Специалисты центра анализа киберугроз Solar 4Rays, входящего в ГК «Солар», завершили расследование хакерской атаки на спортивную организацию. Злоумышленники из группировки NGC8211 проникли в сеть жертвы через крупного интегратора программного обеспечения: от его лица они внедрили в инфраструктуру бэкдор, замаскированный под обновление лицензионного софта, что позволило получить контроль над серверами. В результате хакеры полностью зашифровали данные и потребовали выкуп. Об этом CNews сообщил представитель ГК «Солар».
В ходе расследования эксперты Solar 4Rays установили, что атакующие проникли в инфраструктуру за две недели до шифрования, используя данные, полученные из старой утечки у крупного подрядчика — того самого интегратора ПО, услугами которого пользовалась спортивная организация.
Опираясь на утекшую информацию, NGC8211 получили доступ к инфраструктуре спортивной организации и установили вредоносное ПО, которое маскировалось под легитимное приложение. Таким образом они завладели доступом к серверам компании.
В течение недели злоумышленники не проявляли активности — затем они приступили к активному сканированию сети и подбору паролей к учетным записям в ИТ-системах компании-жертвы. За 12 часов до уничтожения ИТ-систем хакеры вошли в сервисную учетную запись с нестандартного IP-адреса, после чего зашифровали данные и потребовали выкуп.
Организация попыталась восстановить систему из резервных копий, однако к тому моменту они уже были заражены. Solar 4Rays провел расследование кибератаки и очистил инфраструктуру от следов вредоносного ПО и возможного присутствия хакеров.
«Маскировка вредоносного ПО под легитимное часто вводит в заблуждение системных администраторов — мы регулярно сталкиваемся с ситуациями, когда они сомневаются, можно ли удалять такие файлы без ущерба для рабочих процессов. Этот случай также подтверждает тенденцию к кибератакам даже на небольшие компании с целью вымогательства. Поэтому мы настоятельно рекомендуем не только крупным, но и малым предприятиям серьезно подходить к построению информационной безопасности, а в случае атаки — не поддаваться на требования выкупа. Злоумышленники либо не предоставят дешифратор после перевода суммы, либо оставят скрытый доступ в системах, чтобы повторно зашифровать данные спустя время и снова потребовать выкуп», — отметил Денис Чернов, эксперт Solar 4Rays ГК «Солар».
Для защиты от подобных атак через подрядчиков эксперты Solar 4Rays советуют организациям: регулярно проверять и обновлять список доступов внешних подрядчиков к инфраструктуре; не игнорировать сегментацию сети, так как это значительно усложняет продвижение атакующих; при малейших подозрениях на атаку незамедлительно обращаться к специалистам по реагированию на инциденты ИБ.
Кроме того, эксперты Solar 4Rays опубликовали индикаторы компрометации, связанные с данной атакой.
