Реальные примеры хакерских атак на московские компании

В «ZEL-Услуги» мы держим оборудование клиентов в состоянии постоянной боевой готовности к разного рода техническим проблемам. Обычно по результатам первичной диагностики вносятся исправления и доработки, которых достаточно для долгосрочного стабильного существования ИТ-инфраструктуры без инцидентов.

Признаться, за 12-летнюю историю техподдержки «ZEL-Услуги» не было ни одного случая серьёзной хакерской атаки.

Пришлось использовать силу коллективного разума сотрудников, чтобы вспомнить любые примеры хакерских атак на наших клиентов. Все ситуации произошли в реальной жизни. Не были к ним готовы по двум причинам — либо уязвимое оборудование не числилось на обслуживании, либо кто-то из пользователей попадался на фишинговые уловки.

Мы проповедуем принцип, что если где-то на что-то нарываемся сами или просто читаем о проблеме в интернете, то анализируем конфигурации «подключённых» клиентов на предмет устойчивости. Если проблема угрожает оборудованию, которое числится на обслуживании в «ZEL-Услуги», то принимаем меры: закрываем дыры, делаем рекомендации по обновлению или апгрейду, согласовываем с заказчиком дальнейшие шаги.

1. Первая атака. У клиента взломали роутер — что делать?

   И вот мы столкнулись с ситуацией — у нашего заказчика неизвестные хакеры взломали роутер, что делать? На объекте установлено оборудование Mikrotik (подробнее о нём).

   Много лет назад по просьбе клиента настроили эти роутеры и больше к ним не возвращались. На обслуживании не числились. На момент взлома прошивки устарели и содержали хорошо известную уязвимость.

   Анатолий Шилков, генеральный директор ИТ-аутсорсинговой компании «ZEL-Услуги»: «Оборудование, брошенное на произвол судьбы, в один прекрасный день может превратиться в тыкву.»

   Мы приехали к заказчику, перехватили доступ (проще говоря, сами взломали) и обновили прошивки. Чтобы ситуация не повторилась впредь, актуализировали правила межсетевого экрана и выполнили другие превентивные меры.

   Услуга отражения хакерской атаки на небалансное оборудование и его «оживление» идёт за отдельную плату. Ведь мы за ним не следим по условиям совместно разработанного соглашения. К счастью, при использовании услуги комплексного абонентского обслуживания всей ИТ-инфраструктуры заказчики вписывают всё имеющееся оборудование, и такие инциденты сводятся на нет за счёт постоянной диагностики.

2. Вторая атака. Восстановление данных после вируса шифровальщика

   Не чаще, чем раз в полгода кто-нибудь из пользователей подхватывает вирус-шифровальщик. Даже если на всех ваших рабочих компьютерах есть хороший антивирус и за оборудованием следит надёжный IT-специалист, абсолютная защита почти не достижима из-за человеческого фактора. Помочь здесь может только ликбез по цифровой безопасности среди всех сотрудников с доступом к ИТ-инфраструктуре.

   Анатолий Шилков: «Особого вреда он [вирус-шифровальщик] не приносит, так как бэкапы и всё такое, но может парализовать работу офиса почти на целый день».

   Когда бизнес попадает в такую ситуацию, уже неважно сколько стоит очистка ноутбука от вирусов. Без длительных процедур восстановления из бэкапов здесь никак не обойтись.

   И хорошо если заказчик готов к таким сценариям (не использует сетевые диски, применяет ярлыки, регулярно создаёт резервные копии или даже автоматизировал процесс). Чаще всего к нам обращаются постфактум решить проблему с шифровальщиком уже на десятках заражённых компьютеров.