26 мая сайт компании СДЭК стал работать с перебоями. Первоначально специалисты компании предположили какой-то технический сбой. Однако восстановить работу сайта не получалось. Люди, которые в этот день приходили в пункты приема и выдачи посылок СДЭК, видели, что все сотрудники сидят на месте, но прием и выдача отправлений не происходит.

Вскоре представители компании заявили, что решение об остановке операций с посылками было принято, чтобы избежать ошибок при ручной обработке заказов. СДЭК заверила, что активно занимается решением ситуации и близка к устранению проблемы. «С завтрашнего дня работа наших пунктов выдачи заказов уже будет восстановлена, и мы продолжим нашу работу в штатном режиме», — сообщили в сервисе, извинившись перед клиентами за доставленные неудобства. Однако проблема оказалась более серьезной, чем показалось вначале.

27 мая международная хакерская группа Head Mare в своем аккаунте в соцсети X распространила информацию, что именно она причастна к блокировке работы сервиса СДЭК. Злоумышленники опубликовали скриншоты проникновения в систему СДЭК и «передали привет» российской компании по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по кибербезопасности.

К сообщению взломщики приложили скриншоты, предположительно демонстрирующие внутренние системы СДЭК. Хакеры написали, что якобы зашифровали данные компании, а резервные копии «админы на маленькой зп делали раз в полгода», и теперь бэкапы «пропали». Однако невозможно достоверно проверить, имеют ли отношения предложенные скриншоты к бэкапам СДЭК.

Вирус-шифровальщик попадает внутрь системы различными путями: обычно пользователи загружают его через электронную почту или другие сообщения, реже систему взламывают. Такие вирусы нацелены на уничтожение данных, в первую очередь шифруя резервные копии. Стоит отметить, что компания СДЭК до 2022 года использовала иностранный продукт для защиты своей почты, но после ухода вендора с российского рынка компании понадобилось найти новое решение. Выбор СДЭК пал на BI.ZONE CESP – сервис многоуровневой защиты корпоративной почты. Он блокирует спам, фишинговые сообщения и письма с вредоносными вложениями, прежде чем они достигнут почтового сервера.

В ночь на 28 мая в СДЭК объявили, что компания пока не готова возобновить обслуживание, потому что столкнулись «с обширным техническим сбоем», но не уточнили, в чем именно он заключается. «В течение понедельника мы значительно продвинулись в восстановлении полноценной работы», — отметили в СДЭК. В компании извинились перед клиентами и отметили, что все посылки находятся в безопасности, при необходимости срок их хранения в пунктах выдачи продлят. В СДЭК надеялись восстановить работу не позднее 29 мая. Но в течение последующих нескольких дней работа не возобновилась.

Вечером 31 мая в компании заявили, что с 1 июня клиенты вновь смогут отправлять посылки. А часть «застрявших» посылок уже находится в пути к получателям. В СДЭК уклонились от подтверждения информации о действиях хакер-группировки. А технические проблемы объяснили сбоем в работе вычислительных мощностей, отметив, что проводят внутреннее расследование и пока не могут рассказать подробности.

По данным центра мониторинга ФСБ, 27 мая больше всего жалоб на работу сервисов СДЭК – 31% – поступило из Москвы и Московской области, 15% – из Санкт-Петербурга и Ленинградской области, по 4% – из Нижегородской и Свердловской областей. По данным подведомственного Роскомнадзору Главного радиочастотного центра, сбои в работе ИТ-инфраструктуры СДЭК были зафиксированы в Москве, Туле, Набережных Челнах и Екатеринбурге 26–27 мая.

По политическим причинам количество кибератак на российские компании значительно возросло за последние годы и, скорее всего. Так, уже после полного восстановления работы СДЭК, о сбоях в системе работы магазинов сообщила торговая сеть «Верный». Проблемы в обработке банковских карт у этой сети начались 1 июня. Представители компании заявили, что речь идет о хакерской атаке. В итоге на кассах магазинов торговой сети покупки могли оплачиваться только наличными и большинство покупателей ушли без покупок. «Верный» работает в России более десяти лет, и по состоянию на декабрь прошлого года в нем работало около 11 тыс. человек. Выручка компании в 2023 году достигла почти 124 миллиардов рублей, чистая прибыль – 220 миллионов рублей. Некоторые эксперты по безопасности предположили, что атаки на сеть «Верный» и СДЭК могли быть делом рук одних и тех же злоумышленников. Однако в данном случае хакерская группа Head Mare никак не обозначила себя.

Ранее, 4 апреля, проукраинская преступная группа KibOrg заявила, что украла 1,5 терабайта данных Российского союза автостраховщиков. Эти данные якобы включают в себя информацию о российских водителях и их автомобилях за последние 15 лет. Независимых проверок этих утверждений пока не проводилось. Ранее KibOrg взяла на себя ответственность за взлом и утечку данных российской туристической и авиакомпании «Сирена Трэвел», а также российского Альфа-банка.

В условиях, когда сами пострадавшие компании обычно предпочитают говорить о «техническом сбое», получить полную информацию о причастности той или иной хакерской группы не всегда представляется возможным. Например, в СДЭК рассказали, что столкнулись с масштабным техническим сбоем, последствия которого практически устранены. «Скриншоты, которые сейчас используются в некоторых публикациях, не могут служить гарантом и подтверждением факта хакерской атаки или внутреннего саботажа. Как и предположения экспертов, не владеющих достоверной и проверенной информацией, не могут являться основанием для однозначных выводов в СМИ. Всю подтвержденную информацию и изменения в процессах мы оперативно публикуем в официальных каналах СДЭК в социальных сетях и предоставляем СМИ в формате комментариев пресс-службы. Данные из других источников могут содержать неточности, некорректные данные или устаревшие статусы по ситуации. Равно как в них могут содержаться сведения основанные на недостоверной информации», — заявили в СДЭК.

Думается, такой подход является ошибочным. Сокрытие от общественности факта хакерской атаки способствует преуменьшению угроз таких атак и, как следствие, недостаточную работу служб информационной безопасности российских компаний. Тем более, что хакерские группы нередко приписывают себе сбои, к которым на самом деле не имеют отношения. Тем не менее, после атаки СДЭК большинство крупных ритейлеров начали дополнительные проверки безопасности для выявления уязвимостей в их технологической инфраструктуре, связанных с доставками и платежами.