Вернуться

Расследование кибератаки на крупную торговую сеть

1 месяц

злоумышленники оставались в сети незамеченными

Проблема

Большинство компаний не выделяют бюджет на информационную безопасность в нужном объеме и заблаговременно, несмотря на многочисленные нашумевшие примеры успешных кибератак на бизнес разного размера.

Основные мифы: мнимое отсутствие интереса хакеров к конкретному бизнесу и высокая стоимость вложений в ИБ.

Особенность

Компания клиента является крупным дистрибьютором на рынке HoReCa, которой также принадлежит сеть офлайн-магазинов и онлайн витрина.

Запрос

Провести расследование компьютерного инцидента
Исходные данные, с чем обратился клиент: ресурсы компании были частично уничтожены - подверглись необратимому шифрованию.

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

Что означает шифрование на практике?

Частично были зашифрованы виртуальные сервера единого кластера, включающие системы кадрового учета, баз данных по товарообороту и аналитики по ним, файловых хранилищ. Также атаке подверглась часть физической серверной инфраструктуры: базы данных 1С и прочие базы данных, необходимые для функционирования торговых площадок и центрального офиса. Системы резервного копирования были так же скомпрометированы и подверглись действию программы-шифровальщика.

Итак, рассмотрим расследование по шагам:

Специалисты по расследованию инцидентов восстановили хронологию событий
Установили портрет злоумышленника – им оказался внешний нарушитель с навыками разработки ВПО, проведения таргетированного фишинга и знанием ОС и сетей, действующий в группе
Установили наиболее вероятные векторы атаки:
Вектор 1: взлом периметра сети с помощью эксплуатации уязвимости в опубликованных на периметре компании RDP-серверах
Вектор 2: использование учетных данных сотрудника компании, полученных путем фишинговой рассылки
Выработали рекомендации с целью недопущения повторения действий злоумышленников

Классический сценарий

В данном случае мы видим классический сценарий кибератаки на достаточно крупную жертву.

Закрепление и подготовка к атаке началась заранее. Примерно за месяц злоумышленниками была проведена успешная фишинговая рассылка, добыты учетные данные, а на периметре выявлены незакрытые уязвимости.
Активная фаза атаки проходила в выходной день – раним утром, когда ИТ службы жертвы не смогли бы среагировать в силу их рабочего графика и отсутствия на рабочем месте.
Атака была завершена к началу рабочей недели - инфраструктура клиента была зашифрована на 70%, т.е. работа компании была практически парализована.

Предпосылки кибератаки

Команда форензиков выявила предпосылки к реализации недопустимых событий:

Отсутствие подразделения ИБ, средств мониторинга безопасности и предотвращения вторжений
Устаревшие версии антивирусной защиты с неполным покрытием всех хостов в сети
Нахождение антивирусной защиты в доменной авторизации
Нахождение серверов бэкапа внутри инфраструктуры и подключение к доменной авторизации
Недостаточная сегментация сети клиента
Отсутствие средств защиты на периметре, например, NGFW
Использование устаревших средств удалённого доступа на периметре, например, удаленное подключение к рабочему месту без MFA
Отсутствие достаточной для защиты парольной политики
Слабо настроенная доменная политика, позволяющая проводить атаки на привилегированные учётные записи, а именно использование устаревших протоколов, отсутствие контроля изменений прав пользователей и администраторов
Отсутствие контроля за запуском приложений в инфраструктуре

Результат

Клиент получил полную картину инцидента – узнал ключевые точки входа в сеть, предпосылки, ошибки в организации ИБ в компании
Клиент получил пошаговый план предотвращения киберинцидентов на будущее, куда включены эффективные решения по оптимальной стоимости

Сотрудничать
с Simplity