Найти в Дзене
QUALITY-IT | Айти-инфраструктура для бизнеса
22 подписчика

История с аптеками: «Его сеть аптек атаковали хакеры. Но мы их переиграли, потому что ждали этого звонка 3 месяца»

2 мин
Владелец небольшой сети аптек «Фарма-Плюс» считал нас параноиками. «Зачем мне платить 25 000 в месяц за ваше «обслуживание», если у меня всё летает? — говорил он. — Мой парень из техподдержки приезжает за 5000, если что-то сломалось. Экономия!». Мы показывали ему графики попыток взлома, которые блокировал наш фаервол. Мы рассказывали про уязвимости в его системе. Он отмахивался: «Меня никто не взломает, я же не Сбербанк». И вот в 2:14 ночи сработала «красная» тревога. Наш мониторинг зафиксировал массированную DDoS-атаку на его сервер с одновременными попытками подбора паролей из 20 000 комбинаций в секунду. Это был не любопытный хакер-одиночка. Это была скоординированная атака профессионалов. В 2:16 наша система совершила первый ход: автоматически перенаправила весь трафик на резервный, «зеркальный» сервер, который мы тихо развернули месяц назад. Нападавшие продолжили лупить по пустой мишени. В 2:20 сработала ловушка: Мы подсунули им «сладкую» фальшивку — изолированную систему с фейк

Владелец небольшой сети аптек «Фарма-Плюс» считал нас параноиками. «Зачем мне платить 25 000 в месяц за ваше «обслуживание», если у меня всё летает? — говорил он. — Мой парень из техподдержки приезжает за 5000, если что-то сломалось. Экономия!».

Мы показывали ему графики попыток взлома, которые блокировал наш фаервол. Мы рассказывали про уязвимости в его системе. Он отмахивался: «Меня никто не взломает, я же не Сбербанк».

И вот в 2:14 ночи сработала «красная» тревога. Наш мониторинг зафиксировал массированную DDoS-атаку на его сервер с одновременными попытками подбора паролей из 20 000 комбинаций в секунду. Это был не любопытный хакер-одиночка. Это была скоординированная атака профессионалов.

В 2:16 наша система совершила первый ход: автоматически перенаправила весь трафик на резервный, «зеркальный» сервер, который мы тихо развернули месяц назад. Нападавшие продолжили лупить по пустой мишени.

В 2:20 сработала ловушка: Мы подсунули им «сладкую» фальшивку — изолированную систему с фейковой базой данных, где пароли якобы «угадывались». Хакеры, уверенные в успехе, вошли туда и начали скачивать «базу поставщиков и остатков товара». На самом деле они скачивали файл-маячок и набор своих собственных IP-адресов и цифровых отпечатков.

В 2:45 мы вышли на связь. Не с владельцем аптек. Мы написали прямо в чат, который использовали хакеры (мы его отследили): «Ребята, вы скачали не данные аптек. Вы скачали свои логины и историю переписки. Ваш заказчик из Новосибирска уже в курсе, что вы провалились. Уходите по-хорошему».

Атака прекратилась мгновенно.

В 8:00 утра мы приехали к владельцу «Фарма-Плюс». Он был бледен. «Что случилось? У меня что-то сломалось?» Мы открыли ноутбук и показали ему 30-минутную запись событий: графики атаки, автоматические действия системы, перехваченные IP-адреса и наш диалог с хакерами.

Он молчал 5 минут. Потом спросил: «Что… что было бы, если бы вас не было?».

Мы показали ему симуляцию:

  1. Хакеры взламывают сервер, шифруют базу данных с остатками товара на 15 миллионов рублей.
  2. Выставляют требование: 5 000 000 рублей в биткоинах за ключ расшифровки.
  3. Сеть аптек встает на неделю. Они теряют репутацию и клиентов. Либо платят выкуп.

Он расписался в нашем абонентском договоре на месте. На сумму в 3 раза больше первоначальной. «Эта ночь спасла мне бизнес, — сказал он. — Это лучшие деньги, которые я когда-либо тратил».

Кибератака — это не сценарий голливудского боевика. Это рутина. Она приходит не когда «что-то сломалось». Она приходит, когда «всё работает». И только параноики с системой мониторинга знают, что их бизнес только что избежал пули.

А тут у нас бесплатный айти-аудит