+ 7 (495)269-07-38
Обращение генерального директора WSS-Consulting в связи с кибератакой 7 июня 2024г.

О компании

Видеоматериалы

Проект внедрения внутреннего ЭДО и Электронного архива в ПАО Полюс
Проект внедрения внутреннего ЭДО и Электронного архива в ПАО Полюс
Создание корпоративной СЭД в ПАО «ТМК» на базе WSS Docs
Создание корпоративной СЭД в ПАО «ТМК» на базе WSS Docs
10.06.2024

Коллеги, партнеры, считаю важным дать комментарии по кибератаке на нашу компанию, которая произошла 7 июня 2024 года.



Как это было 

В этот день я выступал с докладом на нашей ежегодной конференции WSS Conference 2024.

Наши клиенты делились опытом использования наших продуктов, я презентовал новую версию Docs5, которая уже сейчас показала высокую востребованность как у текущих, так и у новых клиентов. Был вдохновляющий момент и день в целом. 

7 июня 2024 года, WSS Conference

7 июня 2024 года, WSS Conference, ничего не предвещало беды

В 13:30 я получил сообщение от руководителя ИТ-отдела о том, что наши сервера взломаны и информация зашифрована. Помимо этого, злоумышленники проследили пути резервного копирования и резервные копии тоже зашифрованы… Преступники сработали красиво и постарались нанести удар максимально эффектно.

К счастью, у нас налажены пути резервного копирования критической информации в облачные сервисы (Яндекс, mail.ru). Часть ресурсов копировались на холодные диски и хранилась дома. Масштаб потерь оказался серьезным, но не критическим.



Как произошла атака

Атака началась утром 7 июня в 09:40, во время старта нашей конференции. В 13:00 наши специалисты обнаружили подозрительную активность, но было уже поздно. Принято решение немедленно обесточить ИТ-оборудование и компьютеры сотрудников.



Реакция

Первым делом мы связались с нашими клиентами и попросили заблокировать наши учетные записи и доступы к их ИТ-инфраструктуре. Самый большой риск заключался в том, что атака могла распространиться на заказчиков WSS-Consulting.

Почему мы допускали такой вариант развития событий? Совсем недавно аналогичным образом взломали ИТ-компанию моего друга. Злоумышленники не стали шифровать данные компании, а атаковали клиентов, в результате чего данные некоторых из них оказались зашифрованы.

После этой информации мы запустили в WSS-Consulting проект усиленной защиты учетных записей клиентов, внедрив зашифрованную систему. Эта система не была прочитана злоумышленниками. Тем не менее, мы вместе с клиентами занимались мониторингом наших серверов у клиентов на предмет подозрительной активности.



Восстановление

Мы приняли решение полностью переустановить все операционные системы на серверах и рабочих станциях для гарантированного удаления вредоносного кода. В нашу новую инфраструктуру будут скопированы только документы и данные. Исполняемые файлы, операционные системы и т.п. будут удалены. Новая инфраструктура не должна и не будет иметь никакого физического контакта ни с одним компьютером из старой сети.

Также производятся меры по устранению уязвимостей, через которые злоумышленники получили доступ к серверам. 



Продолжение работы компании

Полное восстановление деятельности компании займет несколько дней.

На текущий момент мы оказываем услуги по технической поддержке наших решений в полном объеме. Возможно незначительное нарушение SLA.

Услуги по развитию наших решений выполняются частично, с 50% эффективностью. Выход на 100% эффективность ожидаем к 17 июня либо раньше. 



Выводы

1. Все важные системы и данные должны иметь несколько уровней резервного копирования.

Оперативный бэкап не серверах внутри сети может быть утерян. Облачный бэкап на сервера партнеров (Яндекс, mail.ru и т.д.) существенно снизит риски. Холодный бэкап на подключаемые жесткие диски позволит восстановить данные даже в случае масштабной кибервойны. Обязательно учитывайте тот факт, что отслеживание бэкапов и их заражение - одна из первоочередных задач злоумышленников, желающих нанести максимальный ущерб.

2. Обновляйте используемое ПО.

В нашем случае уязвимость оказалась в некоторых службах Microsoft, которые длительное время не обновлялись.

3. Антивирусы, сетевые фильтры и другие решения не дают 100% защиты.

Когда мы поинтересовались, почему антивирусы на серверах не только не защитили, но и были просто удалены преступниками, мы получили краткий и емкий ответ: «Данные решения не защищают от целенаправленных атак».

4. Можно уверенно утверждать, что против российских компаний сегодня идет шквал кибератак.

Атаке подвержены компании любого масштаба, количество и профессионализм атак очень высокие.

5. Занимайтесь кибербезопасностью.

Если бы мы ответили себе на вопрос «А что, если?», то наших собственных знаний было бы достаточно, чтобы сократить в 10 раз любые негативные эффекты данной атаки. Кибербезопасность - это не обязательно вопрос денег, это, в первую очередь, интеллектуальная работа. Достаточно составить список угроз, для каждой угрозы прописать меры по ее предотвращению и, самое главное, – меры по восстановлению в случае реализации угрозы.



Открытые вопросы

Для меня лично остался ряд вопросов, которые пока не имеют ответов.

  • Централизация ИТ.

Использование Active Directory удобно, так как позволяет управлять всем ИТ-оборудованием и программным обеспечением компании. Но это также дает возможность полностью обрушить ИТ-инфраструктуру. Централизация повышает риски.

  • Нужно ли бизнес-системам быть в корпоративной сети?

Облачные решения оказываются гораздо устойчивее. Мы сами решили пойти по пути изоляции критичных ИТ-решений от рабочей сети. К примеру, наша сеть и сервера в Екатеринбурге не пострадали, потому что были изолированы от московской сети.

  • Microsoft.

По информации от коллег, как правило, взломы осуществляются через программное обеспечение Microsoft. В нашем случае так и произошло, а вот наши сервера на Linux оказались не затронуты атакой. А что будет, если в случае обострения отношений России с США массированную кибератаку произведут американские спецслужбы? Уверен, никакие обновления не спасут от блокировки операционных систем на базе Microsoft. Использование opensource-решений не только снижает вероятность кибератаки, но и дает возможность восстановить работу – исходные коды доступны, а «бэкдоры» в случае обнаружения могут быть закрыты российскими специалистами.

Мы приняли решение двигаться в сторону opensource как в серверном ПО, так и на рабочих станциях. Наши корпоративные продукты WSS Docs5 и WSS Portal5 уже полностью переведены на opensource-стек технологий, тогда как наша ИТ-инфраструктура пока работает на Microsoft: AD, Hyper-V, Exchange, SQL Server, RDP и так далее. От всего этого мы в WSS-Consulting будем постепенно отказываться. Продукты Microsoft очень удобны, ИТ-службы умеют и любят с ними работать, но они несут стратегические риски.



Благодарности

Я хотел бы поблагодарить наших сотрудников, сплотившихся в момент кризиса и самоотверженно бросившихся устранять последствия атаки.

Также хочу поблагодарить наших клиентов - мы находились в тесном контакте со специалистами служб информационной безопасности многих клиентов, нам оказывали консультативную и моральную поддержку. 

Уже сейчас могу уверенно утверждать, наша компания по результатам данного инцидента станет сильней. Мы отделались «легким испугом». Ситуация могла иметь более тяжелые последствия, поэтому я называю произошедшее «уроком кибербезопасности».

Нам еще предстоят работы по восстановлению ИТ-инфраструктуры, но мы быстро справимся.

Спасибо всем, что вы с нами!

Геннадий Попов,

Генеральный директор WSS-Consulting

Мы используем cookies, чтобы улучшить работу сайта и предоставить вам больше возможностей. Продолжая использовать сайт, вы соглашаетесь на обработку файлов «cookies».

Подробнее