Задача
Утром клиент обнаружил, что сотрудники не могут подключиться к рабочим местам — часть серверной инфраструктуры и рабочих станций оказалась зашифрована программой-вымогателем. Восстановление из резервных копий было невозможно — сервер бэкапов тоже попал под шифрование. Требовалось расследовать инцидент, локализовать атакующих и в кратчайшие сроки восстановить критичные бизнес-процессы.
Что сделали
- Оперативно подключились к реагированию: локализация (containment), сбор и анализ форензик-артефактов со скомпрометированных серверов и рабочих станций.
- Восстановили полную хронологию атаки: первичный доступ через фишинговое письмо с вредоносным вложением (двумя неделями ранее), закрепление в инфраструктуре, кража учётных данных администратора, скрытное перемещение по сети около двух недель — и финальное шифрование серверов и части рабочих станций.
- Установили, что попытка зашифровать виртуальную инфраструктуру (где располагались ключевые бизнес-системы — корпоративный портал, учётная система, репозитории) не удалась по техническим причинам — это позволило поднять критичные сервисы из непострадавших копий практически без потерь.
- Помогли пересобрать домен и инфраструктуру «с нуля»: пересоздание домена, переустановка скомпрометированных рабочих станций и серверов, замена скомпрометированных учётных записей.
- Подготовили приоритизированный план мер: внедрение мониторинга (EDR/SIEM), расширенный аудит событий, сегментация сети, закрытие прямых публикаций RDP/SSH в интернет, переход на VPN с MFA.
Результат
Бизнес-процессы и IT-инфраструктура восстановлены, критичные системы не потеряны благодаря оперативной локализации. Компания получила не просто «вылеченную» сеть, а пересобранную инфраструктуру с базовым уровнем защиты, закрывающую тот путь, которым прошли атакующие.
Уже столкнулись с шифровальщиком или подозреваете присутствие атакующих в сети?
⚠ Экстренная помощь
