Как преодолеть кризис за 3 дня и раскрутить телеграмм-канал
9 мая 2022 года российский видеохостинг Rutube подвергся крупнейшей в истории компании хакерской атаке, сервис оставался недоступен несколько суток. В сервисе заявили, что причиной сбоя стала масштабная атака хакеров, «самая сильная за всю историю существования видеохостинга». В результате атаки было поражено более 75% баз и инфраструктуры основной версии сайта и 90% резервных копий и кластеров для восстановления баз данных.
В компании заявляли, что данные пользователей платформы не попали под контроль злоумышленников, была полностью сохранена библиотека контента на сервисе, а его исходный код не был утрачен. Сервис сообщил, что обратился в правоохранительные органы по факту инцидента. После этого Rutube привлёк крупнейшие компании по кибербезопасности, которые занимались расследованием инцидента и устранением последствий атаки. Среди них были Positive Technologies, «Лаборатория Касперского» и др.
Финансовые убытки из-за простоя могут достигнуть 1 млрд руб., но куда существеннее будут репутационные потери, посчитали эксперты. Простой в работе будет формировать убытки в связи с рекламными контрактами и дополнительными расходами на восстановление.
По мнению директора экспертного центра безопасности Positive Technologies Алексея Новикова, главной целью злоумышленников стал вывод сервиса из строя, поэтому атакующие предприняли попытку шифрования серверов и удалили ряд критических данных: «Параллельно злоумышленники выкачали определенный объем внутренней информации сервиса».
В перые часы компания пыталась справиться с проблемой технического обслуживания, надеясь, что она быстро разрешится. Однако на протяжении нескольких дней вплоть до 27 июля сервисы оставались недоступны, включая приложение Garmin Connect, веб-сайт и каналы поддержки клиентов.
Первые сообщения в СМИ
«Видеохостинг подвергся мощной кибератаке. На данный момент зайти на платформу невозможно», — заявили в Rutube.
Специалисты уже локализовали инцидент и занимаются обеспечением безопасности. Срок восстановления доступа к сервису неизвестен, о нем Rutube сообщит позже.
"Технические специалисты Rutube подтвердили, что третьим лицам не удалось получить доступ к видеоархиву. Вся библиотека, включая пользовательский контент, по-прежнему сохранена на сервисе. Сейчас ведутся работы по восстановлению инфраструктуры видеоотдачи", — сообщили в пресс-службе хостинга.
11 мая, спустя три дня после кибератаки, Rutube уже рапортовал пользователям, что "жив"
11 мая видеохостинг вновь заработал для пользователей. В компании заявили, что доступ к сервисам площадки будет открываться постепенно. В тот же день хакеры группировки Anonymous взяли на себя ответственность за взлом Rutube.
Сообщения в телеграм-канале
11 мая
20:57 - В целях обеспечения безопасности RUTUBE восстанавливает работу поэтапно.
Для просмотра пользователям уже доступно 99,5% библиотеки видео.
Фунционал для авторов цифрового контента будет появляться на видеохостинге последовательно.
1 этап: восстанавление студии автора контента и загрузки видео, мониторинг трансляций для пользователей.
Далее усиляем инфраструктуру для более быстрой загрузки.
2 этап: восстановление поиска и комментариев.
21:52 - RUTUBE обратился в правоохранительные органы для расследования инцидента: 9 мая видеохостинг подвергся мощной кибератаке, после чего доступ к платформе был утерян.
Сейчас доступ к RUTUBE частично восстановлен. Пользователям доступно эфирное вещание федеральных телеканалов.
12 мая
15:19 - Развенчиваем фейки о RUTUBE. Собрали информацию в сети, которая не соответствует действительности:
❌ Фейк: код RUTUBE уничтожен полностью и не подлежит восстановлению.
✅ Правда: код восстановлен. В целях безопасности работа видеохостинга возобновляется поэтапно.
❌ Фейк: руководство компании знало об уязвимостях в инфраструктуре сервиса с прошлого года.
✅ Правда: на RUTUBE было совершено множество атак, которые были успешно локализованы. Однако инцидент 9 мая был другого уровня сложности. Установить готовность инфраструктуры к такой целевой атаке можно, только столкнувшись с ней.
❌ Фейк: кибератака была инициирована компанией с целью диверсии.
✅ Правда: источник кибератаки — во внешней среде. Проводится расследование деталей инцидента.
Доверяйте проверенным источникам. Здесь мы оперативно публикуем актуальную информацию о возобновлении работы видеохостинга.
31 мая Rutube начал переходить от новостей, связанных с кибератакой, к "хорошим новостям"
Реакция СМИ
16 июня - Служба безопасности Rutube не знала о хакерах в системе на протяжении двух месяцев
Хакеры взломали сервис еще в марте и два месяца изучали работу сервиса.
Российский видеохостинг Rutube взломали еще в марте, сообщил «Ведомостям» Денис Баранов, гендиректор компании Positive Technologies, которую Rutube привлек для расследования и устранения последствий инцидента.
«Rutube взломали заблаговременно: первые следы компрометации относятся к началу весны. Это была именно целевая хакерская, нацеленная на нанесение максимального и долговременного урона сервису», — сообщил «Ведомостям» гендиректор Positive Technologies Денис Баранов. Он уточнил, что всё это время, вплоть до 9 мая, когда произошла активная фаза взлома, хакеры не проявляли себя, изучая внутреннее функционирование сервиса. В День Победы же они решили «выключить всем телевизоры». «К этому моменту они изучили инфраструктуру и четко выделили виртуальные машины, задействованные в обеспечении работы сервиса, и удаляли именно их», — рассказал Баранов.
«Точную дату назвать не можем, но следы вредоносной активности обнаружены сильно «до» событий 9 мая», — подтвердил информацию о заблаговременном сбое представитель Rutube.
Финал истории
Доступ к Rutube восстановили, хотя Anonymous пообещали, что он «лег» навсегда.
«Anonymous, а почему Rutube работает? Вы же сказали, что он удален. Опять *** [обмануть] не получилось», — потроллили хакерових главные российские оппоненты из объединения Killnet в своем Telegram-канале.
Уроки кризиса
1
Открытая модель коммуникаций
Сервис Rutube занимает проективную "информационно-открытую" позицию, предоставляя СМИ и общественности информацию по мере поступления данных. Открыты каналы связи: сайт, телеграм-канал, рассылки
2
"За проявленный героизм"
Фокус в коммуникации жесткость сценария кибератаки и на скорость ликвидации ее последствий. Такой подход позволяет Rutube выглядеть в глазах общественности победившим "Дракона"
3
Ведущая роль первого лица
Руководитель компании с первого дня доступен для прессы и формирует базовый ньюсмейкинг по ситуации. Заявления регулярны, федеральные информационные агентства дают высокий охват, медиа-индекс и ТОП Яндекса
4
Привлечение инфосторонников
Rutube привлекает специалистов по кибербезопасности для расследования кибератаки. Positive Technologies и "Лаборатория Касперского" становятся ньюсмейкерами и инфосторонниками
5
Семантика кризиса
Компания проходит кризис быстро, эффективно и контролируемо (в частности, количество сообщений в СМИ с ключевым словом "кибератака" почти в 10 раз больше, чем словом "сбой". Через 3 дня интерес медиа к теме снизился до "остаточных" показателей
6
Дезинформация и слухи
Rutube отслеживает искажения информации и "фейки" в режиме реального времени и дает опровержения в своем телеграм-канале. В частности, один из самых мощных "вбросов" - то, что сервис "лег" навсегда
