Если ваши компьютеры внезапно зашифрованы и требуют биткоин-выкуп, каждая секунда обходится бизнесу слишком дорого. Наши протоколы реагирования на инциденты (IR) отработаны до автоматизма. Мы немедленно изолируем заражённые VLAN, выявляем активные механизмы закрепления злоумышленника в Active Directory и запускаем восстановление из иммутабельных резервных копий.
Локализация угрозы в первый час
Первоочередная задача при активной атаке программы-вымогателя — остановить её распространение. В течение нескольких минут после обнаружения мы дистанционно отключаем заражённые VLAN на уровне управляемых коммутаторов — без необходимости физического присутствия в офисе. На периметральном межсетевом экране обновляются правила для блокировки исходящих C2-коммуникаций (управление и контроль) из скомпрометированных IP-диапазонов, что предотвращает дальнейшие команды шифрования уже заражённым конечным точкам.
Одновременно наши инженеры анализируют журналы Active Directory для выявления скомпрометированной учётной записи, использованной для горизонтального перемещения, блокируют её и проводят аудит всех привилегированных групп на предмет недавно добавленных аккаунтов — стандартная техника закрепления, применяемая группировками ransomware, работающими на Ближнем Востоке.
- Изоляция VLAN на уровне управляемых коммутаторов в течение 15 минут
- Блокировка исходящих C2-соединений на периметральном межсетевом экране
- Блокировка скомпрометированных учётных данных и аудит привилегий в Active Directory
- Криминалистический анализ памяти ключевых серверов для обнаружения механизмов закрепления
- Протокол коммуникации для уведомления сотрудников и стейкхолдеров в ходе инцидента
Криминалистическое расследование и анализ первопричины
После локализации угрозы мы проводим криминалистический анализ для определения начального вектора атаки — как правило, это фишинговое письмо, незакрытая уязвимость или брутфорс RDP. С помощью Velociraptor или аналогичных инструментов для форензики конечных точек мы собираем историю запуска процессов, журналы сетевых подключений и записи об изменениях файловой системы на затронутых машинах.
В отчёте о первопричине документируется полная временная шкала атаки, конкретные эксплуатированные уязвимости и пробел в системе контроля безопасности, позволивший атаке реализоваться. Эта документация необходима для уведомления об инциденте в соответствии с Законом ОАЭ о киберпреступлениях (Федеральный декрет-закон № 34 от 2021 года), если инцидент повлёк кражу данных.
Восстановление и усиление защиты
Мы восстанавливаем работу из последней чистой резервной копии — в идеале из иммутабельного снимка состояния до начала атаки. Там, где это возможно, системы разворачиваются из чистых образов, а не восстанавливаются поверх существующей среды, — это исключает риск незамеченных механизмов закрепления. После восстановления мы внедряем конкретные меры защиты, которые предотвратили бы атаку: MFA для RDP, деплой патчей, почтовый sandbox или EDR — в зависимости от того, какой контроль отсутствовал.