А вы уже слышали про жутковатый кейс, связанный с атакой хакерской группировки на английскую компанию?
Жутковатый он, прежде всего, потому, что компания из 700 человек фактически перестала существовать, а все сотрудники лишились работы. Речь идет о KNP, транспортной компании из Нортгемптоншира (Великобритания).
Что же произошло? Хакеры из группировки Akira получили доступ к системам компании KNP в 2023 году, угадав пароль сотрудника — предположительно, с помощью атаки методом подбора («брутфорс») или использования ранее украденных учётных данных. Попав в систему, они зашифровали все данные компании с помощью вредоносного программного обеспечения класса ransomware (вымогателя), как сообщает BBC.
Хакеры не назвали сумму выкупа, но компания, специализирующаяся на переговорах по программам-вымогателям, оценила её в 5 миллионов фунтов стерлингов (около 500 млн. рублей). У KNP таких денег не было. В итоге все данные были утеряны, и компания вынуждено обанкротилась.
Почему же последствия оказались настолько катастрофическими? Давайте попробуем разобраться.
Во-первых, сразу возникает вопрос, а что с резервными копиями. Компания такого уровня вряд ли может себе позволить их не делать. Значит они делались в той же инфраструктуре, возможно, на тех же серверах, где были развернуты системы.
Во-вторых, компрометация учётных данных одного пользователя не обязательно приводит к полному захвату сети, если инфраструктура построена с учётом принципов сегментации и ограничения привилегий. Однако в случае KNP, судя по масштабу поражения, вероятно использовалась плоская сетевая архитектура, без изоляции критических сегментов, что позволило злоумышленникам быстро продвигаться по инфраструктуре.
С высокой долей вероятности атака включала повышение привилегий — например, через сбор хешей и паролей из памяти (LSASS, Mimikatz), перебор слабых паролей или использование эксплойтов для уязвимостей Windows. Среди типичных техник — захват учётки администратора домена, атаки на Active Directory (например, Golden Ticket) и эксплуатация известных уязвимостей, таких как Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-34527) и другие.
Подобный вектор особенно вероятен, если в компании используются не обновлённые /неподдерживаемые версии ОС.
Как проникли на компьютер сотрудника? Тут несколько вариантов. Самый высоковероятный: удаленный доступ VPN/RDP без многофакторной аутентификации и без настроек безопасности RDP шлюза (злоумышленниками был применен брутфорс пароля, либо использование утекших через фишинг данных). Далее – дело техники, см. выше. Если домен под контролем у злоумышленников, то быстро можно распространить вредонос по всем компьютерам сети.
Почему не обнаружили?
· Отсутствие централизованного мониторинга (SOC). Без систем безопасности (SIEM/XDR), отслеживающих подозрительную активность в реальном времени, атака осталась незамеченной. При наличии SOC инцидент мог быть зафиксирован на ранней стадии (например, при аномальной аутентификации или lateral movement), что позволило бы изолировать заражённый узел до начала шифрования.
· Недостаточная защита конечных точек (Endpoint Security). Использование устаревших, не обновляемых или низкоэффективных антивирусов не позволило обнаружить и остановить загрузку или исполнение вредоносного ПО.
Человеческий фактор (использование слабых/словарных паролей сотрудниками, отсутствие навыков определения фишинга).
Экспертный вывод:
Атака стала возможной из-за каскада архитектурных провалов: унаследованная устаревшая инфраструктура, отсутствие двухфакторной аутентификации, человеческая беспечность.
Рекомендация для бизнеса:
· Приведение в порядок инфраструктуры как базовый элемент безопасности.
· Разработка и внедрение политики информационной безопасности с регулярной сменой паролей, принципом наименьших привилегий и контролем учётных записей с повышенными правами.Внедрение двухфакторной аутентификации.*
· Регулярные пентесты с фокусом на сценарии «компрометация рядового сотрудника → полный контроль над доменом» и кибер-учениями.
· Мониторинг 24/7 (подключение к центру мониторинга).
* В 85% случаев путь от user к Domain Admin занимает < 48 часов в сетях без микросегментации (по данным CrowdStrike 2024).
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года