По крайней мере, двум компаниям был нанесен еще больший ущерб, чем судоходному гиганту Maersk.
От атак NotPetya в 2017 году значительный ущерб понесли ряд компаний, однако не сообщили о заражении. Об этом заявил директор по информационной безопасности Maersk Эндрю Пауэлл (Andrew Powell) на конференции Black Hat Europe 2019, состоявшейся в Лондоне.
Считается, что вымогательское ПО NotPetya являлось ключевым элементом в масштабной кампании, направленной на правительство Украины. В качестве вектора заражения использовалось финансовое приложение M.E.Doc, которое должны применять компании, ведущие бизнес в стране. Однако, кампания не ограничилась только Украиной, в результате от атак пострадало около 600 предприятий и организаций по всему миру.
Согласно опубликованным отчетам, жертвами NotPetya стали компании почти во всех промышленных отраслях. Например, в США фармацевтическая компания Merck и курьерская компания FedEx в результате атаки потеряли в общей сложности более $300 млн.
По словам Пауэлла, Maersk не была достаточно подготовлена к отражению атаки NotPetya. В начале 2017 года уровень зрелости кибербезопасности компании был относительно низким. Компьютерные сети и серверная инфраструктура не считались критически важными, поэтому цифровые активы были плохо защищены. Таким образом, как только одна из систем Maersk была заражена в одесском офисе, вредонос распространился через глобальную сеть Maersk быстрее, чем кто-либо мог себе представить.
Большая часть ущерба была нанесена за 7 минут, отметил Пауэлл. NotPetya вывел из строя 49 тыс. ноутбуков, более 1 тыс. приложений, привел к отключению всех систем печати и обмена файлами, а также нарушил работу серверов управления облаком VMware vCenter и DHCP и Active Directory. Основная и резервная системы Active Directory также стали бесполезными. В результате Maersk потеряла связь с миллионами морских контейнеров по всему миру и не смогла доставить их по назначению, также были нарушены цепочки поставок по всему миру.
К счастью, во время атаки NotPetya в офисе компании в Лагосе отключилось электричество и его IT-системы, включая копию Active Directory, не пострадали. Узел Lagos AD был извлечен, доставлен в Копенгаген и использован для восстановления остальной части сети.
