Кейс 1. Шифровальщики
Сюжет, достойный экранизации, случился на одном производственном предприятии. Компания решила протестировать один из своих сервисов и для этого, с помощью IT-отдела, они установили сервисную операционную систему с расширенным доступом к нему для подрядчика. Для удобства подключили дополнительно сервис удаленного рабочего стола.
Поскольку сервер был тестовый никто не позаботился установить защитный доступ к нему. Весь сюжет как раз и начинается на этом моменте. В дополнении ко всему, развернули дистрибутив – установочный комплект, который был годичной давности.
Сервис тестировали в течение двух недель. По завершению этапа, тестировщики, забыли передать информацию в IT-отдел, а сервер так и остался включенный работать.
Шли месяцы и вскоре до сервера добрались руки, точнее сканер мошенников.
Работали аферисты профессионально. Несмотря на то, что IT-специалисты компании поменяли порт подключения к серверу, мошенникам удалось попасть на сервер с административными правами. Нашли уязвимость и воспользовались ей.
Аферисты орудовали на сервере вольготно. За два месяца изучили детальную информацию, которая была доступна в сети предприятия. Мошенники обнаружили, что сетевые настройки позволяют им поднять прокси сервер и перехватывать траффик в сети. Так они получили доступ к учетной записи администратора домена, который использовался в том числе и для администрирования других серверов.
Впоследствии, аферисты получили доступ к контроллеру домена и следом с него до всех серверов организации - выявили сервера баз данных, файловые сервера, сервера на которые производилось резервное копирование.
Кульминацией сюжета стала ночная атака преступников. Они удалили все резервные копии, зашифровали сервера баз данных, файловые сервера, сервера приложений, сменили учетные данные на домене тем самым оставив компанию без доступа к IT инфраструктуре. Не пострадал только производственный сегмент, доступ к которому за время нахождения в инфраструктуре не запрашивался.
Поскольку сервер был тестовый никто не позаботился установить защитный доступ к нему. Весь сюжет как раз и начинается на этом моменте. В дополнении ко всему, развернули дистрибутив – установочный комплект, который был годичной давности.
Сервис тестировали в течение двух недель. По завершению этапа, тестировщики, забыли передать информацию в IT-отдел, а сервер так и остался включенный работать.
Шли месяцы и вскоре до сервера добрались руки, точнее сканер мошенников.
Работали аферисты профессионально. Несмотря на то, что IT-специалисты компании поменяли порт подключения к серверу, мошенникам удалось попасть на сервер с административными правами. Нашли уязвимость и воспользовались ей.
Аферисты орудовали на сервере вольготно. За два месяца изучили детальную информацию, которая была доступна в сети предприятия. Мошенники обнаружили, что сетевые настройки позволяют им поднять прокси сервер и перехватывать траффик в сети. Так они получили доступ к учетной записи администратора домена, который использовался в том числе и для администрирования других серверов.
Впоследствии, аферисты получили доступ к контроллеру домена и следом с него до всех серверов организации - выявили сервера баз данных, файловые сервера, сервера на которые производилось резервное копирование.
Кульминацией сюжета стала ночная атака преступников. Они удалили все резервные копии, зашифровали сервера баз данных, файловые сервера, сервера приложений, сменили учетные данные на домене тем самым оставив компанию без доступа к IT инфраструктуре. Не пострадал только производственный сегмент, доступ к которому за время нахождения в инфраструктуре не запрашивался.
Итогом мошеннической атаки стала полная остановка предприятия на 5 рабочих дней.
На восстановление бухгалтерского учета, для подготовки отчетности ушло 3 рабочих недели. Переписка с клиентами и контрагентами по электронной почте была утеряна безвозвратно. К полноценной работе предприятие смогло вернутся только через 1,5 месяца. При этом только на внесение документов в учетные системы пришлось дополнительно нанять 4-х человек которые будут работать в течение полугода чтобы восстановить учет за год. За расшифрование информации мошенники потребовали 5 биткоинов.
Помните – проще учиться на чужих ошибках!
Закажите аудит предприятия сейчас!
Закажите аудит предприятия сейчас!
Следующий кейс
Оставьте заявку
и наши специалисты проконсультируют Вас
и наши специалисты проконсультируют Вас
Как избежать рисков остановки бизнеса
