Разбираем пример тщательно спланированной и скрытой подготовки злоумышленников, которая завершилась масштабным шифрованием данных и парализацией бизнес-процессов.
Многие компании продолжают рассматривать информационную безопасность как избыточные расходы, откладывая внедрение защитных мер «на потом». Однако практика показывает, что стоимость даже комплексной защиты в разы ниже ущерба от успешной атаки:
- простой бизнеса – в данном случае потери составили сотни миллионов рублей
- потеря данных
- репутационные риски
- последующее восстановление
Недооценка угроз приводит к тому, что компании платят не за предотвращение, а за последствия.
ОСОБЕННОСТЬ ЖЕРТВЫ:
Инфраструктура клиента обширна и включает в себя два предприятия, в т.ч. изолированный технологический сегмент АСУ ТП, а также головной офис.
ЗАПРОС:
Провести расследование масштабного компьютерного инцидента.
Исходная ситуация: злоумышленники зашифровали ключевые элементы инфраструктуры, отвечающие за документооборот, складскую логистику и коммерческие процессы. Под удар попали также системы резервного копирования и файловые серверы.
ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:
1. Восстановили хронологию событий – подготовка атаки заняла около 1 недели. Активная фаза пришлась на ночное время, когда к распространению вируса-шифровальщика уже все было готово
2. Определили профиль злоумышленников – внешняя организованная группа с навыками разработки вредоносного ПО, таргетированного фишинга и эксплуатации уязвимостей
3. Определили инструментарий - готовые фреймворки и инструменты атак, позволяющие действовать скрытно и системно
4. Определили основные векторы атаки:
- Вектор 1: фишинговая рассылка для кражи учётных данных сотрудников
- Вектор 2: взлом терминального сервера с использованием уязвимостей RDP и дальнейшее горизонтальное перемещение
- Вектор 3: кража учётных данных через внедрение в системные процессы Windows и маскировка BlackBit под легитимный процесс
5. Установили ключевые ошибки в организации ИБ, которые сделали атаку возможной
6. Провели оценку ущерба
7. Установили сроки и стоимость восстановления инфраструктуры, сформировали план изменений ИТ-инфраструктуры и внедрения СЗИ
Ключевые предпосылки к кибератаке, которые выявила команда Simplity
· Отсутствие современных средств защиты на периметре (NGFW, MFA).
· Недостаточный контроль за учётными данными и доменной политикой.
· Отсутствие сегментации сети.
· Размещение резервных копий внутри основной инфраструктуры.
· Устаревшие механизмы защиты и мониторинга.
РЕЗУЛЬТАТ
Клиент получил полную картину инцидента: точки входа, сценарий атаки, методы злоумышленников.
На руках у клиента – подробный план восстановления инфраструктуры, уровень безопасности которой позволит минимизировать риск кибератаки в будущем
