Warning: file_put_contents(aCache/aDaily/post/codeibnews/--): Failed to open stream: No space left on device in /var/www/tgoop/post.php on line 50
КОД ИБ: информационная безопасность@codeibnews P.3397
CODEIBNEWS Telegram 3397
Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные
Атака на крупную нефтехимическую компанию.
Цель — шифрование ключевой базы данных.
В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.


🔓 Этапы атаки
День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!


🚨 Главные ошибки компании

— Полное отсутствие зрелых ИБ-процессов
— Доступ в домен снаружи без должной защиты
— Хранение логинов и паролей в открытом виде
— Отсутствие мониторинга, реакции на инциденты, обучения персонала

💬 Рекомендации экспертов

Технические меры:
Настроить XDR/EDR, прокси с категоризацией, антиспам, WAF, геоблокировку.

Организационные:
Работать над осведомленностью сотрудников, проводить регулярные учения и отрабатывать сценарии реагирования.

Навести порядок в учетках и доступах:
Контролировать обязательную смену временных паролей, привилегии, разделить внутреннюю сеть.

Изменить отношение к безопасности:
Информационная безопасность = партнер, а не враг. Важно выстраивать доверие между ИБ, IT и бизнесом.

Эфиры ток-шоу "Безопасная среда" проходят каждый месяц. Следите за анонсами, чтобы не пропустить разбор нового инцидента.
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍2



tgoop.com/codeibnews/3397
Create:
Last Update:

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные

Атака на крупную нефтехимическую компанию.
Цель — шифрование ключевой базы данных.
В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.


🔓 Этапы атаки
День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!


🚨 Главные ошибки компании

— Полное отсутствие зрелых ИБ-процессов
— Доступ в домен снаружи без должной защиты
— Хранение логинов и паролей в открытом виде
— Отсутствие мониторинга, реакции на инциденты, обучения персонала

💬 Рекомендации экспертов

Технические меры:
Настроить XDR/EDR, прокси с категоризацией, антиспам, WAF, геоблокировку.

Организационные:
Работать над осведомленностью сотрудников, проводить регулярные учения и отрабатывать сценарии реагирования.

Навести порядок в учетках и доступах:
Контролировать обязательную смену временных паролей, привилегии, разделить внутреннюю сеть.

Изменить отношение к безопасности:
Информационная безопасность = партнер, а не враг. Важно выстраивать доверие между ИБ, IT и бизнесом.

Эфиры ток-шоу "Безопасная среда" проходят каждый месяц. Следите за анонсами, чтобы не пропустить разбор нового инцидента.

BY КОД ИБ: информационная безопасность




Share with your friend now:
tgoop.com/codeibnews/3397

View MORE
Open in Telegram


Telegram News

Date: |

The court said the defendant had also incited people to commit public nuisance, with messages calling on them to take part in rallies and demonstrations including at Hong Kong International Airport, to block roads and to paralyse the public transportation system. Various forms of protest promoted on the messaging platform included general strikes, lunchtime protests and silent sit-ins. Hashtags Other crimes that the SUCK Channel incited under Ng’s watch included using corrosive chemicals to make explosives and causing grievous bodily harm with intent. The court also found Ng responsible for calling on people to assist protesters who clashed violently with police at several universities in November 2019. With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. Administrators
from us


Telegram КОД ИБ: информационная безопасность
FROM American