Мир за неделю: когда пахнет деньгами

Французский модный бренд столкнулся с утечкой данных, транснациональная корпорация из США собирает деньги для выкупа, а в протоколах киберзащиты австралийских госсервисов нашли недостатки.

 

Будет ли выплачен выкуп?

Американская транснациональная корпорация CDK Global, поставщик программного обеспечения для дилерских автоцентров, подверглась нескольким масштабным кибератакам, в результате которых была нарушена работа партнеров. 

CDK Global предоставляет клиентам SaaS-платформу, которая управляет всеми аспектами работы автосалона, включая CRM, бухгалтерские услуги, расчет заработной платы, поддержку и обслуживание, инвентаризацию и операции бэк-офиса. Сервисами компании пользуются более 15 тыс. автосалонов в США и Канаде, на платформе работают тысячи сотрудников по всей Северной Америке. Для получения услуг CDK автосалоны настраивают постоянный доступ по VPN для центров обработки данных SaaS-провайдера для подключения к платформе локальных приложений. 

В результате первого инцидента, произошедшего в ночь на 19 июня в структуре CDK Global, компания отключила свои ИТ-системы, телефоны и приложения, а также два центра обработки данных, чтобы предотвратить распространение атаки. Автосалоны получили письма с информацией, что сервисы CDK пострадали в результате киберинцидента, пишет Bleeping Computer. Сроки восстановления не указывались. 

По данным экспертов, партнеры компании выражали обеспокоенность, что злоумышленники могут использовать VPN для проникновения во внутреннюю сеть автосалонов. Некоторые из них отключили постоянно включенный VPN. Другие жаловались на то, что могут войти в систему со старыми учетными данными, которые были обновлены во время перехода CDK на современную платформу единого входа. 

Отключение сервисов привело к повсеместным сбоям в работе автосалонов, использующих свою платформу для отслеживания и заказа автомобильных запчастей, проведения новых продаж и предложения финансирования. Некоторые компании отправили сотрудников по домам, другие перешли на бумажное оформление заказов. 

Во второй половине дня 19 июня CDK сообщила, что восстановила работу телефонов, систем Unify и DMS, цифровые сервисы розничной торговли. Она также проинформировала, что проводит тесты остальных приложений, прежде чем вернуть их в доступ. 

Однако позже появилась информация о повторной кибератаки, последствия которой не были устранены по состоянию на 21 июня. В своем заявлении представители CDK сообщили, что не могут назвать точные сроки восстановления систем. Они советуют клиентам не пытаться зайти в онлайн-сервисы до подтверждения безопасности системы. 

Телефоны Digital Retail и CDK продолжают работать, однако другие каналы поддержки клиентов остаются недоступными из предосторожности для обеспечения безопасности. Восстановление этих услуг является первоочередной задачей. Компания пригласила внешних экспертов к расследованию инцидентов. 

Инциденты оказали существенное влияние на индустрию продаж автомобилей. Они затронули интересы клиентов, которые хотят купить новый автомобиль или обслужить существующий. Весь процесс покупки автомобиля, включая инвентаризацию, регистрацию транспортного средства и финансирование, осуществляется платформой CDK. Без нее дилерские центры не могут проводить продажи или вынуждены выполнять процессы вручную, ожидаются задержки с получением запчастей из-за сбоя в работе систем. 

24 июня стало известно, что двойная кибератака на CDK Global привела к сбоям в работе ряда офисов компании Group 1 Automotive, которые используют бизнес-приложения на платформе CDK. Компания Group 1 Automotive имеет 202 дилерских центра по всему миру. При этом британские компании группы не используют платформу CDK, поэтому  инцидент не повлиял на их работу. 

Также ряд источников сообщает, что CDK собиралась уступить требованиям предположительно восточноевропейских хакеров и выплатить десятки миллионов долларов в качестве выкупа. 

 

В протоколах нашли пробелы

Новый отчет «Управление инцидентами кибербезопасности» Австралийского национального аудиторского управления (ANAO) выявил пробелы в протоколах кибербезопасности, используемых Австралийским центром отчетов и анализа транзакций (AUSTRAC) и сервисами Госуслуг страны для восстановления после киберинцидентов. 

В отчете признается, что две некорпоративные организации Содружества (NCE) частично внедрили ряд процессов для управления киберинцидентами, однако эффективность мер поставлена под сомнение. Также ни одна из организаций не имеет возможностей для обеспечения непрерывности бизнеса или аварийного восстановления после инцидента. 

Аудит был проведен после того, как в отчете Австралийского управления сигналов (ASD) о состоянии кибербезопасности за 2023 г. среди организаций был обнаружен низкий уровень зрелости кибербезопасности. 31% киберинцидентов, о которых было сообщено в ASD в 2022 г., произошли в госструктурах. Предыдущие проверки также выявили низкий уровень киберустойчивости. 

Таким образом, австралийские правительственные учреждения не стали теми образцами кибербезопасности, как планировалось. При этом они получают, обрабатывают и хранят некоторые из наиболее конфиденциальных данных граждан Австралии для предоставления основных государственных услуг, говорится в отчете. 

В отчете «частично эффективными» мерами, реализованными AUSTRAC, признаны:

  • процессы управления инцидентами кибербезопасности для расследования, мониторинга и реагирования на инциденты;
  • установленные структуры управления и меры поддержки этих процессов, внедрение процесса реагирования и смягчения последствий во время и после киберинцидентов;
  • внедрение решений для управления информацией и событиями безопасности (SIEM) для сообщения об инцидентах.

Схожая картина наблюдается в сервисах госуслуг Австралии, где «частично эффективно» разработаны процессы управления и реагирования на инциденты, созданы протоколы расследования инцидентов и планы реагирования, ведется отслеживание возможных утечек данных, заражения ВПО и внешнего воздействия, внедрены SIEM-решения, мониторинг и приоритезации оповещений. Разработаны планы обеспечения непрерывности бизнеса и аварийного восстановления, а также ведется регулярное резервное копирование. 

Однако обе организации потерпели неудачу в части документирования оценок угроз и уязвимостей, а также инцидентов кибербезопасности; тестирования и безопасности резервных и архивных данных в случае аварийного восстановления или эскалации инцидента. 

В ходе аудита было вынесено 19 рекомендаций, из которых AUSTRAC согласился с девятью, а Гоcуслуги Австралии — с 10, касающимися уточнения ролей и обязанностей, связанных с кибербезопасностью, установления сроков для расследований и обновления систем для эффективного реагирования на инциденты.

 

Когда пахнет деньгами

Французский модный бренд Zadig & Voltaire столкнулся с утечкой данных, в общий доступ попали почти 600 тыс. уникальных адресов электронной почты. 17 июня информацию об этом подтвердил сервис уведомлений об утечках «Have I Been Pwned» на своей официальной странице в соцсети X. 

В ноябре прошлого года Zadig & Voltaire потерял 587 тыс. конфиденциальных данных клиентов, которые включали имя, фактические адрес проживания, телефон и пол, уникальные адреса электронной почты. Z&V сообщила, что после инцидента «быстро приняты все меры». 65% пострадавших уже были подписаны на сервис @haveibeenpwned. 

Инцидент вызвал серьезные опасения по поводу безопасности данных и конфиденциальности среди клиентов бренда и индустрии моды в целом. 

По данным Сyber Security news, взлом произошел в результате доступа третьих лиц к базу данных компании и компрометации личной информации сотен тысяч клиентов. Хотя точный метод взлома не разглашается, считается, что злоумышленники использовали уязвимости в ИТ-системах компании. 

Данные клиентов могут быть использованы для фишинговых атак и рассылки вредоносного ПО. Клиенты компании должны быть бдительны в отношении попыток фишинга и других подозрительных действий, говорится в рекомендациях организации. Zadig & Voltaire выразила сожаление по поводу инцидента и заверила клиентов, что принимает меры по усилению мер безопасности. Компания тесно сотрудничает с экспертами по кибербезопасности в рамках расследования инцидента и для предотвращения атак в будущем. 

24 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.07.2024
Власти обяжут СМИ импортозаместить профильное ПО и ИБ-решения?
17.07.2024
ЦБ РФ разрешит фигурантам своей базы мошенников обжаловать их статус
17.07.2024
Импортозамещение со вкусом малвари. В телефонах Digma обнаружили брешь
17.07.2024
Минцифры напоминает об ИТ-отсрочке
17.07.2024
Число DDoS-атак в мире удвоилось
17.07.2024
Тап-тап, мистер Уик. Россиянам предлагают опустошить «Хомяка»
16.07.2024
ВТБ направил миллиарды на импортозамещение и безбумажность
16.07.2024
Минцифры просит Минэнерго не путать майнинг-центры и дата-центры
16.07.2024
Пополнение баланса по паспорту? Нет ничего невозможного
16.07.2024
Ещё один ИБ-вендор («Лаборатория Касперского») покидает страну (США)

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных