Кібератака на британську ритейл-мережу Co-op: порожні полиці та збитки на сотні мільйонів фунтів
Кібератака на британську ритейл-мережу Co-op: порожні полиці та збитки на сотні мільйонів фунтів
Нещодавня кібератака на одну з найпопулярніших роздрібних мереж Великобританії — це свідчення того, що жодна організація не захищена від кіберзагроз. Сьогодні кіберстійкість — це не просто опція, а необхідна умова виживання.
За матеріалами acronis.com
Порожні полиці, мільйони фунтів втрачених доходів, вкрадені дані клієнтів — нещодавня кібератака на Co-operative Group (або Co-op), що входить до п’ятірки найбільших роздрібних мереж Великобританії, свідчить про те, що будь-яка організація може зазнати кібернападу.
Acronis Cyber Protect та Acronis Cyber Protect Cloud пропонують вбудовані функції резервного копіювання та кібербезпеки, що забезпечують комплексний захист підприємств та їхніх партнерів — постачальників послуг з управління ІТ-інфраструктурою (MSP). І сьогодні, коли кібератаки можуть відбуватися раптово, надійна кіберстійкість — це не просто опція, а необхідна умова виживання.
Відповідальність за атаку взяла на себе кіберзлочинна група DragonForce. Особливістю цього інциденту стало те, що зловмисники використали методи соціальної інженерії: вони видали себе за легітимних ІТ-фахівців, щоб проникнути в ІТ-системи Co-op. А коли опинилися всередині, швидко перейшли до компрометації критичної інфраструктури.
Але фахівці Co-op швидко відреагували. Компанія відключила мережі, щоб запобігти блокуванню програм-вимагачів, і це рішення, ймовірно, допомогло компанії запобігти ще катастрофічнішим збиткам. Однак захисні заходи не змогли зупинити витік даних, який уже стався: було викрадено особисту інформацію 6,5 мільйонів нинішніх і колишніх клієнтів, включно з іменами, контактними даними, адресами проживання, електронними адресами, номерами телефонів і датами народження.
Це важливе нагадування про те, що масштаби збитків можуть значною мірою відрізнятися залежно від того, в якому стані перебуває безпека організації та її можливості реагування на інциденти. Рішення Co-op швидко вимкнути корпоративну мережі хоч і порушило роботу, але завадило зловмисникам розгорнути шкідливе ПЗ для вимагання викупу, яке могло б заблокувати системи на тижні або місяці.
Попри це, наслідки були серйозними. Протягом тижнів у магазинах спостерігався дефіцит товарів. Репутація компанії зазнала удару. А особисті дані 6,5 мільйонів людей були розкриті, що створило потенційний ризик фішингових атак і крадіжки особистих даних.
Прямі фінансові збитки у розмірі 275 млн доларів США у вигляді втраченого доходу — це лише частина історії. Майже напевно були витрати, пов'язані з реагуванням на інцидент, розслідуванням, відновленням системи, комунікацією з клієнтами та посиленням заходів безпеки, впроваджених після атаки. Справжня вартість, ймовірно, значною мірою перевищує заявлені втрати доходу.
Сучасні підприємства стикаються з розширенням площі атаки. Хмарні сервіси, дистанційна робота, зв'язки в ланцюжку поставок і пристрої інтернету речей (IoT) створюють потенційні точки входу для зловмисників. Несучасні системи, що працюють на застарілому програмному забезпеченні, — ще вразливіші. А найнебезпечніше те, що атаки соціального інжинірингу націлені на людський фактор, тобто працівників. І саме вони можуть виявитися найслабшою ланкою у вашому ланцюжку безпеки.
Взаємопов'язаний характер сучасного бізнес-середовища означає, що атака на одну організацію може мати каскадний вплив на всю екосистему. Постачальники, партнери та клієнти теж потерпають, коли великий гравець зазнає збитків. Це було очевидно під час атаки на Jaguar Land Rover, коли зупинка виробництва вплинула на ланцюжок поставок у сфері автомобільної промисловості. Те саме справедливо й для роздрібної торгівлі, охорони здоров'я, фінансів і всіх інших секторів.
Загрози постійно еволюціонують. Групи, що використовують програми-вимагачі, стають дедалі більш зухвалими, вимагаючи більші викупи й погрожуючи оприлюднити викрадені дані, якщо компанія відмовиться платити. Кібербанди, що використовують складні постійні загрози (APT) і підтримуються державами, проводять витончені кампанії, мета яких — шпигунство й дестабілізація. А через функціонування платформ формату «кіберзлочинність як послуга» (cybercrime-as-a-service) запустити руйнівну атаку простіше, ніж будь-коли, це доступно навіть зловмисникам з низькою кваліфікацією.
Чому саме роздрібна торгівля? Привабливим для зловмисників цей сектор роблять такі фактори:
NotPetya / Petya (2017). Масштабна кібератака, що розповсюджувалася через оновлення українського бухгалтерського ПЗ M.E.Doc. Зачепила банки, енергетику, транспорт, державні служби. Спрямована була переважно на те, щоб заподіяти бізнесу масові збитки без можливості відновлення даних.
FoxBlade (2022). Троян-wipe malware, виявлений напередодні масштабного російського вторгнення, 23 лютого 2022 року, Центром оцінки загроз Microsoft. Підозрюється, що він став частиною кібератак на Україну, пов'язаних із вторгненням.
Атака на Київстар (2023). 12 грудня 2023 року сталася руйнівна кібератака на Kyivstar — одного з найбільших операторів зв’язку в Україні. Мобільний зв’язок, інтернет, SMS та інші сервіси були порушені як в Україні, так і в частині міжнародного роумінгу. Була вражена велика частина віртуальної інфраструктури: близько 70% віртуальних серверів були пошкоджені або виведені з ладу (приблизно 4800 з 5000 віртуальних серверів). Витрати на ліквідацію наслідків оцінюються приблизно в 3,6 млрд грн (~ 95 млн доларів США) через компенсації для клієнтів, втрату доходів і необхідність поліпшити систему захисту. Українські правоохоронні органи та аналітики вказують на ймовірну причетність російських хакерських груп, зокрема Sandworm та Solntsepek, які, можливо, пов’язані з ГРУ.
Ця атака вважається однією з найбільш руйнівних для української цивільної ІТ-інфраструктури від початку повномасштабного вторгнення. Після неї компанія змінила підходи до побудови своєї мережі: зокрема, здійснила географічне розділення віртуальної інфраструктури і сфокусувалася на безпеці.
Табл. Хронологія найбільш помітних кібератак та інцидентів в Україні за останні роки
Замість того, щоб керувати кількома розрізненими безпековими рішеннями, MSP можуть отримати комплексний захист за допомогою єдиної платформи. Така консолідація скорочує час і ресурси, необхідні для забезпечення захисту клієнтів, що дозволяє MSP обслуговувати більше клієнтів без пропорційного збільшення накладних витрат.
Уніфікований підхід також створює широкі можливості для додаткового та перехресного продажу. Коли функції резервного копіювання, кібербезпеки та управління є частиною одного рішення, легше продемонструвати його цінність і розширити пропозицію послуг для існуючих клієнтів.
Acronis Cyber Protect Cloud дає змогу MSP надавати захист корпоративного рівня клієнтам будь-якого розміру, а Acronis Cyber Protect забезпечує компаніям прямий доступ до тих вбудованих можливостей кібербезпеки, які можуть бути вирішальними в ситуації, коли потрібно запобігти чи то катастрофі, що загрожує бізнесу, чи то незначному інциденту, який легко нейтралізувати.
Порожні полиці, мільйони фунтів втрачених доходів, вкрадені дані клієнтів — нещодавня кібератака на Co-operative Group (або Co-op), що входить до п’ятірки найбільших роздрібних мереж Великобританії, свідчить про те, що будь-яка організація може зазнати кібернападу.
Acronis Cyber Protect та Acronis Cyber Protect Cloud пропонують вбудовані функції резервного копіювання та кібербезпеки, що забезпечують комплексний захист підприємств та їхніх партнерів — постачальників послуг з управління ІТ-інфраструктурою (MSP). І сьогодні, коли кібератаки можуть відбуватися раптово, надійна кіберстійкість — це не просто опція, а необхідна умова виживання.
Що сталося з мережею Co-op?
Кібератака на Co-operative Group розпочалася у квітні 2025 року і швидко перетворилася з тривожного безпекового інциденту на повномасштабну бізнес-кризу. На момент стабілізації ситуації атака коштувала гіганту роздрібної торгівлі приголомшливих 275 мільйонів доларів США у вигляді втрачених доходів. Найбільше постраждав харчовий бізнес: дефіцит товарів тривав тижнями, клієнти по всій країні бачили порожні полиці.Відповідальність за атаку взяла на себе кіберзлочинна група DragonForce. Особливістю цього інциденту стало те, що зловмисники використали методи соціальної інженерії: вони видали себе за легітимних ІТ-фахівців, щоб проникнути в ІТ-системи Co-op. А коли опинилися всередині, швидко перейшли до компрометації критичної інфраструктури.
Але фахівці Co-op швидко відреагували. Компанія відключила мережі, щоб запобігти блокуванню програм-вимагачів, і це рішення, ймовірно, допомогло компанії запобігти ще катастрофічнішим збиткам. Однак захисні заходи не змогли зупинити витік даних, який уже стався: було викрадено особисту інформацію 6,5 мільйонів нинішніх і колишніх клієнтів, включно з іменами, контактними даними, адресами проживання, електронними адресами, номерами телефонів і датами народження.
Могло бути гірше
Хоча атака на Co-op була доволі руйнівною, вона могла бути значно страшнішою. Адже зловмисники все ж таки не отримали доступу до паролів клієнтів, банківських реквізитів або інформації про кредитні картки. Дані про транзакції, продукти або послуги замовників і партнерів скомпрометовані не були.Це важливе нагадування про те, що масштаби збитків можуть значною мірою відрізнятися залежно від того, в якому стані перебуває безпека організації та її можливості реагування на інциденти. Рішення Co-op швидко вимкнути корпоративну мережі хоч і порушило роботу, але завадило зловмисникам розгорнути шкідливе ПЗ для вимагання викупу, яке могло б заблокувати системи на тижні або місяці.
Попри це, наслідки були серйозними. Протягом тижнів у магазинах спостерігався дефіцит товарів. Репутація компанії зазнала удару. А особисті дані 6,5 мільйонів людей були розкриті, що створило потенційний ризик фішингових атак і крадіжки особистих даних.
Прямі фінансові збитки у розмірі 275 млн доларів США у вигляді втраченого доходу — це лише частина історії. Майже напевно були витрати, пов'язані з реагуванням на інцидент, розслідуванням, відновленням системи, комунікацією з клієнтами та посиленням заходів безпеки, впроваджених після атаки. Справжня вартість, ймовірно, значною мірою перевищує заявлені втрати доходу.
Жоден бізнес сьогодні не є захищеним
Інцидент з Co-op — це суворе нагадування про те, що кібератаки не розрізняють своїх жертв. І великий мережевий ритейлер, і невелика сервісна компанія — однаковою мірою потенційні мішені.
Жоден бізнес не є безпечним: загальна загроза кібератак
Інцидент з Co-op — це суворе нагадування про те, що кібератаки не розрізняють своїх жертв. І великий національний ритейлер, і дрібний виробник, і постачальник медичних послуг, і професійна сервісна компанія — однаковою мірою потенційні мішені.Сучасні підприємства стикаються з розширенням площі атаки. Хмарні сервіси, дистанційна робота, зв'язки в ланцюжку поставок і пристрої інтернету речей (IoT) створюють потенційні точки входу для зловмисників. Несучасні системи, що працюють на застарілому програмному забезпеченні, — ще вразливіші. А найнебезпечніше те, що атаки соціального інжинірингу націлені на людський фактор, тобто працівників. І саме вони можуть виявитися найслабшою ланкою у вашому ланцюжку безпеки.
Взаємопов'язаний характер сучасного бізнес-середовища означає, що атака на одну організацію може мати каскадний вплив на всю екосистему. Постачальники, партнери та клієнти теж потерпають, коли великий гравець зазнає збитків. Це було очевидно під час атаки на Jaguar Land Rover, коли зупинка виробництва вплинула на ланцюжок поставок у сфері автомобільної промисловості. Те саме справедливо й для роздрібної торгівлі, охорони здоров'я, фінансів і всіх інших секторів.
Загрози постійно еволюціонують. Групи, що використовують програми-вимагачі, стають дедалі більш зухвалими, вимагаючи більші викупи й погрожуючи оприлюднити викрадені дані, якщо компанія відмовиться платити. Кібербанди, що використовують складні постійні загрози (APT) і підтримуються державами, проводять витончені кампанії, мета яких — шпигунство й дестабілізація. А через функціонування платформ формату «кіберзлочинність як послуга» (cybercrime-as-a-service) запустити руйнівну атаку простіше, ніж будь-коли, це доступно навіть зловмисникам з низькою кваліфікацією.
Роздрібна торгівля під загрозою: уроки від Co-op
Кібератака на Co-op — це остання з серії гучних атак, спрямованих на сектор роздрібної торгівлі. Однак та ж група DragonForce взяла на себе відповідальність і за атаки на Marks & Spencer, а також спробувала зламати інші ритейлові мережі. Ця закономірність свідчить про те, що роздрібні організації — головні цілі кіберзлочинців.- Багаті на дані середовища. Роздрібні продавці мають цінну інформацію про клієнтів, зокрема платіжні реквізити, особисті дані й особливості купівельної поведінки.
- Складні ланцюги постачання. Численні точки інтеграції з постачальниками, логістичними провайдерами й платіжними системами створюють додаткові поверхні для атак.
- Цілодобова робота. Роздрібні продавці не можуть дозволити собі тривалі простої, тому більш схильні платити викуп.
- Різноманітні технічні середовища. Поєднання застарілих систем точок продажу й сучасних хмарних платформ створює несумісні системи безпеки.
- Сезонні вразливості. Періоди високого попиту, такі як різдвяні свята, створюють терміновість, якою зловмисники можуть скористатися.
Атаки на українські підприємства
Однак жертвою кібератаки може стати будь-який бізнес, про що свідчить строкатий перелік найбільш резонансних кіберінцидентів, які мали місце в Україні за останні роки:NotPetya / Petya (2017). Масштабна кібератака, що розповсюджувалася через оновлення українського бухгалтерського ПЗ M.E.Doc. Зачепила банки, енергетику, транспорт, державні служби. Спрямована була переважно на те, щоб заподіяти бізнесу масові збитки без можливості відновлення даних.
FoxBlade (2022). Троян-wipe malware, виявлений напередодні масштабного російського вторгнення, 23 лютого 2022 року, Центром оцінки загроз Microsoft. Підозрюється, що він став частиною кібератак на Україну, пов'язаних із вторгненням.
Атака на Київстар (2023). 12 грудня 2023 року сталася руйнівна кібератака на Kyivstar — одного з найбільших операторів зв’язку в Україні. Мобільний зв’язок, інтернет, SMS та інші сервіси були порушені як в Україні, так і в частині міжнародного роумінгу. Була вражена велика частина віртуальної інфраструктури: близько 70% віртуальних серверів були пошкоджені або виведені з ладу (приблизно 4800 з 5000 віртуальних серверів). Витрати на ліквідацію наслідків оцінюються приблизно в 3,6 млрд грн (~ 95 млн доларів США) через компенсації для клієнтів, втрату доходів і необхідність поліпшити систему захисту. Українські правоохоронні органи та аналітики вказують на ймовірну причетність російських хакерських груп, зокрема Sandworm та Solntsepek, які, можливо, пов’язані з ГРУ.
Ця атака вважається однією з найбільш руйнівних для української цивільної ІТ-інфраструктури від початку повномасштабного вторгнення. Після неї компанія змінила підходи до побудови своєї мережі: зокрема, здійснила географічне розділення віртуальної інфраструктури і сфокусувалася на безпеці.
Табл. Хронологія найбільш помітних кібератак та інцидентів в Україні за останні роки
| Коли? | Що сталося? | Які наслідки? |
| 23 грудня 2015 | Атака на енергомережу в західних областях України (BlackEnergy / Sandworm) | Вимкнення електроенергії для ~230 тисяч споживачів на кілька годин |
| 17 грудня 2016 | Атака шкідливого ПЗ Industroyer (CrashOverride) на підстанцію в Києві | Відключення частини енергомережі, порушення роботи захисного обладнання |
| Червень 2017 | NotPetya — глобальна шкідлива кампанія, що завдала серйозної шкоди бізнесу й державному сектору України | Великі збитки у компаній, банків, урядових організацій; втрата даних; порушення роботи ІТ-систем |
| 2022–2023 | Посилення кібератак з початком повномасштабного вторгнення; численні зараження, фішинг, DDoS, атаки на уряд, інфраструктуру, бізнес | CERT-UA зафіксував майже 4 тисячі інцидентів між січнем 2022 і вереснем 2023 |
| Грудень 2023 | Кібернапад на Київстар — національного телеком-оператора | Перебої в роботі мобільного зв’язку та інтернету по всій країні |
| 2024 | Зростання кількості кібератак на 70%, порівняно з попереднім роком, за даними CERT-UA | Часті інциденти, спрямовані проти урядових структур, енергетики, телекомів, а також бізнес-сектора України |
| Березень- початок квітня 2025 | Велика кібератака на «Укрзалізницю»: системи компанії були частково виведені з ладу | Тимчасова втрата доступу до ІТ-сервісів, порушення можливості купити квитки онлайн тощо |
Захист клієнтів MSP за допомогою Acronis Cyber Protect Cloud
Постачальники керованих послуг (MSP) несуть відповідальність за захист клієнтів від кіберзагроз. Однак перед ними стоять складні завдання: їм потрібно захищати десятки або сотні клієнтів з різними технічними середовищами, обмеженими бюджетами та різними профілями ризиків. Саме тут Acronis Cyber Protect Cloud стає незамінним, оскільки це єдине в галузі рішення, яке об'єднує кібербезпеку, захист даних та управління кінцевими точками в одній вбудованій платформі з одним агентом і єдиною консоллю керування для всіх компонентів. Ця інтеграція — революційна для MSP, оскільки значною мірою зменшує складність і водночас підвищує ефективність захисту.Замість того, щоб керувати кількома розрізненими безпековими рішеннями, MSP можуть отримати комплексний захист за допомогою єдиної платформи. Така консолідація скорочує час і ресурси, необхідні для забезпечення захисту клієнтів, що дозволяє MSP обслуговувати більше клієнтів без пропорційного збільшення накладних витрат.
Уніфікований підхід також створює широкі можливості для додаткового та перехресного продажу. Коли функції резервного копіювання, кібербезпеки та управління є частиною одного рішення, легше продемонструвати його цінність і розширити пропозицію послуг для існуючих клієнтів.
Захист вашого бізнесу за допомогою Acronis Cyber Protect
Хоча MSP — важливі партнери для багатьох організацій, підприємствам будь-якого розміру потрібен надійний, інтегрований кіберзахист. Acronis Cyber Protect забезпечує захист даних і безпеку на рівні підприємства, а також надає вбудовану платформу, яка захищає від усього спектру сучасних кіберзагроз за допомогою єдиного пункту керування.Вбудована кібербезпека та захист даних
Як і у випадку з Acronis Cyber Protect Cloud, ключовою відмінністю Acronis Cyber Protect є його нативна інтеграція. Замість того, щоб просто об'єднати окремі інструменти безпеки та резервного копіювання, Acronis вбудував функції кібербезпеки та захисту даних в єдину, цілісну платформу. Ця інтеграція означає:- Резервні копії даних автоматично скануються на наявність шкідливого програмного забезпечення перед відновленням, що запобігає повторному зараженню.
- Захист від шкідливого програмного забезпечення працює разом із резервним копіюванням, щоб виявляти загрози та реагувати на них у режимі реального часу.
- Оцінка вразливості надає інформацію як для посилення безпеки, так і для планування відновлення.
- Один агент меншою мірою навантажує систему, ніж кілька інструментів безпеки.
Час діяти настав
Кібератака на Co-op має стати сигналом тривоги для кожної організації. Кіберстійкість — це не лише захист даних. Це забезпечення безперервності бізнесу, захист довіри клієнтів і збереження конкурентних переваг у дедалі більш ворожих цифрових умовах.Acronis Cyber Protect Cloud дає змогу MSP надавати захист корпоративного рівня клієнтам будь-якого розміру, а Acronis Cyber Protect забезпечує компаніям прямий доступ до тих вбудованих можливостей кібербезпеки, які можуть бути вирішальними в ситуації, коли потрібно запобігти чи то катастрофі, що загрожує бізнесу, чи то незначному інциденту, який легко нейтралізувати.
Сертифіковані фахівці компанії Мегатрейд допоможуть обрати оптимальні рішення з кібербезпеки для персональних девайсів і цифрових систем вашого бізнесу: secsystems@megatrade.ua, (044) 538-00-06
Найкраща безпека для особистого ПК: практичні поради від Acronis True Image
8 переваг Acronis для захисту корпоративних інформаційних систем