Журнал "Information Security/ Информационная безопасность" #1, 2025

• 65 ПРОФЕССИЯ www.itsec.ru Медленный спуск в реальность В разгар расследования киберинци- дента сотрудники заказчика договори- лись встретиться. Один ждал другого на улице. Ждал долго. Спустя час в чате появляется загадочное сообщение: – Я начинаю постепенно спускаться. Звучит как реплика героя в финале сложного квеста. На деле – обычная потеря ощущения времени в процессе тушения цифрового пожара. В офисе кипела работа, анализировались логи, проверялись гипотезы. А где-то внизу, на улице, одинокий человек задумался, не сменить ли ему профессию на что-то менее динамичное – например, стать парковой статуей. Запуск флагов В разгар сбора форензики сотрудники заказчика запустили дампер… вернее, почти запустили. Один из них вместо самой утилиты попробовал запустить её флаги: – Почему ничего не работает?! – А что ты запустил? – Ну вот, –memory –full –dump Ожидалось, что пойдет сбор артефак- тов, а в итоге – только глубинное осо- знание, что флаги без программы бес- полезны. Зато теперь все точно знают, что запустить параметры без утилиты так же эффективно, как заправить бен- зин в ведро и надеяться, что оно поедет. Следствие в чистом поле Нам прислали форензик-данные для анализа. Открываем, смотрим и не пони- маем: а где, собственно, следы хакеров? Оказалось, что машины, с которых их собирали, только что были переуста- новлены. Это как приехать на место преступле- ния, а там уже не только все улики убрали, но и сам дом снесли, новый построили и жильцов заселили. Спасибо, конечно, за свежий образ системы, но расследовать, увы, было нечего. Когда время уже не имеет значения Расследование давно завершено, отчеты сданы, все выводы сделаны. И вот, через четыре месяца, неожиданное сообщение: – Прислали данные по тому компью- теру. Интрига! Может, что-то важное всплы- ло? Открываем – и, конечно же, это данные с только что переустановленной системы. Денис Гойденко, руководитель PT ESC IR, Positive Technologies Фото: Positive Technologies Кибербезопасность? Да кто ее покупает? Компания с филиалами, магазинами и производством жила по принципу эконо- мии. ИТ-директор давно понимал, что пора централизовать защиту, но до еди- ного антивируса руки не доходили. Все изменилось, когда он заинтересовался предложением одной ИБ-компании и устроил презентацию для руководства. После выступления слово взял собст- венник. Вердикт был прост: – В жизни столько не тратил на кибер- без! 20 лет работаю – и не тратил! Решение принято. То есть ничего не делать. Спустя пару месяцев, в марте 2022 г., атаки на бизнес усилились. Компания оказалась в числе жертв, в первые часы злоумышленники зашифровали 700 сер- веров и затем вышли на связь: – Вернем все за 500 евро! – Ой, подождите, у вас тут интересные вещи… Пусть будет 15 тысяч! – Так, мы нашли еще кое-что… Давай- те не будем мелочиться! Аппетиты взломщиков росли. А когда выяснилось, что резервные копии тоже зашифрованы, стало окончательно грустно. После инцидента собственника спро- сили, что он думает о произошедшем. Он долго не раздумывал: – Виноват ИТ-директор. Недостаточно убедителен был. ИБ-бюджет в компании все же появил- ся. Возможно, на него даже купят анти- вирус. Дважды на те же грабли Одна компания из сферы торговли столкнулась с классическим сценарием цифрового апокалипсиса: основной склад встал, компьютеры не включались, система не запускалась. Время восста- новления данных растянулось на три недели. Но паники не было! ИТ-специалист уверенно заявил, что все под контролем и последствия атаки полностью устра- нены. На деле это оказалось далеко от исти- ны. Как только склад начал оживать, зло- умышленники тут же вернулись. Им даже напрягаться не пришлось – вредо- нос уже был внутри, просто ждал нуж- ного момента. Компания снова оказалась в цифро- вом тупике, но теперь с "бонусом": – Ваши данные зашифрованы! Хотите их вернуть? Платите! Судя по всему, хакеры просто следили за восстановлением бизнеса и ждали, когда можно попросить денег за вторую серию. В этот момент руководство, возможно, впервые задумалось: а может, все-таки стоило решать проблему не "в частном порядке", а системно? Заморозка бизнеса Компания успешно торговала скоро- портящимися продуктами, наладила логистику через подрядчика и не подо- зревала, что одна атака может превра- тить бизнес в хаос. Хакеры ударили по логистической компании, а пострадали… фуры с това- ром. На планшетах водителей исчезли путевые листы, и фуры зависли в неопределенности. – Куда везем? – Без понятия, тут пусто. – Отлично, посидим, подождем. А вот продукты ждать не могли. Время в холодильниках тикает быстрее, чем в обычном бизнесе. Когда маршруты наконец восстанови- ли, продукция уже перестала быть продукцией. Ирония в том, что атака была не на саму компанию, но убытки понесла именно она. Вывод прост: – это не только про себя, но и про тех, с кем работаешь. Алексей Киселев, руководитель отдела по работе с клиентами среднего и малого бизнеса, “Лаборатория Касперского” Фото: Лаборатория Касперского