Пять историй краха. Как хакерские атаки приводили к закрытию бизнесов

Транспортная компания KNP Logistics Group (Великобритания)

Что случилось: в 2023 году злоумышленники, которые действовали под именем Akira, получили доступ ко внутренним системам KNP Logistics Group — одного из крупнейших транспортных операторов Великобритании со 158-летней историей и парком из 500 грузовиков. Хакерам удалось подобрать слабый пароль одного из сотрудников, после чего все данные компании — от логистики и расписания маршрутов до бухгалтерии и данных клиентов — были зашифрованы с помощью программы-вымогателя.

Тактика защиты: у KNP была оформлена киберстраховка, а сама компания соответствовала отраслевым стандартам безопасности. Однако она не смогла заплатить хакерам огромный выкуп в размере £5 млн (около 547,5 млн руб.) и похищенные данные оказались безвозвратно утеряны — очевидно, их копии в KNP не создавали.

Развязка: в минувшем июле стало известно,что бизнес KNP полностью остановлен, а сама компания уволила 700 сотрудников. Как отметил ее гендиректор Пол Эбботт, сотрудник, через которого хакеры получили доступ к инфраструктуре, так и не узнал о своей роли в инциденте.

Урок из инцидента — мнение бизнес-консультанта по информационной безопасности компании Positive Technologies Алексея Лукацкого:

«Инцидент с KNP Logistics Group показывает, что даже статус одного из крупнейших транспортных операторов не спасает от киберугроз, если базовые практики информационной безопасности оказываются провалены. Всего один слабый пароль сотрудника стал точкой входа для банды вымогателей, которые парализовали все бизнес-процессы — от логистики до бухгалтерии. Компания была застрахована и соответствовала стандартам, но это не помогло: без резервных копий данные были потеряны безвозвратно, а бизнес остановился.

Главный урок здесь в том, что соответствие формальным требованиям и наличие страховки не гарантируют устойчивости. Настоящая защита строится на культуре безопасности, в которой пароли, резервное копирование и регулярное тестирование восстановления — не формальность, а стратегический приоритет. И еще важно помнить: последствия инцидента ИБ выходят далеко за рамки ИТ — они могут привести к увольнению сотен людей и полной остановке бизнеса».

Линкольнский колледж (штат Иллинойс / США)

Что случилось: в декабре 2021 года хакеры-вымогатели атаковали Линкольнский колледж — учебное заведение со 156-летней историей, открывшее свои двери в год окончания Гражданской войны в США. В момент атаки колледж уже испытывал трудности из-за сокращения финансирования и числа абитуриентов на фоне пандемии Covid-19. Из-за хакеров стали неработоспособны все системы, необходимые для набора студентов, а также удержания и сбора средств. Приемные мероприятия были сорваны на 1,5 месяца.

Тактика защиты: спасти Линкольнский колледж попытались его студенты, которые запустили сбор средств на краудфандинговой платформе GoFundMe. Однако из необходимых $20 млн им удалось собрать лишь 19 пожертвований на общую сумму $1 252.

Развязка: 13 мая 2022 года Линкольнский колледж официально закрылся. Как заявили в администрации учебного заведения, атака злоумышленников создала неясную картину прогнозов поступления на осень 2022 года, что окончательно добило колледж вместе с другими негативными факторами.

Урок из инцидента — мнение технического руководителя департамента управления поверхностью атаки (Attack Surface Management) компании F6 Николая Степанова:

«Учебные центры (школы, колледжи, университеты) часто являются целью атак из-за очень низкой киберзащиты. Кибербезопасность крайне требовательна к бюджетам и количеству людей, которые ее обеспечивают. Часто (как на западе, так и в России) безопасность целого университета обеспечивает один, максимум два человека на почти добровольной основе, что приводит к серьезным инцидентам и утечке персональных данных. Пока такой подход остается нормой — серьезных улучшений в кибербезопасности в сфере образования ждать не стоит».

Сеть психотерапевтических центров Vastaamo (Финляндия)

Что случилось: в 2018 году хакерам за несколько месяцев удалось заполучить данные порядка 40 тыс пациентов финской сети психотерапевтических центров Vastaamo. В марте 2019 года они потребовали от руководства сети во главе с гендиректором Вилле Тапио выкуп в €450 тыс (около 43 млн руб.), а затем, осенью 2020 года, переключились на клиентов Vastaamo. Хакеры требовали у них выкуп в размере до 500 евро, угрожая в противном случае опубликовать записи сеансов у психотерапевтов.

Тактика защиты: сеть Vastaamo долго скрывала факт утечки и признала его лишь в октябре 2020 года — уже после того, как вскрылись обстоятельства инцидента. К тому моменту ей руководил новый гендиректор: Вилле Тапио, знавший о том, что в его сети не один месяц хозяйничали киберпреступники, был уволен.

Развязка: в феврале 2021 года сеть Vastaamo объявила себя банкротом — она не смогла оправиться от ущерба, нанесенного хакерами, и удара по репутации. Ко всему прочему, месяцем ранее с Vastaamo расторгла договор страховая компания Kela: как оказалось, некоторые психотерапевты сети не имели необходимой квалификации.

Урок из инцидента — мнение руководителя по развитию направления «Реагирование на инциденты» Solar 4RAYS ГК «Солар» Геннадия Сазонова:

«Заявить о факте кибератаки на свою компанию или же скрыть и попытаться разобраться «по-тихому» — очень непростой выбор, который лежит на плечах руководства компании. В случае предания такого факта огласке, ущерб, особенно репутационный, в будущем может быть значительно больше. При этом известны случаи, когда компании публично заявляли о том, что они подверглись кибератаке и при этом выходили «победителями» из такой непростой ситуации.

Также важно отметить, что компании медицинского сектора сегодня чаще подвергаются атакам, в том числе с целью кражи и публикации данных о пациентах, при этом уровень их защищенности оставляет желать лучшего. Из-за ужесточения ответственности за утечку данных, включая обязательное уведомление регулятора в установленный срок, такие факты несут дополнительные и весьма ощутимые риски помимо вымогательства».

Криптобиржа Youbit (Южная Корея)

Что случилось: в апреле 2017 года стало известно о взломе южнокорейской криптобиржи Youbit — злоумышленники похитили 4 тыс биткоинов ($4,9 млн). Местные спецслужбы связали эту атаку с северокорейскими хакерами. А 17 декабря того же года Youbit взломали вновь — атакующим удалось похитить 17% активов, хранившихся на криптобирже. Их точная сумма осталась неизвестной, однако, согласно заявлению Youbit, она была меньше, чем в апреле.

Тактика защиты: после второй кибератаки торговля на криптобирже была прекращена, а ее команда начала работать над минимизацией возможных потерь. Большая часть активов Youbit находилась на холодном кошельке и не пострадала. Руководство криптобиржи решило выплатить клиентам 75% их средств.

Развязка: 20 декабря 2017 года, спустя три дня после второй кибератаки, Youbit объявила о банкротстве и прекращении деятельности — соответствующее заявление было опубликовано на сайте криптобиржи. Корейское агентство по безопасности в интернете вместе с полицией начало расследование атаки, при этом тень подозрений вновь упала на хакеров из Северной Кореи.

Урок из инцидента — мнение руководителя BI.ZONE Threat Intelligence Олега Скулкина:

«Криптобиржи являются особенной целью злоумышленников. Зачастую, такие атаки реализуют наиболее опытные атакующие. Этот пример указывает на необходимость серьезных инвестиций в кибербезопасность тех компаний, чей бизнес основан на взаимодействии пользователей с цифровыми активами и платформами».

Криптобиржа Mt. Gox (Япония)

Что случилось: в начале 2014 года хакеры атаковали японскую электронную биржу Mt. Gox — одну из крупнейших площадок по торговле виртуальными валютами, включая биткоин. По данным СМИ, хакеры сумели похитить у Mt. Gox 850 тысяч биткоинов — почти 7% от их общего количества в обращении. Стоимость добычи хакеров в 2014 году оценивалась в $473 млн — в 2025 году она была бы эквивалентна $95,9 млрд.

Тактика защиты: в феврале 2014 года Mt. Gox останавливала операции по выводу биткоинов на сторонние счета в связи с обнаружением программной ошибки. В компании утверждали, что нашли «лазейку», которая позволяла пользователям менять детали операций по пересылке биткоинов со своего счета в компании на сторонний электронный кошелек, а затем утверждать, что она не состоялась, и требовать вернуть деньги.

Развязка: 26 февраля 2014 года Mt. Gox остановила все транзакции с цифровой валютой в связи с необычной активностью на ее сайте и полностью отключилась от сети. Как выяснилось позже, с ее электронных счетов пропало еще несколько миллионов долларов. Два дня спустя биржа подала заявление о банкротстве в окружной суд Токио.

Урок из инцидента — мнение начальника отдела по информационной безопасности компании «Код Безопасности» Алексея Коробченко:

«Проблема Mt. Gox заключалась в ошибках кода криптобиржи, которые обнаружили хакеры: при запросе на вывод средств система не проверяла их корректность. Следовательно, при внедрении любых сервисов в ИТ-инфраструктуру организациям необходимо всесторонне изучить принципы работы — самостоятельно или с привлечением сторонних экспертов. Цель — выявить уязвимости, чтобы устранить их или отказаться от использования сервиса. Слепая установка даже самых популярных приложений и систем потенциально гибельна».