Arizona Beverages, один из крупнейших в США поставщиков напитков, приходит в себя после масштабной ransomware-атаки, произошедшей в марте. По данным Techcrunch, вирус-вымогатель поразил компьютерную сеть компании около двух недель назад. В результате сотни ПК и серверов под управлением ОС Windows были выведены из строя, что фактически остановило сбытовую деятельность фирмы. Операции возобновились лишь спустя несколько дней, после того, как на помощь пришли специалисты по устранению последствий киберинцидентов, сообщил изданию человек, знакомый с ситуацией.
Вирус атаковал компьютеры Arizona Beverages 21 марта. На экранах более чем 200 серверов и ПК появилась одна и та же надпись: "Ваша сеть взломана и зашифрована". В послании злоумышленники указали название фирмы, что говорит о целенаправленности атаки. Также в сообщении содержался электронный адрес, на который нужно написать, чтобы получить информацию о выкупе.
Судя по скриншотам, которые видели обозреватели Techcrunch, сеть американского вендора поразил вирус iEncrypt, разновидность вымогательского ПО BitPaymer. Инструментов для восстановления файлов, зашифрованных с его помощью, пока нет.
Вслед за инцидентом в офисе Arizona были развешены объявления, в которых сотрудников просили передать компьютеры ИТ-персоналу. "Не включайте ваши ноутбуки, не копируйте файлы и не подключайтесь ни к какой сети. Ваши лэптопы могут быть скомпрометированы", - говорилось в тексте.
На следующий день после атаки выяснилось, что из-за некорректной настройки системы резервного копирования оперативно восстановить данные не получится. Поняв, что справиться своими силами не выйдет, руководству пришлось прибегнуть к сторонней помощи. Спустя пять дней Arizona заключила дорогостоящий контракт с Cisco, и та прислала свою группу экспертов.
Журналисты не смогли получить комментарии Cisco, но инсайдер рассказали, что ИТ-сеть пришлось выстраивать заново практически с нуля. Как утверждает собеседник Techcrunch, на многих внутренних серверах компании были установлены устаревшие версии ОС Windows, снятые с поддержки Microsoft. Большинство из них многие годы не получали обновлений для систем безопасности.
"Учитывая возраст систем, удивительно, что атака не произошла раньше", - заявил источник. По его словам, с момента вирусной атаки фирма потратила сотни тысяч долларов на новое оборудование, ПО и меры по восстановлению данных.
Как выяснило издание, за несколько недель до происшествия с Arizona связывались сотрудники ФБР и предупредили о предполагаемом заражении их компьютерной сети троянским вирусом Dridex. В ФБР отказались от комментариев, но собеседники Techcrunch сообщил со ссылкой на специалистов, устранявших последствия атаки шифровальщика, что ИТ-системы Arizona могли быть скомпрометированы на протяжении нескольких месяцев.
Троянец Dridex распространяется по электронной почте через прикрепленное к сообщению вредоносное вложение. Внедрившись в систему, вирус открывает стоящим за атакой злоумышленникам практически беспрепятственный доступ ко всей сети, позволяя похищать пароли, отслеживать сетевой трафик и устанавливать дополнительные вредоносные программы.
Осенью 2015 года в результате совместной операции ФБР и британских правоохранителей был ликвидирован распространяющий Dridex ботнет. Несмотря на это, Dridex остается одной из серьезных сетевых угроз и используется хакерами для внедрения вымогательского ПО. В случае с Arizona Beverages могла сработать именно такая схема, считают эксперты, устранявшие последствия ransomware-атаки.
Поскольку вирус-шифровальщик поразил почтовый сервер Microsoft Exchange, вся компания осталась без электронной почты. Хотя Unix-системы Arizona не пострадали, из-за отсутствия Windows-компьютеров фирма почти неделю не могла обрабатывать поступающие от клиентов заказы. После нескольких дней простоя сотрудники стали обрабатывать их вручную. Как утверждает собеседник Techcrunch, компания теряла миллионы долларов из-за несостоявшихся продаж.
К началу апреля в Arizona все еще устраняли последствия атаки. По оценке источника, компания восстановилась примерно на 60 процентов. Журналисты попытались получить комментарии от руководителей фирмы, но связаться с ними по электронной почте и телефону не удалось. Сообщения, отправленные топ-менеджерам Arizona Beverages через их профили в соцсети LinkedIn, также остались без ответа.
