Вернуться

Необратимое шифрование инфраструктуры сети торговых центров

1 месяц

займет полное восстановление инфраструктуры

Проблема

Большинство компаний продолжают жить с иллюзией, что «такое случается с кем угодно, но не с нами». При этом недооценивается необходимость простых, но эффективных мер ИБ:

- защита почтовых серверов

- регулярный аудит ИБ (ссылка)

- сегментация инфраструктуры

- применение MFA для удалённого доступа и критических сервисов

Особенность

Инфраструктура компании клиента представляет собой сочетание:

корпоративного ядра (офисные сервисы, ЦОД, системы аналитики, отчетности и планирования, системы удаленного доступа и т.д.)
торговых узлов (POS-системы, управление складом, базы учета товара, видеонаблюдение, Wi-Fi сети для сотрудников и клиентов и многое другое)
онлайн-сервисов (онлайн-магазин и приложение, платёжные шлюзы и интеграции с банками)

Настолько комплексная инфраструктура в любой компании требует многоуровневой продуманной защиты.

Запрос

Провести расследование компьютерного инцидента, в результате которого была зашифрована вся ИТ- инфраструктура
Исходные данные, с чем обратился клиент: ресурсы компании были частично уничтожены - подверглись необратимому шифрованию.

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

С чем обратился клиент: злоумышленники провели спланированную атаку, результатом которой стало полное шифрование IT-инфраструктуры.

Под удар попали:

- все виртуальные серверы (HR-системы, базы данных по товарообороту и аналитики по ним, файловых хранилищ и почтовых серверов)

- физическая серверная инфраструктура (базы данных 1С, SQL-базы товарного хозяйства и прочие базы данных, необходимые для работы офиса и торговых центров),

- системы резервного копирования были так же скомпрометированы и подверглись действию программы-шифровальщика

Восстановили хронологию атаки поэтапно — от разведки до финального шифрования
Установили портрет злоумышленника: организованная группа с навыками разработки вредоносного ПО, проведения фишинговых атак, а также с глубоким знанием операционных систем и сетей
Выявили ключевые векторы проникновения:
Вектор 1: взлом периметра сети с помоВектор 1: преодоление периметра с помощью эксплуатации уязвимости в сервере MS Exchangeщью эксплуатации уязвимости в опубликованных на периметре компании RDP-серверах
Вектор 2: успешная фишинговая рассылка на сотрудников компании, захват учетной записи и бесконтрольное повышение прав пользователя
Вектор 3: взлом сервиса удаленного доступа на внешнем периметре, на котором отсутствовала MFA
Исключили причастность сотрудников компании к инциденту
Сформировали детальные рекомендации по перестройке архитектуры и внедрению средств защиты

Команда расследования выявила предпосылки к реализации недопустимых событий:

отсутствие двухфакторной аутентификации для внешних сервисов
уязвимый почтовый сервер MS Exchange на периметре
недостаточный контроль изменений политик безопасности
хранение резервных копий внутри скомпрометированной инфраструктуры
отсутствие централизованного мониторинга объемной инфраструктуры и реагирования на инциденты

Ключевые выводы, которыми хотела бы поделиться команда Simplity

Компании разные, а сценарий шифрования схожий:

Подготовка атаки велась заранее, в данном случае больше месяца: сбор информации, оценка степени защищенности инфраструктуры, анализ уязвимостей, фишинг, изменение политик безопасности.
День атаки – это день с минимальной вероятностью реакции со стороны ИТ жертвы. В данном случае хакерами были выбраны выходные.
В активную фазу атака проходит быстро: захват учётных записей администраторов, создание вредоносной групповой политики, распространение вируса-шифровальщик.
Итог: инфраструктура перестала функционировать.

Результат

Клиент получил детальную картину атаки и её механизмов
Клиент убедился в отсутствии внутреннего инсайдера
Клиент получил дорожную карту по созданию действительно безопасной ИТ-инфраструктуры и внедрению необходимых средств защиты информации

Сотрудничать
с Simplity