День, когда бизнес остановился или как обычный офис стал ареной кибератаки
Накануне Хэллоуина мы подготовили страшную историю из жизни собственников бизнеса. И хотя ее сюжет напоминает какой-то голливудский фильм, произойти она может с каждым предпринимателем.
Однажды к нам обратилась производственная компания, которая столкнулась с проблемой: все данные с их сервера оказались зашифрованы.
То есть, придя на работу, сотрудники вместо привычных файлов docx, xlsx, pdf, jpg и т.д. на своих компьютерах обнаружили белые файлы с набором букв вместо расширения. По факту просто ни одна программа не могла открыть эти файлы.
Зато был документ от злоумышленников, которые взломали сервер. В нем они оставили инструкции с дальнейшими действиями. Взломщики обещали направить дешифратор за «скромную» сумму в 2000 долларов (на тот момент около 200 000 рублей), переведенную на указанный счет.
Представители компании попытались связаться с хакерами, но ответа не поступало, поэтому обратились за помощью к нам.
Наши специалисты провели обследование серверов, попытались восстановить данные, попытались восстановить все теневые копии, посмотрели, как устроена система резервного копирования. Оказалось, что шанса восстановить данные своими силами, к сожалению, нет и сообщили заказчику о том, что необходимо платить.
Конечно, сначала необходимо было удостовериться в том, что взломщики смогут расшифровать данные. Мы связались с хакерами, которые, судя по всему, находились не в России, и направили им один из зашифрованных файлов. Чтобы убедиться, что у них есть дешифратор, мы попросили расшифровать его.
Получив расшифрованный файл, мы поняли, что шанс на восстановление данных есть и стали вести переговоры. В итоге даже договорились на скидку в 300 долларов.
Заказчику мы сообщили о проделанной работе и о том, что дешифратор будет стоить 170 000 рублей. Также предупредили, что есть риск не получить все-таки файлы или хакеры могут потребовать еще денег.
На тот момент предприятие простаивало уже несколько дней и потери росли, поэтому заказчик взял ответственность на себя и решил рискнуть.
Благо, история закончилась благополучно. Мы получили дешифратор – программу, которая помогла успешно восстановить все данные.
Есть ли жизнь после кибератаки?
После того, как мы разрешили вопрос со взломщиками, нужно было выяснить причину произошедшего, чтобы такое не повторилось.
С этой целью наши специалисты провели аудит. И вот, в процессе выяснилось, что никаких средств защиты от взлома серверов у заказчика нет. У них был открытый порт из сети интернет, что абсолютно небезопасно. И хотя этот порт периодически менялся, по факту это никак не работает и не защищает от взлома.
Как если бы на входной двери было 5 замков, но закрываете вы только один и всегда одним и тем же ключом.
На сервере был установлен пароль, но с помощью программы подбора паролей взломщики достаточно быстро его прошли и попали на главный сервер. И это еще одна фатальная ошибка - открывать порт сразу на главный сервер.
С этого сервера взломщики попали уже на другие сервера, и зашифровали абсолютно все файлы. Кроме того, данные резервного копирования хранились на этих же серверах, а значит также оказались зашифрованными.
Результатом нашего аудита стал перечень рекомендаций заказчику. Стоит отметить, что за их реализацию взялись незамедлительно. Необходимо было перестроить систему общего доступа и внутреннего доступа, а также систему резервного копирования, чтобы в дальнейшем защитить компанию не только от взломов, но и от потери данных.
При этом систему резервного копирования необходимо выстроить так, что данные можно будет восстановить не только в случае их потери с сервера, но даже если сгорит сервер, сломается какое-то аппаратное обеспечение в целом или даже если затопит здание с серверами.
Это значит, что не должно быть зависимости от здания, помещения или физической точки нахождения серверов.
Также необходимо выстроить систему развертывания серверов так, чтобы в случае выхода из строя одной машины, можно было быстро развернуть все на других мощностях, то есть сделать виртуализацию системы, точнее виртуальные сервера.
После данных внедрений уровень информационной безопасности будет выше и сама система будет более отказоустойчивой. А самое главное, будет возможность восстановить данные, несмотря ни на что, вплоть до физической потери серверов.
Как шифрование влияет на работу компании и стоит ли переживать за ценные данные?
Обычно шифруются сразу все операционные файлы, которые необходимы для работы. Так произошло и с нашим заказчиком. Например, зашифровалась база данных 1С, в которой работали все сотрудники. В этот момент они не могли вести деятельность, не могли создавать счета. Либо создавали счета, но вручную. Это неудобно и отнимает много времени, а потом еще и придётся это все заносить в базу.
Сотрудники не могли открыть договоры и даже какие-то шаблоны. Не могли связаться с клиентами и поставщиками, контакты которых хранились только в базе. По факту ничего не могли – произошла полная приостановка деятельности компании.
В нашем случае сама дешифровка заняла сутки, но пока заказчики сами разбирались, пока обратились к нам, пока мы посмотрели и связались с хакерами, прошло много времени. В итоге примерно неделю предприятие не работало.
Чаще всего сами данные, то есть личная информация, базы 1С, либо какие-то внутренние документы, взломщиков не интересуют.
Подобный процесс взлома происходит автоматически, и одновременно у таких хакеров может быть несколько успешных взломов. Они не сидят потом и не разбирают эти документы, а просто запускают программу, которая начинает шифровать все файлы. При этом у них есть дешифратор, который они продают. И надо сказать, что всегда найдутся компании с низким уровнем безопасности, у которых просто нет выбора – платят.
Забирать данные себе для взломщика небезопасно, потому что это большой объём, и если начать закачку, то можно очень быстро засветиться. Опять же скачивать напрямую куда-то на свой источник опасно - можно оставить следы и возрастает шанс быть пойманными.
В итоге мало кто связывается с тем, чтобы скачивать себе данные и потом шантажировать этим. Только если это был заказной взлом от ваших конкурентов, например.
Советы от эксперта: как бизнесу обезопасить данные компании?
В первую очередь, необходимо было по-другому выстроить систему доступа извне в организацию. Это должны быть защищенные сети, VPN, тоннели. То есть, открытый порт – это небезопасно, он очень легко взламывается.
Во-вторых, должна быть правильно настроена система резервного копирования, потому что резервная копия – это самое важное. Можно потерять данные по вине сотрудников или потому что вышел из строя компьютер, или сгорел либо украли сервер. Ситуации бывают разные.
Важно, чтобы доступ к резервным копиям был у ограниченного списка людей, а физически они должны находиться в отдельном месте - в отдельной комнате, либо в другом здании, либо в облаке.
Чаще всего, мы рекомендуем важные данные хранить в облаке.
Если бы в этой ситуации заказчик серьезно подошел к системе копирования, то можно было бы не платить деньги, а потратить только время на восстановление данных из копий.
В-третьих, банальный антивирус может приостановить взлом. В ситуации с нашим заказчиком, конечно, взломщики просто отключили бы его, так как был доступ к серверам, но бывают ситуации, когда программа-шифровальщик попадает в компанию не руками взломщиков, а по вине сотрудников.
Часто сотрудники скачивают такие файлы из писем. Они думают, что открывают какой-то документ, а открывается вредоносное ПО, которое начинает шифровать все, что видит, все к чему есть доступ у сотрудника. Если бы на компьютере или сервере стоял антивирус, возможно он бы предотвратил эти действия.
Часто руководители думают, что хакерским атакам подвержены только крупные компании и госучреждения, а небольшие компании никому не интересны и их-то уж точно никто не будет взламывать. В действительности именно малый и средний бизнес оказывается абсолютно беззащитным перед атаками, так как экономит на IT-инфраструктуре и ее безопасности.
Мы настоятельно рекомендуем обратиться к специалистам, таким как «Аналитикум плюс», и провести аудит безопасности системы. Выстроить правильную и надежную IT-инфраструктуру быстрее и дешевле, чем бороться с последствиями утечки или шифрования данных.