В небольшой компании «СмартРитейл», занимавшейся онлайн‑продажей электроники, всё шло своим чередом: заказы тикали, склад отгружал коробки, а директор грезил о «цифровой революции». ИТ‑инфраструктура была простая: два сервера на Windows Server 2012, пара виртуальных машин и Google Drive для базы данных. Всё это обслуживал системный администратор, который считал обновления операционной системы пустой тратой времени. «Отключаем их — и так работает», — говорил он, закрывая уведомления о патчах.
Хотите разбирать реальные случаи взломов и разбираться в киберугрозах? В своём Telegram‑канале Security Controls я делюсь историями атак, методами защиты и разбором уязвимостей. Подписывайтесь, если тема безопасности вам интересна. |
Тёмный старт
Проблема началась незаметно. Системный администратор выключил автоматические обновления, чтобы серверы не перезагружались посреди дня. Через месяц в даркнете появился эксплойт для уязвимости BlueKeep (CVE-2019–0708) из Metasploit Framework. Он запускал шелл‑код через открытый порт 3389 RDP, не требуя даже пароля. Патч KB4 503 327, закрывающий эту дыру, лежал на сайте Microsoft уже год, но так и не был установлен. Хакер активировал эксплойт, и на сервере тихо запустился шифровальщик.
Утро прозрения
В понедельник в офис вошла новая сотрудница — помощник ИТ‑отдела, только что окончившая курсы по кибербезопасности. На второй день она почувствовала неладное: «Почему сервер так медленно отвечает?» Открыв Event Viewer, она удивилась, увидев RDP‑подключения в 3:00 утра с IP‑адреса, зарегистрированного в Бразилии по базе MaxMind. «Кто‑то работает ночью из другой страны?» — спросила она, показывая записи системному администратору.
Тот отмахнулся: «Новенькая, это просто шум в логах». Но она настояла: «Проверь процессы!» Он нехотя запустил System Informer — утилиту, которая показывает все запущенные процессы с деталями, недоступными стандартному диспетчеру задач.
Процесс svch0st.exe активно писал на диск, маскируясь под системный svchost.exe. А на рабочем столе уже появился файл README.txt с требованием 5 биткоинов.
Хаос набирает обороты
Системный администратор набрал директора: «Шеф, у нас шифровальщик, данные пропадают!» Директор ворвался в серверную и ударил кулаком по столу: «Какой шифровальщик? Ты же говорил, что всё под контролем!» Системный администратор признался: «Это BlueKeep. Патч KB4 503 327 закрывает уязвимость, но я отключил обновления, чтобы сервер не тормозил». Директор побагровел: «Ты думал, что экономишь время? Теперь мы теряем 2 миллиона в день!»
Новая сотрудница предложила: «Надо изолировать сервер и проверить, что можно спасти». Системный администратор выдернул кабель, но шифровальщик уже добавил к файлам в C:\Clients\DB расширение.locked. Он запустил Dr.Web CureIt с флешки, но утилита нашла только зашифрованные файлы, а вирус работал в памяти, применяя техники маскировки — антивирус не мог добраться до исполняемого модуля.
«Ставим патч?» — спросила она. «Нельзя, — ответил он, — складское ПО использует устаревшие компоненты, несовместимые с новыми патчами, после обновлений система просто не запускалась». Выбор был жестоким: без патча — вирус, с патчем — простой склада.
Падение в пропасть
Ситуация ухудшалась. Google Drive синхронизировал зашифрованные файлы, а история версий была ограничена 30 днями — старые копии удалились автоматически. «Где бэкапы?!» — рявкнул директор. Системный администратор пожал плечами: «Думал, облако нас выручит…» Новая сотрудница нашла копию месячной давности на внешнем диске, но половина данных уже устарела.
Системный администратор открыл командную строку и ввёл taskkill /IM svch0st.exe /F — команду, которая принудительно завершает процесс с именем svch0st.exe, чтобы остановить шифрование. «Я его убиваю — а он перезапускается! У него, похоже, есть watchdog!» — выругался он, увидев, как процесс тут же вернулся под новым именем вроде tmp789.exe. Новая сотрудница предложила развернуть бэкап на запасной машине, но клиенты уже звонили с жалобами, а заказы терялись.
Горький итог
Через неделю клиенты получили письма: «Ваши данные утекли в даркнет». «СмартРитейл» потеряла 40% заказчиков, конкуренты переманили их скидками, а репутация рухнула. Новая сотрудница настояла на настройке WSUS для обновлений и ежедневных бэкапах. Через месяц системный администратор впервые за год обновил сервер — складское ПО, конечно, сломалось, но это уже никого не удивило. Он прикрепил к монитору стикер: «Обновления — не враги.
Враги — это лень и тупость». Но бизнес потерял миллионы, и директор до сих пор вздрагивал при слове «патч».
Что делать, чтобы избежать катастрофы:
Закройте порт 3389 на внешнем интерфейсе маршрутизатора или настройте правило брандмауэра Windows для блокировки входящих RDP‑соединений из Интернета.
Используйте Windows Server Update Services для создания локального репозитория обновлений. Особенное если обновления недоступны из внешней сети.
Создайте группы компьютеров по рабочему времени. Например, настройте группу «Внерабочее время», куда попадают серверы и критичные устройства, чтобы обновления ставились, например, в 2–4 часа ночи.
Создайте тестовую группу для установки обновлений на неключевых серверах. Проверьте совместимость обновлений с вашим ПО перед массовым развёртыванием.
Настройте периодическое тестирование восстановления данных (например, раз в месяц) и задокументируйте результаты.
Автоматизируйте проверку целостности резервных копий с использованием хеш‑сумм.
А у вас обновления включены?
Потому что следующая история может быть уже про вашу компанию.