Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» расследовали кибератаку на спортивную организацию. Группировка NGC8211 атаковала компанию через крупного интегратора ПО — от ее имени она внедрила в инфраструктуру жертвы бэкдор для получения доступа к серверам под видом обновления одной из лицензионных программ. В итоге хакеры смогли полностью зашифровать инфраструктуру и потребовали выкуп.

По результатам расследования эксперты Solar 4RAYS выяснили, что хакеры проникли в инфраструктуру за две недели до шифрования всех данных, используя информацию из старой утечки у крупного подрядчика — интегратора ПО — ее услугами и пользовалась спортивная организация.

Воспользовавшись утекшими данными, NGC8211 получили доступ к инфраструктуре спортивной организации и разместили в ней вредоносное ПО, которое мимикрировало под легитимную программу — так они получили доступ к серверам компании.

Неделю злоумышленники не совершали никаких действий — а затем начали активно сканировать инфраструктуру и подбирать пароли к учетным записям в ИТ-системах компании-жертвы. За 12 часов до уничтожения ИТ-систем хакеры смогли войти в сервисную учетную запись с нетипичного IP-адреса — а после этого зашифровали данные и потребовали выкуп.

Организация смогла восстановить систему из бэкапов — однако на тот момент и они уже были заражены. Solar 4RAYS расследовали кибератаку и очистили инфраструктуру от следов заражений и возможного присутствия хакеров.

Денис Чернов

эксперт Solar 4RAYS ГК «Солар»

«Маскировка вредоносного ПО под легитимное часто вводит в заблуждение системных администраторов — мы регулярно наблюдаем случаи, когда у них возникают вопросы о том, можно ли удалять подобные файлы, не навредив рабочим процессам. Данный кейс также отражает тренд на кибератаки даже небольших компаний с целью вымогательства. Поэтому мы активно призываем не только крупные, но и небольшие компании всерьез заниматься выстраиванием информационной безопасности, а в случае атаки — не вестись на предложения выкупа. Злоумышленники либо попросту не отдадут дешифратор после перевода необходимой суммы, либо оставят „закладку“ в системах, чтобы повторно зашифровать данные спустя время и потребовать выкуп снова».

Для защиты от подобных атак через подрядчиков эксперты Solar 4RAYS рекомендуют организациям:

  • Регулярно проводить инвентаризацию доступов внешних подрядчиков в инфраструктуру;
  • Не пренебрегать сегментацией инфраструктуры, эта мера существенно затрудняет продвижение атакующих;
  • При подозрении на атаку не медлить с обращением к экспертам по реагированию на ИБ-инциденты.

Также специалисты Solar 4RAYS опубликовали индикаторы компрометации по этой атаке. С полным расследованием кибератаки можно ознакомиться по ссылке.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Узнать больше
УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

Узнать больше
Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Узнать больше
«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше