Анатомія атаки. Частина 1 Як ransomware потрапляє у мережу компанії
На початку 2026 року команда SHERIFF Кібербезпека завершила розслідування інциденту у фінансовій компанії.
Історія виглядала знайомо: вранці співробітники не змогли відкрити бухгалтерські файли. Сервери працювали, комп’ютери вмикались, але дані були зашифровані. На екранах з’явилося коротке повідомлення від зловмисників — так званий ransom note, вимога сплатити викуп за розшифрування.
Атака тривала менше трьох діб.
За цей час зловмисники проникли в мережу, отримали повний контроль над інфраструктурою і запустили шифрувальник.
Це була операція групи BlackField, одного з багатьох угруповань, що спеціалізуються на ransomware — програмному забезпеченні, яке блокує дані компанії та вимагає гроші за їх повернення.
Ця публікація відкриває освітню серію «Анатомія атаки».
Ми будемо розбирати реальні інциденти крок за кроком — так, щоб їх могли зрозуміти не лише ІТ-фахівці, а й власники бізнесу та топменеджери.
Бо найважливіше питання в таких історіях завжди одне: чому це стало можливим?
Перша помилка: відчинені двері у мережу
Розслідування будь-якої атаки починається з периметра — тобто з того, як компанія підключена до інтернету.
У цьому випадку перший же аналіз показав проблему, яка трапляється у бізнесі частіше, ніж здається.
На маршрутизаторі було налаштовано 8 правил переадресації RDP через нестандартні порти (13389, 23389, 33389...). При цьому захист від brute-force, який був налаштований на маршрутизаторі, покривав лише один стандартний порт і не впливав на ці вісім.
Що це означає простими словами.
У більшості компаній працівники або системні адміністратори іноді підключаються до офісних комп’ютерів віддалено. Для цього існує технологія RDP (Remote Desktop) — вона дозволяє бачити робочий комп’ютер через Інтернет так, ніби ви сидите перед ним.
Це зручно.Але лише тоді, коли доступ захищений.
У цій компанії ситуація виглядала інакше.
Через маршрутизатор було відкрито доступ до восьми комп’ютерів.
Будь-хто у світі міг спробувати підключитися до них.
Без VPN.
Без двофакторної автентифікації.Без обмеження за IP.
Фактично це виглядало так, ніби у будівлі офісу залишили відчиненими вісім дверей, а замість сигналізації просто написали на табличці:
“Просимо заходити лише співробітників”.
Адміністратори компанії були впевнені, що мережа захищена, бо вона знаходиться “за NAT”.
Це дуже поширене хибне уявлення.
NAT — це не захист. Це просто технічний механізм, який дозволяє комп’ютерам всередині мережі виходити в Інтернет.
Якщо ж на маршрутизаторі зроблено прокидання портів, то доступ відкривається повністю.
І саме через такі “відчинені двері” більшість ransomware-груп і потрапляє у мережі компаній.
Другий фактор: сервер із минулого
Наступна знахідка була не менш показовою.
Підписуйтеся на наші соцмережі
Центром управління всією мережею компанії був контролер домену Active Directory.
Це головний сервер, який керує всіма користувачами, правами доступу та комп’ютерами.
Уявіть його як серце ІТ-системи компанії.
Цей сервер працював на Windows Server 2008.
Проблема в тому, що підтримку цієї операційної системи Microsoft припинила ще у 2020 році.
Тобто сервер працював на технології, якій 17 років.
Що це означає з точки зору безпеки?
У такій системі вже відомі десятки критичних вразливостей. Багато з них мають готові інструменти для зламу.
Серед них:
- Zerologon — дозволяє отримати контроль над доменом
- EternalBlue — експлойт, який використовувався у вірусі WannaCry
- PrintNightmare - ще один спосіб отримати адміністративні права
Інакше кажучи, якщо компанія залишає такий сервер у мережі, то для атакувальника це виглядає як старий сейф із відомим кодом замка.
Аудит показав максимум ризику
Щоб оцінити стан мережі, ми провели аудит за допомогою інструменту PingCastle.
Це система, яка аналізує конфігурацію домену і показує рівень ризику.
Результат аудиту — 100 зі 100 балів. Це не оцінка якості — це шкала ризику, де 100 означає найгірший можливий стан.
Що саме було знайдено:
- 52 облікові записи з правами Domain Admin (нормальною практикою вважається 3–5)
- відсутність політики зміни паролів для критичних акаунтів
- увімкнений SMBv1 — старий мережевий протокол із численними вразливостями
- десятки комп’ютерів на Windows 7
- і навіть кілька систем на Windows XP
Фактично інфраструктура виглядала так, ніби її кілька років ніхто системно не оновлював.
Для атакувальника це майже ідеальне середовище.
Обліковий запис, який відкрив усе
Після проникнення у мережу зловмисники почали так зване горизонтальне переміщення — пошук способів отримати доступ до більшої кількості серверів.
Для цього вони використали сервісний акаунт системи 1С.
Це типовий технічний обліковий запис, який використовується програмою для підключення до серверів.
Саме він став ключем до всієї інфраструктури.
Чому?
По-перше, цей акаунт мав права Domain Admin — фактично повний контроль над мережею.
По-друге, він регулярно підключався до багатьох серверів. Тому активність виглядала “нормальною”.
По-третє — за таким акаунтом не стоїть жива людина, яка могла б помітити щось підозріле.
І ще один важливий момент.
Пароль цього акаунта ніколи не змінювався.
Більше того — він мав право входити у систему через RDP, хоча для роботи сервісу це взагалі не потрібно.
Це класичний приклад того, що у кібербезпеці називається надмірними привілеями.
Чому компанія нічого не помітила
Найцікавіше в цій історії — компанія не бачила атаки.
Причина проста.
У мережі не було централізованого збору логів.
Логи — це журнали подій: хто входив у систему, коли, з якого комп’ютера.
У цій інфраструктурі вони зберігались локально на кожному сервері.
Це означає, що зловмиснику достатньо було очистити журнал на одному ключовому сервері, щоб прибрати сліди.
Саме це і сталося.
У компанії не було:
- SIEM-системи
- централізованого моніторингу
- системи виявлення атак
Зловмисник розмістив шифрувальник на двох машинах одночасно — а потім півтори години чекав, перш ніж знищити логи.
Що він робив у цей час — у наступній частині.
Коли почалося розслідування, ситуація ускладнилась ще більше.
IT-відділ, намагаючись відновити роботу, перевстановив більшість серверів.
Один із ключових серверів — з якого керували атакою — був повністю стертий.
Для цифрової криміналістики це означає втрату частини доказів.
Найважливіший висновок
Ця атака не була складною.
Зловмисники не використовували:
- дорогі хакерські інструменти
- складні C2-системи
- нові невідомі уразливості
Вони просто скористалися тим, що знайшли:
- відкритий RDP
- застарілі сервери
- надпривілейований акаунт
- відсутність моніторингу
І цього виявилось достатньо, щоб паралізувати роботу компанії.
Запитання, які варто поставити своїй ІТ-команді
Якщо ви керуєте компанією, перевірте кілька простих речей:
- Чи є у вашій мережі відкритий RDP із Інтернету?
- Скільки облікових записів мають права Domain Admin?
- Коли востаннє змінювались паролі сервісних акаунтів?
- Чи є система централізованого моніторингу логів?
Якщо хоча б одне з цих запитань викликає сумнів - краще розібратися з цим зараз.
Бо наступного разу ці слабкі місця може знайти не аудитор, а хакер.
У наступній частині серії «Анатомія атаки» ми покажемо, що відбувається після проникнення.
«48 годин усередині мережі: що робить зловмисник перед запуском ransomware».
Крок за кроком — від першого входу до моменту, коли запускається шифрування.
Автор: команда DFIR,
SHERIFF Кібербезпека
0
Підписуйтеся на наші соцмережі
Спільнота
Пиши на SPEKA!
Будь в курсі зі SPEKA!
Раз на тиждень ми будемо відправляти вам найцікавіші редакційні матеріали.
