Хакеры требовали выкуп в биткоинах от казахстанской госкомпании

В одной из госкомпаний Казахстана обнаружено заражение сети вирусом-шифровальщиком. Для дешифровки злоумышленники потребовали выплату в биткоинах, передаёт BaigeNews.kz со ссылкой на АО "Государственная техническая служба" (ГТС).

"Предварительный анализ показал, что организация не соблюдала требований постановления правительства РК от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности". Таким образом из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер", - сообщили в ГТС.

Специалисты установили, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.

Для всех пользователей организации была создана лишь одна учётная запись – "X". С помощью перебора паролей, используя протокол RDP (протокол удалённого рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции. После удаления антивирусного ПО на все устройства был загружен шифровальщик.

Зашифрованные файлы получили расширение и выполнили команды, предназначенные для остановки различных служб и отключения определённых функций в операционной системе Windows. Также шифровальщик скопировал самого себя в папку для установки в автозагрузки, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа. 

Технические детали расследования инцидента можно прочитать здесь.