Вернуться

Месяц простоя: последствия атаки шифровальщика BlackBit на инфраструктуру компании

15 млн

рублей потребуется для первоначального восстановления инфраструктуры

Проблема

Многие компании продолжают рассматривать информационную безопасность как избыточные расходы, откладывая внедрение защитных мер «на потом». Однако практика показывает, что стоимость даже комплексной защиты в разы ниже ущерба от успешной атаки:

- простой бизнеса – в данном случае потери составиои сотни миллионов рублей

- потеря данных

- репутационные риски

- последующее восстановление

Недооценка угроз приводит к тому, что компании платят не за предотвращение, а за последствия.

Особенность

Инфраструктура клиента обширна и включает в себя два предприятия, в т.ч. изолированный технологический сегмент АСУ ТП, а также головной офис.

Запрос

Провести расследование масштабного компьютерного инцидента

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

Исходная ситуация: злоумышленники зашифровали ключевые элементы инфраструктуры, отвечающие за документооборот, складскую логистику и коммерческие процессы. Под удар попали также системы резервного копирования и файловые серверы.

Восстановили хронологию событий – подготовка атаки заняла около 1 недели. Активная фаза пришлась на ночное время, когда к распространению вируса-шифровальщика уже все было готово
Определили профиль злоумышленников – внешняя организованная группа с навыками разработки вредоносного ПО, таргетированного фишинга и эксплуатации уязвимостей
Определили инструментарий - готовые фреймворки и инструменты атак, позволяющие действовать скрытно и системно
Определили основные векторы атаки:
Вектор 1: фишинговая рассылка для кражи учётных данных сотрудников
Вектор 2: взлом терминального сервера с использованием уязвимостей RDP и дальнейшее горизонтальное перемещение
Вектор 3: кража учётных данных через внедрение в системные процессы Windows и маскировка BlackBit под легитимный процесс
Установили ключевые ошибки в организации ИБ, которые сделали атаку возможной
Провели оценку ущерба
Установили сроки и стоимость восстановления инфраструктуры, сформировали план изменений ИТ-инфраструктуры и внедрения СЗИ

Ключевые предпосылки к кибератаке, которые выявила команда Simplity:

Отсутствие современных средств защиты на периметре (NGFW, MFA).
Недостаточный контроль за учётными данными и доменной политикой.
Отсутствие сегментации сети.
Размещение резервных копий внутри основной инфраструктуры.
Устаревшие механизмы защиты и мониторинга.

Результат

Клиент получил полную картину инцидента: точки входа, сценарий атаки, методы злоумышленников.
На руках у клиента – подробный план восстановления инфраструктуры, уровень безопасности которой позволит минимизировать риск кибератаки в будущем

Сотрудничать
с Simplity