Только расследование, проводимое внутри СДЭК, может показать реальную картину того, как произошёл недавний инцидент. Однако, основываясь на опубликованных в интернете скриншотах и логике кибербезопасности, можно сделать определённые предположения по поводу того, как этот взлом был осуществлён, считает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

По всей видимости, злоумышленники воспользовались дырой в удалённом доступе, предположил он. Это мог быть слабый пароль, уязвимость в VPN-устройстве или кража админских данных. Дальше, если учётная запись администратора позволяла, было произведено горизонтальное перемещение по системе и запуск шифровальщика. Возможно, что перед этим взломщики выполнили операцию повышения привилегий.

«Скорее всего, хакеры ещё просканировали всю сеть и могли получить доступ к контроллеру домена. Судя по скриншотам, система резервного копирования работает под управлением ОС Windows. Второй скриншот, видимо, принадлежит рабочему столу одного из администраторов системы. Если ОС регулярно не обновлялись, то запуск шифровальщика был просто делом времени. Имея права уровня администратора хотя бы на одном из серверов, уже можно сделать многое. А если была взломана учётная запись уровня администратора домена, то тогда всё могло пройти ещё быстрее», — поделился наблюдениями Овчинников. 

Также, судя по всему, хакеры достаточно быстро прошли ДМЗ-зону, вломились внутрь сети и очень быстро определили, где находится сервер резервного копирования, подключились к нему и успели сделать скриншоты. Тут уже вопрос к тому, какие сетевые анализаторы использовались и использовались ли они вообще, заметил эксперт.

«Конечно, вторым вариантом проведения такого рода атаки могла быть фишинговая атака на системного администратора, но мне кажется, что на неё сумели бы быстро среагировать и не допустить подобных последствий», — считает представитель «Газинформсервиса».

По его мнению, в целом ничего удивительного тут нет: для многих коммерческих компаний подобный поверхностный подход к защите информации является скорее нормальной практикой. Администраторы любят оставлять себе возможность удалённого подключения для быстрого решения проблемы из дома, при этом в компаниях часто пренебрегают минимизацией назначаемых прав и разграничением доступа.

«В целом, можно сделать много предположений, однако, лучше всего дождаться завершения расследования и посмотреть, насколько данная версия будет соответствовать реальному положению», — резюмировал Дмитрий Овчинников.

5 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом
02.07.2026
Open Standard готовит к выпуску долларовый стейблкоин
02.07.2026
Российские регуляторы грозят Apple судом
01.07.2026
«Законодательная инициатива» от Anonymous: BorderAge вместо указания возраста
01.07.2026
Зачем ещё нужна база IMEI в России
01.07.2026
«Эта работа не доказывает, что ИИ повсеместно создаёт рабочие места»
01.07.2026
Анонсирована флагманская LLM Sol с ограниченным доступом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных