Расследуем масштабную атаку с применением фишинга, эксплуатации уязвимостей и захвата УЗ администратора, которая привела к полной недоступности инфраструктуры компании за одну ночь.
Большинство компаний продолжают жить с иллюзией, что «такое случается с кем угодно, но не с нами». При этом недооценивается необходимость простых, но эффективных мер ИБ:
- защита почтовых серверов
- регулярный аудит ИБ
- сегментация инфраструктуры
- применение MFA для удалённого доступа и критических сервисов
ОСОБЕННОСТЬ КЛИЕНТА:
Инфраструктура компании клиента представляет собой сочетание:
- корпоративного ядра (офисные сервисы, ЦОД, системы аналитики, отчетности и планирования, системы удаленного доступа и т.д.)
- торговых узлов (POS-системы, управление складом, базы учета товара, видеонаблюдение, Wi-Fi сети для сотрудников и клиентов и многое другое)
- онлайн-сервисов (онлайн-магазин и приложение, платёжные шлюзы и интеграции с банками)
Настолько комплексная инфраструктура в любой компании требует многоуровневой продуманной защиты.
ЗАПРОС КЛИЕНТА:
Провести расследование компьютерного инцидента.
С чем обратился клиент: злоумышленники провели спланированную атаку, результатом которой стало полное шифрование IT-инфраструктуры.
Под удар попали:
- все виртуальные серверы (HR-системы, базы данных по товарообороту и аналитики по ним, файловых хранилищ и почтовых серверов)
- физическая серверная инфраструктура (базы данных 1С, SQL-базы товарного хозяйства и прочие базы данных, необходимые для работы офиса и торговых центров),
- системы резервного копирования были так же скомпрометированы и подверглись действию программы-шифровальщика
ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:
1. Восстановили хронологию атаки поэтапно — от разведки до финального шифрования
2. Установили портрет злоумышленника: организованная группа с навыками разработки вредоносного ПО, проведения фишинговых атак, а также с глубоким знанием операционных систем и сетей
3. Выявили ключевые векторы проникновения:
- Вектор 1: преодоление периметра с помощью эксплуатации уязвимости в сервере MS Exchange
- Вектор 2: успешная фишинговая рассылка на сотрудников компании, захват учетной записи и бесконтрольное повышение прав пользователя
- Вектор 3: взлом сервиса удаленного доступа на внешнем периметре, на котором отсутствовала MFA
4. Исключили причастность сотрудников компании к инциденту
5. Сформировали детальные рекомендации по перестройке архитектуры и внедрению средств защиты
Предпосылки к реализации недопустимых событий:
· отсутствие двухфакторной аутентификации для внешних сервисов
· уязвимый почтовый сервер MS Exchange на периметре
· недостаточный контроль изменений политик безопасности
· хранение резервных копий внутри скомпрометированной инфраструктуры
· отсутствие централизованного мониторинга объемной инфраструктуры и реагирования на инциденты
Ключевые выводы, которыми хотела бы поделиться команда Simplity
Компании разные, а сценарий шифрования схожий:
· Подготовка атаки велась заранее, в данном случае больше месяца: сбор информации, оценка степени защищенности инфраструктуры, анализ уязвимостей, фишинг, изменение политик безопасности.
· День атаки – это день с минимальной вероятностью реакции со стороны ИТ жертвы. В данном случае хакерами были выбраны выходные.
· В активную фазу атака проходит быстро: захват учётных записей администраторов, создание вредоносной групповой политики, распространение вируса-шифровальщик.
ИТОГ: инфраструктура перестала функционировать.
РЕЗУЛЬТАТ
· Клиент получил детальную картину атаки и её механизмов
· Клиент убедился в отсутствии внутреннего инсайдера
· Клиент получил дорожную карту по созданию действительно безопасной ИТ-инфраструктуры и внедрению необходимых средств защиты информации