Только расследование, проводимое внутри СДЭК, может показать реальную картину того, как произошёл недавний инцидент. Однако, основываясь на опубликованных в интернете скриншотах и логике кибербезопасности, можно сделать определённые предположения по поводу того, как этот взлом был осуществлён, считает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

По всей видимости, злоумышленники воспользовались дырой в удалённом доступе, предположил он. Это мог быть слабый пароль, уязвимость в VPN-устройстве или кража админских данных. Дальше, если учётная запись администратора позволяла, было произведено горизонтальное перемещение по системе и запуск шифровальщика. Возможно, что перед этим взломщики выполнили операцию повышения привилегий.

«Скорее всего, хакеры ещё просканировали всю сеть и могли получить доступ к контроллеру домена. Судя по скриншотам, система резервного копирования работает под управлением ОС Windows. Второй скриншот, видимо, принадлежит рабочему столу одного из администраторов системы. Если ОС регулярно не обновлялись, то запуск шифровальщика был просто делом времени. Имея права уровня администратора хотя бы на одном из серверов, уже можно сделать многое. А если была взломана учётная запись уровня администратора домена, то тогда всё могло пройти ещё быстрее», — поделился наблюдениями Овчинников. 

Также, судя по всему, хакеры достаточно быстро прошли ДМЗ-зону, вломились внутрь сети и очень быстро определили, где находится сервер резервного копирования, подключились к нему и успели сделать скриншоты. Тут уже вопрос к тому, какие сетевые анализаторы использовались и использовались ли они вообще, заметил эксперт.

«Конечно, вторым вариантом проведения такого рода атаки могла быть фишинговая атака на системного администратора, но мне кажется, что на неё сумели бы быстро среагировать и не допустить подобных последствий», — считает представитель «Газинформсервиса».

По его мнению, в целом ничего удивительного тут нет: для многих коммерческих компаний подобный поверхностный подход к защите информации является скорее нормальной практикой. Администраторы любят оставлять себе возможность удалённого подключения для быстрого решения проблемы из дома, при этом в компаниях часто пренебрегают минимизацией назначаемых прав и разграничением доступа.

«В целом, можно сделать много предположений, однако, лучше всего дождаться завершения расследования и посмотреть, насколько данная версия будет соответствовать реальному положению», — резюмировал Дмитрий Овчинников.

5 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.09.2024
Будет ли PKI применяться для защиты цифрового рубля?
19.09.2024
Что означает продвижение трансграничного пространства доверия в международном контексте
19.09.2024
ЭП лишь на четвёртом месте в списке мест приложения ключевых носителей
19.09.2024
Государственные информсистемы — это огромный пласт работы для всей отрасли PKI
18.09.2024
90-е убивают. Кибератака привела к подрыву владельцев пейджеров
18.09.2024
«Доктор Веб» сам отправился лечиться. Выпуск вирусных баз приостановлен
18.09.2024
«Бюро 1440» раздаст всем россиянам доступ к мемам из космоса
18.09.2024
Белорусов обязали продавать и покупать криптовалюту «от земли»
17.09.2024
Ответственность за утечку ПДн готовятся обсудить во втором чтении
17.09.2024
В Санкт-Петербурге вручили дипломы победителям в ежегодных номинациях «PKI-Форума» за 2024 год

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных