В Службу реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» поступило обращение об обнаружении вируса-шифровальщика в сети, который зашифровал базу 1С одной из известных казахстанских компаний.
Для разархивирования злоумышленник потребовал выкуп в размере 0.2 биткоина, что составляет более 3,5 млн. тенге.
После предварительного анализа было выявлено о невозможности восстановления зашифрованных данных, так как регулярное резервное копирование данных сервера не производилось. Расследование показало, что сотрудники компании подключались к серверу с помощью протокола подключения к удаленному рабочему столу RDP, а соединение осуществлялось без использования защищенного соединения с помощью VPN.
Предположительно, злоумышленник скомпрометировал учетную запись администратора сервера, используя атаку типа RDP Brute force, а далее после получения доступа к серверу осуществил загрузку вредоносного программного обеспечения, с помощью которого зашифровал данные на сервере 1C.
В ходе процесса по устранению киберинцидента все-таки удалось расшифровать все данные на сервере 1С.
