Популярное
Свежее
Моя лента
Обзор
Курсы
Темы
Крипто
Маркетинг
Деньги
Личный опыт
Техника
Сервисы
Карьера
Путешествия
Право
Приёмная
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Аналитикум плюс

День, когда бизнес остановился или как обычный офис стал ареной кибератаки

День, когда бизнес остановился или как обычный офис стал ареной кибератаки

Накануне Хэллоуина мы подготовили страшную историю из жизни собственников бизнеса. И хотя ее сюжет напоминает какой-то голливудский фильм, произойти она может с каждым предпринимателем.

Однажды к нам обратилась производственная компания, которая столкнулась с проблемой: все данные с их сервера оказались зашифрованы.

То есть, придя на работу, сотрудники вместо привычных файлов docx, xlsx, pdf, jpg и т.д. на своих компьютерах обнаружили белые файлы с набором букв вместо расширения. По факту просто ни одна программа не могла открыть эти файлы.

Зато был документ от злоумышленников, которые взломали сервер. В нем они оставили инструкции с дальнейшими действиями. Взломщики обещали направить дешифратор за «скромную» сумму в 2000 долларов (на тот момент около 200 000 рублей), переведенную на указанный счет.

Представители компании попытались связаться с хакерами, но ответа не поступало, поэтому обратились за помощью к нам.

Наши специалисты провели обследование серверов, попытались восстановить данные, попытались восстановить все теневые копии, посмотрели, как устроена система резервного копирования. Оказалось, что шанса восстановить данные своими силами, к сожалению, нет и сообщили заказчику о том, что необходимо платить.

Конечно, сначала необходимо было удостовериться в том, что взломщики смогут расшифровать данные. Мы связались с хакерами, которые, судя по всему, находились не в России, и направили им один из зашифрованных файлов. Чтобы убедиться, что у них есть дешифратор, мы попросили расшифровать его.

Получив расшифрованный файл, мы поняли, что шанс на восстановление данных есть и стали вести переговоры. В итоге даже договорились на скидку в 300 долларов.

Заказчику мы сообщили о проделанной работе и о том, что дешифратор будет стоить 170 000 рублей. Также предупредили, что есть риск не получить все-таки файлы или хакеры могут потребовать еще денег.

На тот момент предприятие простаивало уже несколько дней и потери росли, поэтому заказчик взял ответственность на себя и решил рискнуть.

Благо, история закончилась благополучно. Мы получили дешифратор – программу, которая помогла успешно восстановить все данные.

Есть ли жизнь после кибератаки?

После того, как мы разрешили вопрос со взломщиками, нужно было выяснить причину произошедшего, чтобы такое не повторилось.

С этой целью наши специалисты провели аудит. И вот, в процессе выяснилось, что никаких средств защиты от взлома серверов у заказчика нет. У них был открытый порт из сети интернет, что абсолютно небезопасно. И хотя этот порт периодически менялся, по факту это никак не работает и не защищает от взлома.

Как если бы на входной двери было 5 замков, но закрываете вы только один и всегда одним и тем же ключом.

На сервере был установлен пароль, но с помощью программы подбора паролей взломщики достаточно быстро его прошли и попали на главный сервер. И это еще одна фатальная ошибка - открывать порт сразу на главный сервер.

С этого сервера взломщики попали уже на другие сервера, и зашифровали абсолютно все файлы. Кроме того, данные резервного копирования хранились на этих же серверах, а значит также оказались зашифрованными.

Результатом нашего аудита стал перечень рекомендаций заказчику. Стоит отметить, что за их реализацию взялись незамедлительно. Необходимо было перестроить систему общего доступа и внутреннего доступа, а также систему резервного копирования, чтобы в дальнейшем защитить компанию не только от взломов, но и от потери данных.

При этом систему резервного копирования необходимо выстроить так, что данные можно будет восстановить не только в случае их потери с сервера, но даже если сгорит сервер, сломается какое-то аппаратное обеспечение в целом или даже если затопит здание с серверами.

Это значит, что не должно быть зависимости от здания, помещения или физической точки нахождения серверов.

Также необходимо выстроить систему развертывания серверов так, чтобы в случае выхода из строя одной машины, можно было быстро развернуть все на других мощностях, то есть сделать виртуализацию системы, точнее виртуальные сервера.

После данных внедрений уровень информационной безопасности будет выше и сама система будет более отказоустойчивой. А самое главное, будет возможность восстановить данные, несмотря ни на что, вплоть до физической потери серверов.

Как шифрование влияет на работу компании и стоит ли переживать за ценные данные?

Обычно шифруются сразу все операционные файлы, которые необходимы для работы. Так произошло и с нашим заказчиком. Например, зашифровалась база данных 1С, в которой работали все сотрудники. В этот момент они не могли вести деятельность, не могли создавать счета. Либо создавали счета, но вручную. Это неудобно и отнимает много времени, а потом еще и придётся это все заносить в базу.

Сотрудники не могли открыть договоры и даже какие-то шаблоны. Не могли связаться с клиентами и поставщиками, контакты которых хранились только в базе. По факту ничего не могли – произошла полная приостановка деятельности компании.

В нашем случае сама дешифровка заняла сутки, но пока заказчики сами разбирались, пока обратились к нам, пока мы посмотрели и связались с хакерами, прошло много времени. В итоге примерно неделю предприятие не работало.

Чаще всего сами данные, то есть личная информация, базы 1С, либо какие-то внутренние документы, взломщиков не интересуют.

Подобный процесс взлома происходит автоматически, и одновременно у таких хакеров может быть несколько успешных взломов. Они не сидят потом и не разбирают эти документы, а просто запускают программу, которая начинает шифровать все файлы. При этом у них есть дешифратор, который они продают. И надо сказать, что всегда найдутся компании с низким уровнем безопасности, у которых просто нет выбора – платят.

Забирать данные себе для взломщика небезопасно, потому что это большой объём, и если начать закачку, то можно очень быстро засветиться. Опять же скачивать напрямую куда-то на свой источник опасно - можно оставить следы и возрастает шанс быть пойманными.

В итоге мало кто связывается с тем, чтобы скачивать себе данные и потом шантажировать этим. Только если это был заказной взлом от ваших конкурентов, например.

Советы от эксперта: как бизнесу обезопасить данные компании?

В первую очередь, необходимо было по-другому выстроить систему доступа извне в организацию. Это должны быть защищенные сети, VPN, тоннели. То есть, открытый порт – это небезопасно, он очень легко взламывается.

Во-вторых, должна быть правильно настроена система резервного копирования, потому что резервная копия – это самое важное. Можно потерять данные по вине сотрудников или потому что вышел из строя компьютер, или сгорел либо украли сервер. Ситуации бывают разные.

Важно, чтобы доступ к резервным копиям был у ограниченного списка людей, а физически они должны находиться в отдельном месте - в отдельной комнате, либо в другом здании, либо в облаке.

Чаще всего, мы рекомендуем важные данные хранить в облаке.

Если бы в этой ситуации заказчик серьезно подошел к системе копирования, то можно было бы не платить деньги, а потратить только время на восстановление данных из копий.

В-третьих, банальный антивирус может приостановить взлом. В ситуации с нашим заказчиком, конечно, взломщики просто отключили бы его, так как был доступ к серверам, но бывают ситуации, когда программа-шифровальщик попадает в компанию не руками взломщиков, а по вине сотрудников.

Часто сотрудники скачивают такие файлы из писем. Они думают, что открывают какой-то документ, а открывается вредоносное ПО, которое начинает шифровать все, что видит, все к чему есть доступ у сотрудника. Если бы на компьютере или сервере стоял антивирус, возможно он бы предотвратил эти действия.

Часто руководители думают, что хакерским атакам подвержены только крупные компании и госучреждения, а небольшие компании никому не интересны и их-то уж точно никто не будет взламывать. В действительности именно малый и средний бизнес оказывается абсолютно беззащитным перед атаками, так как экономит на IT-инфраструктуре и ее безопасности.

Мы настоятельно рекомендуем обратиться к специалистам, таким как «Аналитикум плюс», и провести аудит безопасности системы. Выстроить правильную и надежную IT-инфраструктуру быстрее и дешевле, чем бороться с последствиями утечки или шифрования данных.

Начать дискуссию