Атака хакерской группировки на английскую компанию
Дата публикации: 23.07.2024

А вы уже слышали про жутковатый кейс, связанный с атакой хакерской группировки на английскую компанию? 

Жутковатый он, прежде всего, потому, что компания из 700 человек фактически перестала существовать, а все сотрудники лишились работы. Речь идет о KNP, транспортной компании из Нортгемптоншира (Великобритания).

Что же произошло? Хакеры из группировки Akira получили доступ к системам компании KNP в 2023 году, угадав пароль сотрудника — предположительно, с помощью атаки методом подбора («брутфорс») или использования ранее украденных учётных данных. Попав в систему, они зашифровали все данные компании с помощью вредоносного программного обеспечения класса ransomware (вымогателя), как сообщает BBC.

Хакеры не назвали сумму выкупа, но компания, специализирующаяся на переговорах по программам-вымогателям, оценила её в 5 миллионов фунтов стерлингов (около 500 млн. рублей). У KNP таких денег не было. В итоге все данные были утеряны, и компания вынуждено обанкротилась.

Почему же последствия оказались настолько катастрофическими? Давайте попробуем разобраться.

Во-первых, сразу возникает вопрос, а что с резервными копиями. Компания такого уровня вряд ли может себе позволить их не делать. Значит они делались в той же инфраструктуре, возможно, на тех же серверах, где были развернуты системы.

Во-вторых, компрометация учётных данных одного пользователя не обязательно приводит к полному захвату сети, если инфраструктура построена с учётом принципов сегментации и ограничения привилегий. Однако в случае KNP, судя по масштабу поражения, вероятно использовалась плоская сетевая архитектура, без изоляции критических сегментов, что позволило злоумышленникам быстро продвигаться по инфраструктуре.

С высокой долей вероятности атака включала повышение привилегий — например, через сбор хешей и паролей из памяти (LSASS, Mimikatz), перебор слабых паролей или использование эксплойтов для уязвимостей Windows. Среди типичных техник — захват учётки администратора домена, атаки на Active Directory (например, Golden Ticket) и эксплуатация известных уязвимостей, таких как Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-34527) и другие.

Подобный вектор особенно вероятен, если в компании используются не обновлённые /неподдерживаемые версии ОС.

Как проникли на компьютер сотрудника? Тут несколько вариантов. Самый высоковероятный: удаленный доступ VPN/RDP без многофакторной аутентификации и без настроек безопасности RDP шлюза (злоумышленниками был применен брутфорс пароля, либо использование утекших через фишинг данных). Далее – дело техники, см. выше. Если домен под контролем у злоумышленников, то быстро можно распространить вредонос по всем компьютерам сети.

Почему не обнаружили?

· Отсутствие централизованного мониторинга (SOC). Без систем безопасности (SIEM/XDR), отслеживающих подозрительную активность в реальном времени, атака осталась незамеченной. При наличии SOC инцидент мог быть зафиксирован на ранней стадии (например, при аномальной аутентификации или lateral movement), что позволило бы изолировать заражённый узел до начала шифрования.

· Недостаточная защита конечных точек (Endpoint Security). Использование устаревших, не обновляемых или низкоэффективных антивирусов не позволило обнаружить и остановить загрузку или исполнение вредоносного ПО.

Человеческий фактор (использование слабых/словарных паролей сотрудниками, отсутствие навыков определения фишинга).

Экспертный вывод:

Атака стала возможной из-за каскада архитектурных провалов: унаследованная устаревшая инфраструктура, отсутствие двухфакторной аутентификации, человеческая беспечность.

Рекомендация для бизнеса:

· Приведение в порядок инфраструктуры как базовый элемент безопасности.

· Разработка и внедрение политики информационной безопасности с регулярной сменой паролей, принципом наименьших привилегий и контролем учётных записей с повышенными правами.Внедрение двухфакторной аутентификации.*

· Регулярные пентесты с фокусом на сценарии «компрометация рядового сотрудника → полный контроль над доменом» и кибер-учениями.

· Мониторинг 24/7 (подключение к центру мониторинга).

* В 85% случаев путь от user к Domain Admin занимает < 48 часов в сетях без микросегментации (по данным CrowdStrike 2024).

Часто задаваемые вопросы

Как хакеры могут уничтожить компанию через один взломанный пароль сотрудника?
Компрометация одной учётной записи способна привести к полному краху компании, если инфраструктура не защищена в глубину. Получив доступ через VPN или RDP без многофакторной аутентификации, злоумышленники повышают привилегии — например, с помощью кражи хешей из памяти (LSASS, Mimikatz), атак на Active Directory (Golden Ticket) или эксплуатации уязвимостей типа Zerologon (CVE-2020-1472). В плоской сети без микросегментации они за считанные часы получают контроль над доменом и разворачивают ransomware на всех машинах сразу. По данным CrowdStrike 2024, в 85% случаев путь от рядового пользователя до Domain Admin занимает менее 48 часов в сетях без сегментации.
Что такое атака ransomware и почему компании платят выкуп хакерам?
Ransomware — вредоносное программное обеспечение класса «шифровальщик-вымогатель»: попав в инфраструктуру, оно шифрует все доступные данные и требует выкуп за ключ расшифровки. Компании платят, потому что альтернатива — полная потеря данных и остановка бизнеса. Именно это произошло с британской транспортной компанией KNP: хакерская группировка Akira зашифровала все данные и потребовала около 5 миллионов фунтов стерлингов. У компании таких средств не было, данные восстановить не удалось, и организация с 700 сотрудниками была вынуждена объявить банкротство. Платить выкуп не рекомендуется — это не гарантирует возврат данных и финансирует дальнейшую деятельность преступников.
Почему резервные копии не спасли компанию от ransomware?
Резервные копии не помогают, если они хранятся в той же инфраструктуре и доступны из той же сети, что и основные системы. При атаке ransomware шифровальщик обходит все доступные ему хранилища, включая подключённые сетевые диски и серверы резервного копирования в том же домене. Именно поэтому критически важно хранить резервные копии изолированно — по правилу «3-2-1»: три копии, на двух разных носителях, одна из которых физически или логически отделена от основной инфраструктуры и не доступна из неё напрямую. Наличие резервных копий без тестирования их восстановления и без изоляции равносильно их отсутствию.
Как защитить компанию от атак через RDP и VPN без многофакторной аутентификации?
Удалённый доступ по RDP и VPN без многофакторной аутентификации (MFA) — один из главных векторов проникновения: злоумышленники применяют брутфорс паролей или используют учётные данные, утёкшие через фишинг, и получают полноценный доступ в инфраструктуру. Для защиты необходимо: внедрить MFA для всех точек удалённого доступа, использовать RDP-шлюз с настроенными политиками безопасности, ограничить список IP-адресов с правом подключения, своевременно обновлять ОС и закрывать известные уязвимости (Zerologon, PrintNightmare), а также вести непрерывный мониторинг аномальных попыток аутентификации через SIEM или SOC.
Зачем компании нужен SOC и мониторинг 24/7, если есть антивирус?
Антивирус закрывает лишь часть угроз и не способен обнаружить сложные многоэтапные атаки, в которых злоумышленники используют легитимные инструменты (например, Mimikatz, PsExec, встроенные утилиты Windows). SOC с системами SIEM и XDR отслеживает подозрительную активность в реальном времени: аномальную аутентификацию, горизонтальное перемещение (lateral movement) по сети, массовый доступ к файлам. В случае с KNP при наличии SOC инцидент мог быть зафиксирован на ранней стадии и локализован до начала шифрования. Без централизованного мониторинга атака развивается незаметно до момента, когда остановить её уже невозможно без полной потери данных.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
История KNP показывает: один подобранный пароль способен уничтожить компанию из 700 человек, если за ним нет ни двухфакторной аутентификации, ни сегментации сети, ни нормальных резервных копий.