Только расследование, проводимое внутри СДЭК, может показать реальную картину того, как произошёл недавний инцидент. Однако, основываясь на опубликованных в интернете скриншотах и логике кибербезопасности, можно сделать определённые предположения по поводу того, как этот взлом был осуществлён, считает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

По всей видимости, злоумышленники воспользовались дырой в удалённом доступе, предположил он. Это мог быть слабый пароль, уязвимость в VPN-устройстве или кража админских данных. Дальше, если учётная запись администратора позволяла, было произведено горизонтальное перемещение по системе и запуск шифровальщика. Возможно, что перед этим взломщики выполнили операцию повышения привилегий.

«Скорее всего, хакеры ещё просканировали всю сеть и могли получить доступ к контроллеру домена. Судя по скриншотам, система резервного копирования работает под управлением ОС Windows. Второй скриншот, видимо, принадлежит рабочему столу одного из администраторов системы. Если ОС регулярно не обновлялись, то запуск шифровальщика был просто делом времени. Имея права уровня администратора хотя бы на одном из серверов, уже можно сделать многое. А если была взломана учётная запись уровня администратора домена, то тогда всё могло пройти ещё быстрее», — поделился наблюдениями Овчинников. 

Также, судя по всему, хакеры достаточно быстро прошли ДМЗ-зону, вломились внутрь сети и очень быстро определили, где находится сервер резервного копирования, подключились к нему и успели сделать скриншоты. Тут уже вопрос к тому, какие сетевые анализаторы использовались и использовались ли они вообще, заметил эксперт.

«Конечно, вторым вариантом проведения такого рода атаки могла быть фишинговая атака на системного администратора, но мне кажется, что на неё сумели бы быстро среагировать и не допустить подобных последствий», — считает представитель «Газинформсервиса».

По его мнению, в целом ничего удивительного тут нет: для многих коммерческих компаний подобный поверхностный подход к защите информации является скорее нормальной практикой. Администраторы любят оставлять себе возможность удалённого подключения для быстрого решения проблемы из дома, при этом в компаниях часто пренебрегают минимизацией назначаемых прав и разграничением доступа.

«В целом, можно сделать много предположений, однако, лучше всего дождаться завершения расследования и посмотреть, насколько данная версия будет соответствовать реальному положению», — резюмировал Дмитрий Овчинников.

5 июня, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.02.2025
Минцифры выдаст гражданам «тревожные кнопки»
06.02.2025
71% компаний актуализирует свои ИБ-навыки на профессиональных конференциях и вебинарах
06.02.2025
Россия и Китай сплетут нейросеть
06.02.2025
Curator: Россия, США и Бразилия — главные страны-источники DDoS-атак
06.02.2025
Новые телеком-правила подняли стоимость угнанных Telegram-аккаунтов
05.02.2025
«Все хорошие безопасники уже заняты работой, а из вузов выходят только сырые кадры»
05.02.2025
«Сбер» — о «раздолжнителях» и «магической помощи против кредиторов»
05.02.2025
Обновлённый FlowCollector проведёт моментальный и ретроспективный анализ сетевого трафика
05.02.2025
Wallarm: По мере внедрения ИИ нужно внедрять и проактивные API-контроли
05.02.2025
Минэнерго требует обосновать майнинг

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных