Решил написать пока свежо, может кому поможет не наступить. Месяц назад словили шифровальщика в конторе на ~150 рабочих мест. Зашли не через какой-то 0day, а через учетку подрядчика по 1С. У него был доступ по RDP через проброс на шлюзе, пароль из серии Qwerty123 и без второго фактора. Дальше за ночь прошлись по сети, добили до контроллера домена и зашифровали файловый сервер и часть бэкапов. Бэкапы лежали в той же сети на доступной шаре, это была главная ошибка.
По итогу восстановились из старого офлайн-бэкапа который случайно лежал на отдельном NAS без сети, потеряли примерно 4 дня данных. Если бы не он, платили бы или закрывались. Сейчас сделали офлайн-копии по правилу 3-2-1, MFA на все внешние доступы, и подрядчиков загнали в отдельный сегмент с доступом только к нужным машинам. RDP наружу закрыли совсем, теперь через VPN с сертификатом. Дешевле было сделать это год назад, чем разгребать сейчас.
Разбор как нам прилетел шифровальщик через учетку подрядчика
Рейтинг: 0% · 0 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
✔ Лучший ответ сформирован автоматически — christo
справедливо, претензий по паролю не имею, сами виноваты на сто процентов. по EDR спрашивали выше, стоял встроенный дефендер и больше ничего. сейчас поставили нормальный EDR с поведенческим детектом, на тесте ловит запуск шифрования по массовому переименованию файлов и изолирует хост. но это уже после того как клюнул жареный петух
Re: Разбор как нам прилетел шифровальщик через учетку подрядчика
✔ Лучший ответ — сформирован автоматически
справедливо, претензий по паролю не имею, сами виноваты на сто процентов. по EDR спрашивали выше, стоял встроенный дефендер и больше ничего. сейчас поставили нормальный EDR с поведенческим детектом, на тесте ловит запуск шифрования по массовому переименованию файлов и изолирует хост. но это уже после того как клюнул жареный петух
-
juniorstack
- Сообщения: 62
- Зарегистрирован: 12 май 2026, 12:04
Re: Разбор как нам прилетел шифровальщик через учетку подрядчика
EDR хорошо но он бы вам тут не сильно помог если учетка легитимная и руками все делали под видом админа. поведенческий детект на шифрование сработал бы поздно, часть файлов уже ушла бы. сегментация и MFA в вашем случае важнее в разы
-
coder_vlad
- Сообщения: 72
- Зарегистрирован: 11 май 2026, 01:57
Re: Разбор как нам прилетел шифровальщик через учетку подрядчика
@christo, добавлю про детект. поставьте алерт на создание новых пользователей в домене и на массовые логоны с одной учетки на кучу машин за короткое время. это видно в логах винды бесплатно, ивенты 4624 4720 4728. многие лезут в дорогие SIEM а базовый аудит логов уже половину дает
Поделиться темой:
✈ Telegram
VK
- Похожие темы
-
-
- Прилетел 4.3 Design: Spam на пустом месте — кто как воевал с App Review?
18 ответов · 738 просмотров
-
- Месяц на free-threaded Python 3.14 в проде: разбор выписок ускорился в 5 раз, но граблей хватает
5 ответов · 12 просмотров
-
- Дал Claude Code доступ к стейджу через MCP, он снес базу. Разбор моего фейла
7 ответов · 9 просмотров
-
- Агент запушил .env в публичный репо, ключ OpenRouter высосали за 40 минут. Разбор моего фейла
6 ответов · 8 просмотров
-
- Отдали разметку 180к фоток подрядчику за 400к рублей и получили мусор, разбор факапа
7 ответов · 8 просмотров
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость