«В Службу реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» поступило обращение об обнаружении вируса-шифровальщика в сети, который зашифровал базу 1С одной из известных казахстанских компаний. Для разархивирования злоумышленник потребовал выкуп в размере 0.2 биткоина (свыше 7902 долларов США, что составляет более 3,5 млн. тенге по курсу НБ РК на 06.04.2022 г.) с указанием своего электронного кошелька», - сообщили в KZ-CERT.

После предварительного анализа киберинцидента руководство компании было уведомлено о невозможности восстановления зашифрованных данных, так как регулярное резервное копирование данных сервера не производилось.

Расследование показало, что сотрудники компании подключались к серверу с помощью протокола подключения к удаленному рабочему столу RDP (протокол удалённого рабочего стола), а соединение осуществлялось без использования защищенного соединения с помощью VPN.

Предположительно, злоумышленник скомпрометировал учетную запись администратора сервера, используя атаку типа RDP Brute force, а далее после получения доступа к серверу осуществил загрузку вредоносного программного обеспечения, с помощью которого зашифровал данные на сервере 1C.

Специалистам KZ-CERT удалось расшифровать все данные на сервере 1С.

«Данный кейс, связанный с вирусом-шифровальщиком, в очередной раз доказывает, что несоблюдение или же игнорирование правил информационной безопасности может привести не только к утечке данных, но и к немалым финансовым потерям», – подчеркнули в ведомстве.