14 марта в 7 часов утра по московскому времени у маркетплейса Wildberries произошел сбой. Покупатели не могли авторизоваться ни через сайт, ни в мобильном приложении. Проблемы испытывали пользователи в России, Белоруссии и Казахстане. По состоянию на вечер 16 марта количество жалоб снизилось, но восстановить нормальную работу в полном объеме не удалось.

© ComNews
17.03.2022

К полудню 14 марта количество жалоб на проблемы с сайтом и мобильным приложением на ресурсе DownDetector достигло 12 тыс. Чаще всего жаловались на проблемы с авторизацией, невозможность оформить новый или отследить раннее сделанный заказ или то, что сайт или приложение не открывались, пользователи из Москвы, Петербурга и Сочи. Во многих городах пункты выдачи работали, но при этом заказы не выдавали. С многочисленными сложностями столкнулись и партнеры Wildberries, у которых не открывались личные кабинеты и мобильное приложение. При этом официальные представители Wildberries довольно долгое время не подтверждали наличие проблем.

Вечером 14 марта в официальном Telegram-канале Wildberries появилось сообщение, что устранено 70% ошибок. "Количество ошибок в работе приложений и сайта Wildberries к 15 марта снизилось в четыре раза по сравнению с 14 марта, по данным DownDetector. Каких-либо новых ошибок не возникло: ИТ-специалисты оперативно устраняют последствия вчерашнего инцидента", - сообщила утром 15 марта пресс-служба ретейлера. Также официальные представители маркетплейса заверили, что персональные и платежные данные клиентов и партнеров не пострадали. В некоторых городах проблемы с работой Wildberries, действительно, были устранены.

Также 15 марта начала распространяться версия, что возможной причиной сбоя в сети Wildberries могла быть кибератака, уничтожившая инфраструктуру. Сообщения об этом появились в ряде Telegram-каналов, а затем и в СМИ. Одним из первых поддержал версию о кибератаке технический директор и автор подкаста "Запуск завтра" Самат Галимов. При этом, по его мнению, злоумышленникам помогал кто-то внутри компании. Также в Telegram-канале "Русский маркетинг" опубликован скриншот письма техническим специалистам СДЭК от службы безопасности, где указано, что зафиксирована кибератака на Wildberries. По данным ресурса AntiLocker, шифровальщик проник в сеть в результате фишинговой атаки.

В качестве группировки, ответственной за инцидент, оба канала называют OldGremlin (раннее известная как TinyScouts). Ее отличает от других русскоязычных операторов шифровальщиков то, что она атакует и российские компании. Она обнаружена Solar JSOC CERT в 2020 г. "Вредоносное ПО от TinyScouts доставлялось пользователям через фишинговые рассылки, иногда посвященные второй волне коронавируса, а иногда - четко "заточенные" под атакуемую организацию и связанные с ее деятельностью. Злоумышленники выдавали себя за различные существующие компании - например, "Норильский никель", Российский союз промышленников и предпринимателей, "Финаудитсервис" и т.д.", - так "почерк" данной группировки описывается в официальном блоге Solar JSOC CERT.

Однако руководитель отдела расследования киберинцидентов Solar JSOC CERT компании "Ростелеком-Солар" Игорь Залевский отметил, что в настоящий момент нет данных, подтверждающих, что это была атака с использованием шифровальщиков. Официальные представители Wildberries также не подтвердили факт кибератаки.

Новости из связанных рубрик