаётся самым популярным чат-ботом с ИИ, но у конкурентов аудитория тоже растёт 13 ч.
Google сделает сквозное шифрование в Gmail доступным для всех 13 ч.
Антиутопия на колёсах: новый геймплейный трейлер раскрыл дату выхода приключения Beholder: Conductor про кондуктора легендарного поезда 13 ч.