Дигиталната обсада: Как Direwolf разби Pergamon Status
Когато ледът се пропука – Дигиталната обсада на Pergamon Status Diş Ticaret AŞ
Основана през април 2001 г., турската компания Pergamon Status Diş Ticaret AŞ е публична от 12 ноември 2014 г., като се търгува на Борса Истанбул (Borsa İstanbul) под борсовия код PSDTC. Седалището ѝ е в Измир, а дейността ѝ е съсредоточена в сферата на международната търговия – дълготрайни и краткотрайни потребителски стоки. Със само 22 служители, компанията има стратегическо значение за логистичната и митническа инфраструктура на страната.
По данни от юли 2025 г. пазарната ѝ стойност се оценява на между 740 и 855 милиона турски лири (приблизително 15,8 до 18,2 милиона евро). Годишният приход на компанията възлиза на 32,58 милиона TRY (≈ 958 000 €), а чистата печалба – на 36,23 милиона TRY (≈ 1,07 милиона €). Едната акция се търгува за 106,50 TRY (≈ 3,13 €).
Pergamon Status е известна със своята прецизност при митнически процедури и разполага с мрежа от 976 клиенти и 19 доставчици, сред които фигурират международни партньори като Keller & Kalmbach GmbH, Würth Industrie Service GmbH & Co KG и Artistic Fabric Mills (Private) Ltd.
Именно в този организиран и технически комплексен контекст през май 2025 г. на сцената се появява нов заплашителен играч: групата за ransomware атаки Direwolf. Използвайки техника на двойна изнудване, те крадат и шифроват данни чрез алгоритмите ChaCha20 и Curve25519, като искат криптовалута в замяна на възстановяване — или пълна публичност на файловете в анонимен Tor портал.
Между 27 май и 8 юли 2025 г. Direwolf обявява 21 жертви, като средното време между заразяване и изтичане на данни е 13 дни. В случая с Pergamon Status, са откраднати около 50 GB чувствителна информация – Oracle бази, финансови отчети, митнически записи, данъчни документи и ISO одитни файлове. Част от данните са публикувани на 20 юли, а пълното разкриване е насрочено за 30 юли.
Системите за сигурност на компанията откриват криптирани файлове едва на 20 юли 2025 г. в 12:55 UTC – значително след началото на проникването. Обсадата вече беше започнала. Без предупреждение. Без грешки. Без милост.
Тихото проникване – Пукнатината в леда
На 20 юли 2025 г., Direwolf публикува частични файлове на своя анонимен Tor портал – официалният старт на изнудването. В същия ден, в 12:55 UTC, екипът по сигурността на Pergamon Status открива внезапно криптирани документи на централния сървър. Системата вече е компрометирана.
Въз основа на типичната тактика на Direwolf и анализи на инцидента, следната хронология отразява предполагаемия ход на събитията:
15 юли, 03:20 UTC (предположено): Над 800 неуспешни RDP опита от IP адрес, свързан с анонимна хостинг услуга. Скенингът започва.
15–18 юли: Провежда се картографиране на мрежата – търсят се отворени RDP портове, SMB/CIFS споделяния и слабости в инфраструктурата.
18 юли: Атакуващите добиват административни пароли чрез инструменти като Mimikatz и методи за повишаване на правомощия (Pass-the-Hash).
18–20 юли: Следват странични движения към ключови системи – SAP S/4HANA и Oracle базата – като се избягват традиционните антивирусни защити.
20 юли, сутрин (предположено): Експортирани са приблизително 50 GB чувствителни данни през HTTPS към външен сървър. Очаквана скорост – 500 Mbps, изпълнение – под 4 часа.
20 юли, 00:45 UTC: Започва криптиране с алгоритъма ChaCha20-Poly1305.
20 юли, 00:52 UTC: Във всяка директория се появява файлът howl.txt – белегът на Direwolf, включващ исканата сума и крайния срок.
Когато системите на Pergamon Status реагират, всичко вече е било в ход:
данните откраднати, сървърите заключени, а обратното броене – започнало.
Срокът за откуп е 48 часа. Пълното изтичане е насрочено за 30 юли 2025 г.
Ледът се е пропукал. Пламъците едва започват.
След удара – Отломките на една разбита мрежа
На 20 юли 2025 г. в 12:55 UTC, екипът по киберсигурност на Pergamon Status открива файла howl.txt във вътрешните си сървъри — зловещо напомняне, че Direwolf вече е нанесъл своя удар. Компанията разполага с 48 часа, за да плати искания откуп, или всичките чувствителни данни ще бъдат изтекли публично на 30 юли. Обсадата е в пълен ход.
Последиците се проявяват незабавно:
Спиране на логистичните операции (по изчисления): бизнес системата SAP S/4HANA, управляваща доставките към стотици зъболекарски кабинети и лаборатории, блокира. Хиляди доставки са замразени.
Разпад в комуникацията с клиенти (по изчисления): компанията, обслужваща 976 клиента в Европа и Близкия изток, въвежда спешни линии и временни имейл адреси в опит да овладее кризата.
Активиране на кризисен щаб (по изчисления): независими експерти по киберсигурност — вероятно от Германия или Обединеното кралство — се включват за анализ, изолиране на заразени системи и консултиране относно преговорите за декриптиране.
Регулаторно уведомяване (по изчисления): съгласно турския закон за защита на личните данни (KVKK), Pergamon Status има 72 часа, за да уведоми Агенцията за информационни технологии (BTK) и засегнатите лица.
И въпреки усилията, следите на цифровия хищник остават видими: фалшиви администраторски акаунти, компрометирани архиви, зле конфигурирани хранилища — и най-зловещото: активен таймер в Tor портала, отброяващ към публичното унищожение.
Решението е мъчително:
Да заплати и да загуби моралния си облик?
Или да устои и рискува срива на доверието?
Pergamon Status се оказва не само жертва — а героят в една технологична драма, чийто изход предстои да се реши.
Цената на леда – Колко струваше ударът на Direwolf
Когато Direwolf стартира своята атака на 20 юли 2025 г., Pergamon Status Diş Ticaret AŞ се оказа в икономическа буря. Фиджетни искания, разходи за реагиране, блокирани доставки и правни задължения — всичко се натрупа в трудна за смилане финансова равносметка. Ето реалистична оценка на пораженията, базирана на достъпни данни.
Искане за откуп
Според анализи на предходни атаки, подобни на Direwolf, сумите за откуп обикновено достигат до 500 000 щатски долара – приблизително 460 000 евро, или 16 милиона турски лири.
Реакция на инцидента и възстановяване на системите
По данни от Cloudwards.net, средната стойност на разходите по реакция, правна консултация, ИТ експертиза и обществена комуникация възлиза на 2,73 милиона USD – около 2,51 милиона EUR, или 88 милиона TRY.
Загуби от прекъснати дейности
При спиране на системите за 24 дни (стандартна продължителност според Trustwave), и дневен оборот от около 2600 евро, общите загуби от неизпълнени поръчки и логистична дезорганизация възлизат на 62 400 евро (≈ 2,2 милиона TRY).
Регулаторни санкции и правни разходи
Съгласно закона KVKK в Турция, значителни нарушения на лични данни могат да доведат до глоби до 2% от годишния оборот, което е около 20 000 евро (≈ 700 000 TRY).
Обща приблизителна стойност на удара
≈ 107 милиона TRY
(≈ 3,3 милиона EUR)
Дори в случай на успешна реакция и неуплатен откуп, най-тежката седмица в цифровата история на Pergamon Status се равнява на над 1 милион евро преки щети — без дори да броим репутационния риск и потенциалните съдебни действия.
Последният рубеж – Една легенда за победа с Cy-Napea®
Димът все още се стелеше над разбитата мрежа на Pergamon Status, когато на хоризонта се появи нов защитник: Cy-Napea®, блестящата крепост на Aurora Consolidated Ltd. Роден от огъня на безброй кибер битки, Cy-Napea® е изграден да пази всяко кътче от данните чрез своето обединено SaaS оръжие — Разширена защита срещу заплахи, EDR/XDR/MDR, непроменими архиви и още. Докато сянката на Direwolf надвисваше, Cy-Napea® вдъхна надежда в редиците на защитниците от Измир.
В тишината на нощта, когато първата стрела на фишинг атаката беше пусната, обученията за киберсигурност на Cy-Napea® се задействаха. Служителите, по-рано неподготвени, вече действаха като стражи:
Служител от отдел "Доставки" се усъмни при вида на подправена транспортна фактура.
Логистичен координатор разпозна класическите знаци на измамно IT обаждане.
Екипът се събра около спешния канал и сигнализира за съмнителната активност, преди да бъде компрометиран дори един акаунт.
Човешката защита се активира — и пролуката бе затворена, преди Direwolf да е докоснал портите.
В дигиталните фронтови линии, Разширената имейл защита на Cy-Napea® създаде мрежа от AI-филтри. Злонамерените връзки бяха неутрализирани, а опитите за измама идентифицирани незабавно. Подправеното „спешно уведомление“ от фалшив превозвач не достигна нито едно око — примката на Direwolf остана неизползвана, куката – счупена във въздуха.
Когато нападателят все пак проникна зад защитните стени, двигателите на EDR/XDR/MDR на Cy-Napea® се пробудиха. Нетипични процеси — ехото на алгоритмите за криптиране ChaCha20 — бяха засечени в реално време. Заразените системи бяха изолирани автоматично. Анализаторите, ръководени от дълбоката телеметрия на платформата, проследиха всяка стъпка на атакуващите, прекъсвайки каналите за изтичане на данни далеч преди 50 GB критична информация да напусне периметъра.
А в онези редки, най-мрачни нощи, когато криптирането заля незащитени сървъри, Непроменимите архиви и Възстановяването с един клик на Cy-Napea® обърнаха времето назад. Изолирани снимки се появиха, възстановявайки SAP и Oracle системите в рамките на минути. Каквото можеше да бъде седмици на паника, се сведе до няколко часа на напрежение и победен възглас.
Законова забележка:
Тази реконструкция е базирана на публични доклади за пробива (Ransomware.live, HookPhish), пазарни данни (StockAnalysis.com, Simply Wall St, Investing.com, İş Yatırım, FT.com) и официални материали на Cy-Napea®. Реалните резултати могат да се различават.
Източници:
