Типичный взлом. История одного клиента

by Опубликовано

Не так давно мы разбирали типичные сценарии взлома и профилактику защиты. Не прошло и полгода, как к нам прилетел интересный случай из этой же серии, который однозначно стоит отдельной статьи.

К нам обратился клиент с уверенностью, что его организация подвергается целенаправленной атаке хакеров, которые проникают в сеть, шифруют данные и удаляют бэкапы. После подробного разбора оказалось, что на самом деле в данной ситуации сработало сочетание пары типичный взлом+ шифровальщик.

Методология проникновения описана здесь. Она аж от 2016 года, но как видите, годы идут, а защита лучше не становится. По-прежнему находятся неверующие и ничего не делающие.

Коротко и своими словами:

Часть 1: взлом

  1. Робот-сканер перебирает доступные адреса и порты, которые торчат наружу.
  2. Находит порт RDP (терминальный доступ).
  3. Подбирает под него пароль (а тут часто встречается пароль P@ssw0rd или ему подобный, который формально проходит под все политики сложности, но НАСТОЛЬКО ЧАСТО применяется, что в словарях перебора он на 1 месте).
  4. Проникновение в систему ✓done
  5. Заводятся теневые учетки, собираются хеши паролей и прочие развлечения злоумышленника.

Часть 2: шифровальщик по образцу Crusis (Dharma).

Основное отличие от других шифровальщиков – комплексный подход. Его можно даже назвать клиентоориентированным. У злоумышленников есть сайт, есть несколько уровней выкупа данных, есть даже возможность пару файлов бесплатно расшифровать – с целью доказательства того, что деньги не пропадут.
Больше всего умиляет чат моральной и технической поддержки.

Вот и вся нехитрая схема. Связка двух этих технологий давно зарекомендовала себя на рынке и автоматизировано везде, где только можно и поставлена на масштабную работу, и, даже если у вас лицензионный антивирус, расслабляться не стоит.

Почему антивирус не помогает?

Потому что нужен комплекс мер:

  1. Ограничения привилегий
  2. VPN до сети организации и уже там все подключения через RDP
  3. Сложные пароли
  4. Беседы с пользователями, куда ходить не стоит

Рекомендации от Рубикона:

Протоколы удаленного доступа:

  • Настройка фаервола – ограничить доступ к удаленным узлам только из внутренней сети и только ограниченному количеству админов.
  • Если надо снаружи — VPN
  • Строгая политика без словарных паролей

Интерфейсы веб-серверов и SQL:

  • Посмотреть уровень привилегий пользователей (особенно служебных)
  • Строгая парольная политика
  • Ограничение доступа к СУБД и к их консолям управления снаружи
  • Если доступ необходим – фильтруем IP.

У вас происходит такая же непонятная ерунда?

Пишите нам — мы такое любим!

Не факт, что сможем сразу разобраться, но поковыряемся вместе: подключим инженеров, нагрузим техподдержку производителей и таки добьем эту заразу.

Заявки принимаем на kekin@rubicon-it.ru (в копию diana@rubicon-it.ru).

_______________________
С заботой о вас, команда «Рубикон»

✓ сообщения ВК/FB
soft@rubicon-it.ru
✓ WhatsApp +78332760750
✓ Telegram @Rubicon_it_bot
✓ +7 (8332) 760-750

Опубликовано Администратор