Типичный взлом. История одного клиента

20 февраля на семинаре «Лаборатории Касперского» мы разбирали типичные сценарии взлома и профилактику защиты. Не прошло и полгода, как к нам прилетел интересный случай из этой же серии, который однозначно стоит отдельной статьи.

К нам обратился клиент с уверенностью, что его организация подвергается целенаправленной атаке хакеров, которые проникают в сеть, шифруют данные и удаляют бэкапы. После подробного разбора оказалось, что на самом деле в данной ситуации сработало сочетание пары типичный взлом+ шифровальщик, которое получило распространение в прошлом году.

Методология проникновения описана здесь. Она от 2016 года, но постепенно набирает популярность.

Коротко и своими словами:

Часть 1: взлом

  1. Робот-сканер перебирает доступные адреса и порты, которые торчат наружу.
  2. Находит порт RDP (терминальный доступ).
  3. Подбирает под него пароль (а тут часто встречается пароль P@ssw0rd или ему подобный, который формально проходит под все политики сложности, но НАСТОЛЬКО ЧАСТО применяется, что в словарях перебора он на 1 месте).
  4. Проникновение в систему ✓done
  5. Заводятся теневые учетки, собираются хеши паролей и прочие развлечения злоумышленника.

Часть 2: шифровальщик по образцу Spora ransomware.

Основное отличие от других шифровальщиков – комплексный подход. Его можно даже назвать клиентоориентированным. У злоумышленников есть сайт, есть несколько уровней выкупа данных, есть даже возможность пару файлов бесплатно расшифровать – с целью доказательства того, что деньги не пропадут.
Больше всего умиляет чат моральной и технической поддержки.

Вот и вся нехитрая схема. Ребята — молодцы, подошли со всей серьезностью к делу, хоть и на темной стороне силы. Связка двух этих технологий сейчас набирает обороты, и, даже если у вас лицензионный антивирус, расслабляться не стоит.

Почему антивирус не помогает?

Потому что нужен комплекс мер:

  1. Ограничения привилегий
  2. VPN до сети организации и уже там все подключения через RDP
  3. Сложные пароли

По этой ссылке прекрасно написанная (немного шуточная) инструкция.

Рекомендации от Рубикона:

Протоколы удаленного доступа:

  • Настройка фаервола – ограничить доступ к удаленным узлам только из внутренней сети и только ограниченному количеству админов.
  • Если надо снаружи — VPN
  • Строгая политика без словарных паролей

Интерфейсы веб-серверов и SQL:

  • Посмотреть уровень привилегий пользователей (особенно служебных)
  • Строгая парольная политика
  • Ограничение доступа к СУБД и к их консолям управления снаружи
  • Если доступ необходим – фильтруем IP.

У вас происходит такая же непонятная ерунда?

Пишите нам — мы такое любим!

Не факт, что сможем сразу разобраться, но поковыряемся вместе: подключим инженеров, нагрузим техподдержку производителей и таки добьем эту заразу.

Заявки принимаем на kekin@rubicon-it.ru (в копию diana@rubicon-it.ru).

_______________________
С заботой о вас, команда «Рубикон»
8 800 555 4995
www.rubicon-it.ru
www.vk.com/rubicon_it
www.facebook.com/Rubicon.it.kirov/