Национальная служба реагирования на компьютерные инциденты KZ-CERT (далее — KZ-CERT) АО «Государственная техническая служба» сообщает, что 9 октября, текущего года сотрудниками казахстанского частного телеканала «31 канал» были обнаружены файлы с подозрительными расширениями (зашифрованные файлы) на их файловом сервере.

Для нейтрализации угроз технические администраторы «31 канала» в первую очередь отключили сетевые интерфейсы на зашифрованных серверах.

Затем системный администратор заметил следы вредоносного программного обеспечения (ВПО), запущенного под локальным администратором с помощью программ (ProcessHackeк, UBitUnlocker). Кроме того, с данного сервера были замечены подключения по RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) к другим серверам со взломом аккаунтов локальных администраторов.

В списке зашифрованных серверов были замечены сервера, связанные с программой 1C, файловым сервером бухгалтерии, WiFi, сервером печати и др. Злоумышленникам удалось вручную удалить установленные антивирусные ПО на всех серверах.

В ходе анализа сотрудниками KZ-CERT проведены работы по сканированию зашифрованных серверов. Установлено, что зараженные сервера, находящиеся в одной виртуальной локальной компьютерной сети (VLAN), имели уязвимость, связанную с авторизацией. Резервное копирование данных не осуществлялось своевременно.

В настоящее время сотрудниками KZ-CERT продолжаются работы по исследованию инцидента с целью принятия организационных и технических мер, даны первичные рекомендации по соблюдению стандартов информационной безопасности, ведению логирования и резервного копирования. Сняты образы серверов для дальнейшего проведения мероприятий по компьютерной криминалистике.

*ДЛЯ ИНФОРМАЦИИ рекомендации по защите от атак вредоносных программ и программ-вымогателей опубликованы на официальном интернет-ресурсе KZ-CERT https://www.cert.gov.kz/news/13/2057 в разделе советы и рекомендации для малого и среднего бизнеса.

https://sts.kz/2022/10/17/31_kanal_bil_atakovan_shifrovalschikom/