"31 канал" был атакован шифровальщиком

Сотрудники обнаружили файлы с подозрительными расширениями на их файловом сервере.

Национальная служба реагирования на компьютерные инциденты KZ-CERT АО "Государственная техническая служба" сообщает, что 9 октября сотрудниками казахстанского частного телеканала "31 канал" были обнаружены файлы с подозрительными расширениями на их файловом сервере.

Для нейтрализации угроз технические администраторы "31 канала", в первую очередь, отключили сетевые интерфейсы на зашифрованных серверах.

Затем системный администратор заметил следы вредоносного программного обеспечения, запущенного под локальным администратором с помощью программ (ProcessHackeк, UBitUnlocker). Кроме того, с данного сервера были замечены подключения по RDP (протокол удаленного рабочего стола) к другим серверам со взломом аккаунтов локальных администраторов.

В списке зашифрованных серверов были замечены сервера, связанные с программой 1C, файловым сервером бухгалтерии, WiFi, сервером печати и др. Злоумышленникам удалось вручную удалить установленные антивирусные ПО на всех серверах.

В ходе анализа сотрудниками KZ-CERT проведены работы по сканированию зашифрованных серверов. Установлено, что зараженные сервера, находящиеся в одной виртуальной локальной компьютерной сети (VLAN), имели уязвимость, связанную с авторизацией. Резервное копирование данных не осуществлялось своевременно.

В настоящее время сотрудниками KZ-CERT продолжаются работы по исследованию инцидента с целью принятия организационных и технических мер, даны первичные рекомендации по соблюдению стандартов информационной безопасности, ведению логирования и резервного копирования. Сняты образы серверов для дальнейшего проведения мероприятий по компьютерной криминалистике.