Только расследование, проводимое внутри СДЭК, может показать реальную картину того, как произошёл недавний инцидент. Однако, основываясь на опубликованных в интернете скриншотах и логике кибербезопасности, можно сделать определённые предположения по поводу того, как этот взлом был осуществлён, считает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

По всей видимости, злоумышленники воспользовались дырой в удалённом доступе, предположил он. Это мог быть слабый пароль, уязвимость в VPN-устройстве или кража админских данных. Дальше, если учётная запись администратора позволяла, было произведено горизонтальное перемещение по системе и запуск шифровальщика. Возможно, что перед этим взломщики выполнили операцию повышения привилегий.

«Скорее всего, хакеры ещё просканировали всю сеть и могли получить доступ к контроллеру домена. Судя по скриншотам, система резервного копирования работает под управлением ОС Windows. Второй скриншот, видимо, принадлежит рабочему столу одного из администраторов системы. Если ОС регулярно не обновлялись, то запуск шифровальщика был просто делом времени. Имея права уровня администратора хотя бы на одном из серверов, уже можно сделать многое. А если была взломана учётная запись уровня администратора домена, то тогда всё могло пройти ещё быстрее», — поделился наблюдениями Овчинников. 

Также, судя по всему, хакеры достаточно быстро прошли ДМЗ-зону, вломились внутрь сети и очень быстро определили, где находится сервер резервного копирования, подключились к нему и успели сделать скриншоты. Тут уже вопрос к тому, какие сетевые анализаторы использовались и использовались ли они вообще, заметил эксперт.

«Конечно, вторым вариантом проведения такого рода атаки могла быть фишинговая атака на системного администратора, но мне кажется, что на неё сумели бы быстро среагировать и не допустить подобных последствий», — считает представитель «Газинформсервиса».

По его мнению, в целом ничего удивительного тут нет: для многих коммерческих компаний подобный поверхностный подход к защите информации является скорее нормальной практикой. Администраторы любят оставлять себе возможность удалённого подключения для быстрого решения проблемы из дома, при этом в компаниях часто пренебрегают минимизацией назначаемых прав и разграничением доступа.

«В целом, можно сделать много предположений, однако, лучше всего дождаться завершения расследования и посмотреть, насколько данная версия будет соответствовать реальному положению», — резюмировал Дмитрий Овчинников.

5 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных