31 канал был атакован шифровальщиком
В ходе анализа сотрудники KZ-CERT провели работы по сканированию зашифрованных серверов.
Национальная служба реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» сообщила, что 9 октября сотрудники «31 канала» обнаружили зашифрованные файлы с подозрительными расширениями на файловом сервере компании.
Для нейтрализации угроз технические администраторы «31 канала» отключили сетевые интерфейсы на зашифрованных серверах. Затем системный администратор заметил следы вредоносного программного обеспечения, запущенного под локальным администратором с помощью программ ProcessHackек, UBitUnlocker. Кроме того, с этого сервера были замечены подключения по RDP к другим серверам со взломом аккаунтов локальных администраторов.
В списке зашифрованных серверов были замечены сервера, связанные с программой 1 °C, файловым сервером бухгалтерии, Wi-Fi, сервером печати и др. Злоумышленникам удалось вручную удалить установленное антивирусное ПО на всех серверах.
В ходе анализа сотрудники KZ-CERT провели работы по сканированию зашифрованных серверов. Установлено, что зараженные сервера, находящиеся в одной виртуальной локальной компьютерной сети, имели уязвимость, связанную с авторизацией. Резервное копирование данных не осуществлялось своевременно.
Сообщается, что в настоящее время сотрудники KZ-CERT продолжают работы по исследованию инцидента с целью принятия организационных и технических мер, даны первичные рекомендации по соблюдению стандартов информационной безопасности, ведению логирования и резервного копирования. Сняты образы серверов для дальнейшего проведения мероприятий по компьютерной криминалистике.