«ОБИТ» предупреждает о возрастающем риске атак с использованием шифровальщиков

В одном из последних инцидентов «ОБИТ» зафиксировал подозрительную активность на одном из серверов компании, которая привела к полному шифрованию всех виртуальных машин на базе Windows, потере доступа к инфраструктуре компании и приостановку работы корпоративных сервисов. 

Специалисты «ОБИТ» оперативно выявили процесс шифрования. Для минимизации ущерба и восстановления доступа к данным были приняты следующие меры: в короткие сроки был согласован алгоритм действий для переноса данных 1С БД на виртуальные машины под управлением Linux, для снижения рисков были отключены VPN-туннели и интернет-каналы, что позволило ограничить связь злоумышленников с инфраструктурой и предотвратить дальнейшее распространение угрозы. Для сохранения данных была создана резервная копия серверов, а восстановление данных из бэкапа проводилось без сетевого доступа для исключения риска повторного заражения вирусом. Обязательным этапом был разработан план проверки рабочих станций, включающий отключение всех сетевых портов. В результате этих мер, все ключевые сервисы были восстановлены к утру следующего за инцидентом дня, что позволило компании оперативно возобновить свою деятельность.

Резервное копирование является обязательной мерой для организаций любого уровня. Использование независимой площадки для хранения резервных копий позволит минимизировать потери данных. Локальные данные, для которых не был настроен инструмент резервного копирования, во время инцидента были утеряны, что подчеркивает важность регулярного бэкапа и соблюдения рекомендаций по информационной безопасности. За несколько месяцев до инцидента ИБ-специалисты «ОБИТ» предоставили соответствующие рекомендации пострадавшей компании, которые, к сожалению, не были реализованы в полном объеме.

«ОБИТ» рекомендует принять следующие меры для предотвращения атак с использованием шифровальщиков: провести аудит информационной безопасности для выявления возможных уязвимостей и утечек данных, усилить меры безопасности, включая внедрение двухфакторной аутентификации, регулярные обновления программного обеспечения и использование SIEM-системы для мониторинга и оперативного выявления угроз. Также следует обеспечить «гигиенический минимум» в части защиты инфраструктуры, включая антивирусные решения и межсетевые экраны нового поколения (NGFW). Регулярное создание резервных копий данных и их хранение на независимых площадках поможет снизить риски утраты информации.

«Атаки с использованием шифровальщиков представляют собой реальный вызов для устойчивости бизнеса. Чтобы минимизировать риски, важно не ждать, когда проблема станет реальностью, а действовать на опережение, внедрять комплексные меры защиты и обеспечить оперативное реагирование на подобные угрозы с помощью надежного партнера», — отмечает Кирилл Тимофеев, руководитель департамента информационных технологий «ОБИТ».