Раньше казалось, что вымогатели ломятся в сеть грубой силой и сразу шифруют всё подряд. Теперь всё чаще видно другое: атакующие заходят через украденные учётные данные, пользуются легальными админ-инструментами и долго сидят внутри сети, не выдавая себя.
Какую проблему решаем
Новая волна атак опасна не только шифрованием. Сначала злоумышленники крадут доступ, двигаются по сети через стандартные корпоративные протоколы, выключают защиту и только потом запускают шифровальщик.
Источник описывает схему, в которой группа Anubis использует уязвимость в периметре, затем подключается через легитимные средства удалённого администрирования, копирует данные и готовит вымогательство. Для компании это значит одно: классическая проверка антивирусом уже не спасает, если атакующий вошёл под чужой учёткой и выглядит как штатный администратор.
Что подготовить
Для такой проверки нужны не только техсредства, но и дисциплина. Под рукой должны быть журналы входа, список всех удалённых админ-инструментов, актуальные пароли, сведения о многофакторной аутентификации и перечень сервисов, которые имеют доступ к критичным системам.
Полезно заранее знать, кто и откуда входит в инфраструктуру. Если у вас есть подрядчики, удалённые сотрудники или временные доступы, их тоже нужно держать в отдельном контуре контроля.
Если вы читали наш разбор про периметр и критичные уязвимости, логика здесь та же: слабое звено часто находится не внутри сервера, а на входе в него.
Пошаговые действия
1. Проверьте входы и свежие сеансы
Смотрите не только на неудачные попытки входа, но и на успешные, особенно с необычных адресов и хостеров. Атакующие часто заходят через реальные учётки, а дальше используют RDP, SMB и инструменты удалённого управления, чтобы перемещаться по сети.
2. Найдите лишние инструменты администрирования
В отчёте упомянуты ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC и Total Software Deployment. Если в вашей компании таких программ нет в белом списке, это повод срочно разбираться, кто и зачем их поставил.
3. Проверьте политику паролей и многофакторную аутентификацию
Кража логинов остаётся самым дешёвым входом для атакующих. Слабые пароли, повторное использование учётных данных и отсутствие второго фактора резко повышают риск.
4. Ограничьте права и доступ к админским функциям
Даже если злоумышленник вошёл в один сегмент, ему не должно хватать прав на установку сервисов, удалённое выполнение команд и массовое копирование файлов. Отдельные права для админов, раздельные учётки и минимально необходимый доступ снижают ущерб.
5. Следите за признаками подготовки к шифрованию
Опасные маркеры — отключение защитных модулей, очистка журналов, запуск PsExec, появление утилит для передачи файлов и подозрительные туннели до внешних узлов. На этой стадии ещё можно остановить атаку до запуска шифровальщика.
6. Подумайте о защите сотрудников в поездках
Если сотрудники работают вне офиса, особенно из отелей и аэропортов, у них растёт риск перехвата трафика и подмены точки доступа. Здесь уместен защищённый канал для поездок как дополнительный слой, но он не заменяет пароли, MFA и контроль устройств.
Как проверить себя
Хороший тест — ответить на три вопроса. Вы знаете, какие инструменты удалённого администрирования стоят в сети? Вы можете за 10 минут назвать все свежие входы в критичные системы? И понимаете, откуда у сотрудников берутся права на установку сервисов и запуск команд?
Если хотя бы на один вопрос ответ «нет», защита у вас пока держится на доверии, а не на контроле.
Что делать, если не получилось
Если вы нашли подозрительный вход или неизвестную утилиту, не тяните с изоляцией. Отключите заражённый узел от сети, смените пароли для затронутых учётных записей, проверьте журнал доступа и начните поиск следов перемещения по сети.
Не стоит сразу чистить систему «на глаз» — так часто теряются улики. Сначала зафиксируйте, что произошло, а уже потом меняйте конфигурацию и убирайте лишние сервисы.
- Проверить свежие успешные входы в критичные системы.
- Сверить список установленных инструментов удалённого администрирования.
- Включить или проверить многофакторную аутентификацию для админов.
- Ограничить права на установку сервисов и удалённый запуск команд.
- Посмотреть, нет ли очистки журналов, отключения защиты и странных туннелей.
- Подготовить план изоляции узла на случай шифровальщика.
- Для сотрудников в поездках добавить защищённый канал для работы вне офиса.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.