Хакеры внедрили бэкдор под видом обновления ПО через подрядчика и зашифровали инфраструктуру спортивной организации
Эксперты центра исследования киберугроз Solar 4RAYS (ГК «Солар») расследовали кибератаку на спортивную организацию. Как сообщили SecPost в компании, группировка NGC8211 атаковала организацию через крупного интегратора ПО, услугами которого пользовалась спортивная организация.
Злоумышленники использовали информацию из старой утечки данных подрядчика. От его имени они внедрили в инфраструктуру жертвы вредоносное ПО, мимикрировавшее под легальную программу, и получили доступ к серверам. Проникновение произошло за две недели до шифрования всех данных.
Первые семь дней после внедрения хакеры не совершали действий, затем начали сканировать инфраструктуру и подбирать пароли к учётным записям в ИТ-системах компании-жертвы. За 12 часов до уничтожения ИТ-систем они вошли в сервисную учётную запись с нетипичного IP-адреса, после чего зашифровали данные и потребовали выкуп.
Организация восстановила систему из бэкапов, однако, как сообщили в компании, на тот момент резервные копии уже были заражены. Эксперты Solar 4RAYS очистили инфраструктуру от следов заражений и возможного присутствия хакеров.
В компании также отметили тренд на кибератаки с целью вымогательства даже небольших организаций. Для защиты от подобных атак через подрядчиков рекомендуется регулярно проводить инвентаризацию доступов внешних подрядчиков в инфраструктуру, использовать сегментацию инфраструктуры и при подозрении на атаку незамедлительно обращаться к экспертам по реагированию на ИБ-инциденты.
Читайте также
