У казахстанской госкомпании за дешифровку информации требовали выкуп в биткоинах

О редакции Подписывайтесь на нас в Google News!
Дата публикации: 02.03.2023, 12:53

Фото — АО «Государственная техническая служба»

В одной из организаций квазигосударственного сектора Казахстана было обнаружено заражение сети вирусом-шифровальщиком, а для дешифровки злоумышленники потребовали выплату в биткойнах — об этом сообщает АО «Государственная техническая служба».

Предварительный анализ показал, что организация не соблюдала требований постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности». Таким образом, из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер.

Специалисты ГТС установили, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.

Для всех пользователей организации была создана лишь одна учетная запись – «X». С помощью перебора паролей, используя протокол RDP (протокол удаленного рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции. После удаления антивирусного ПО на все устройства был загружен шифровальщик.

Зашифрованные файлы получили расширение  (CW-WL3048625917)  и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операционной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows. В придачу шифровальщик скопировал самого себя в папку для установки в автозагрузки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа.

Анализ показал, что кибератака, предположительно, была реализована таким образом:

Сотрудники KZ-CERT дали ряд рекомендаций, как сохранить часть файлов при заражении и предотвратить подобные случаи.