В 2025 году атаки на резервные копии стали одной из самых опасных киберугроз — они лишают бизнес последней возможности восстановиться после инцидента.
По данным Sophos, в 94% случаев вирусы-шифровальщики целенаправленно атакуют бэкапы. Исследование Wipro показывает, что более 30% таких атак приводят к простою бизнеса на 11–30 дней.
Сегодня на реальном примере покажем, как защититься от подобных угроз. К нам обратилась компания с сообщением о взломе. Несмотря на настроенную двухфакторную аутентификацию, злоумышленники c помощью социальной инженерии получили одноразовый код и обошли защиту ИТ-инфраструктуры.
Компрометация учётной записи
Расследование показало, что несанкционированный вход выполнен под учётной записью сотрудника с его обычного MAC- и IP-адреса — это указывало на компрометацию его устройства.
Злоумышленник представился специалистом ИБ той же компании и убедил сотрудника перейти по фишинговой ссылке. В результате были получены доступы к устройству с установленным Google Authenticator.
Дополнительный анализ выявил, что на устройстве могли храниться пароли — в менеджере паролей или в незащищённом текстовом файле.
В итоге хакеры получили как постоянный пароль, так и одноразовые коды для доступа к виртуальной инфраструктуре и консоли управления. Сотрудник занимал рядовую должность, но имел права на управление виртуальными машинами, что значительно расширило возможности злоумышленников.
Компрометация инфраструктуры
Получив доступ, злоумышленник продолжил общение с сотрудником, выясняя детали ИТ-инфраструктуры: используемые системы, сетевую архитектуру и механизмы защиты. Это позволило глубоко изучить ИТ-ландшафт и найти уязвимости для дальнейшей атаки.
Злоумышленники проникли в виртуальную инфраструктуру, загрузили шифровальщик на все виртуальные машины и систему vSphere Management Assistant (vMA), а также получили доступ к консоли резервного копирования и удалили все бэкапы.
В результате компания осталась без рабочей ИТ-инфраструктуры и возможности восстановления. Бизнес был парализован на несколько дней.
Восстановление после инцидента
Мы восстановили работоспособность ИТ-инфраструктуры клиента: перенесли данные с локальных компьютеров в виртуальную среду MWS Cloud с помощью инструментов миграции.
Дополнительно настроили многоуровневую систему резервного копирования с функцией неизменяемых бэкапов. Для защиты от непредвиденных сбоев копии хранятся в географически распределённом дата-центре без возможности их удаления как сотрудниками заказчика, так и техническими специалистами MWS.
Работа заняла несколько дней. Мы продолжаем поддерживать клиента через аварийный чат, и сейчас его инфраструктура полностью восстановлена и стабильно работает.
Стратегия защиты
Для защиты от подобных инцидентов мы настраиваем репликацию виртуальных машин в дополнительный дата-центр — в инфраструктуре MWS Cloud, у другого провайдера или у самого заказчика.
Технически это реализуется как полная копия рабочей ВМ с синхронизацией данных каждые 5–10 минут. Это обеспечивает постоянную актуальность информации на резервном сервере. При сбое основной виртуальной машины нагрузка автоматически переносится на резервный экземпляр, что минимизирует простои и потери данных.
Для резервного копирования мы предлагаем несколько решений.
Защита от шифровальщиков с помощью ИИ
Решение «Кибер Бэкап» включает встроенную защиту от вирусов-шифровальщиков. Система использует искусственный интеллект для анализа активности работы с файлами в резервных копиях.
«Кибер Бэкап» отслеживает аномальные операции — например, попытки перезаписи файлов в нестандартное время — и блокирует подозрительные действия.
С этой системой за несколько лет использования у наших клиентов не было случаев шифрования бэкапов.
Неизменяемые резервные копии и хранилище
Клиент выделяет хранилище (например, диск на 10 ТБ) и помечает его как неизменяемое. В течение заданного периода (например, 14 дней) удалить или изменить резервные копии невозможно — ни клиенту, ни провайдеру.
Ротация копий устроена так: старая версия удаляется только после создания новой проверенной копии. Это гарантирует сохранение как минимум двух последних рабочих версий бэкапов.
Клиент может гибко настраивать политику хранения. Например, можно хранить копии за последние 2 недели, где самая свежая неделя всегда защищена от изменений.
Комплексная защита: три уровня безопасности
Для максимальной защиты рекомендуем сочетать три метода:
Защиту от шифровальщиков через анализ поведения.
Создание неудаляемых копий.
Изолированное хранение — размещение копий на отдельном сервере или внешнем носителе.
Клиент может самостоятельно создавать резервные копии данных, хранить их в любом удобном месте и использовать собственное шифрование. Мы также рекомендуем применять геораспределённое хранение копий. В случае сбоя в основном дата-центре (независимо от причин) клиент сможет восстановить данные из резервной копии в другом дата-центре и продолжить работу с минимальным простоем.
Как минимум, резервные копии должны храниться по правилу 3-2-1:
3 копии данных;
на 2 разных типах носителей;
при этом 1 копия должна храниться вне основной площадки.
Данные на физических носителях (жёстких дисках или ленточных накопителях) рекомендуется хранить в физически изолированном месте, например в защищённом сейфе, без доступа к сетям. Такие копии обычно обновляются раз в полгода или год, чтобы обеспечить возможность восстановления после катастрофических событий.
Общие рекомендации по повышению безопасности и подготовке к инцидентам
Для повышения уровня безопасности и минимизации последствий инцидентов рекомендуем внедрить следующие меры:
Регулярные учебные фишинговые атаки
Плановые учения, в ходе которых отдел информационной безопасности рассылает тестовые фишинговые письма, помогут:
Оценить бдительность сотрудников и их готовность к реальным угрозам.
Выявить уязвимости в системе безопасности.
Разработать чёткие регламенты обработки входящих запросов.
2. Разработка и отработка плана аварийного восстановления (Disaster Recovery Plan, DRP)
Создайте детальный план восстановления после сбоев, который включает:
Чёткие инструкции по восстановлению данных из резервных копий.
Распределение ролей и зон ответственности на время инцидента.
Регулярные учения по отработке восстановления из резервных копий.
Документацию с пошаговыми инструкциями для различных сценариев инцидентов.
3. Усиление контроля доступа
Внедрите политику регулярной смены паролей.
Ограничьте права доступа по принципу минимальных привилегий: рядовым сотрудникам не требуется доступ к управлению инфраструктурой.
Настройте ролевую модель доступа, которая предусмотрена в вашей системе, но не была активирована должным образом.
Контролируйте подрядчиков и особенно пользователей с привилегированным доступом.
4. Микросегментация сети
Разрешите доступ только между определёнными IP-адресами в рамках одного проекта, чтобы исключить горизонтальное перемещение внутри инфраструктуры.
5. Многоуровневая аутентификация
Используйте отдельное VPN-подключение с многофакторной аутентификацией.
6. Регулярные учения по кибербезопасности
Систематические пентесты и аудит безопасности выявляют уязвимости в ИТ-инфраструктуре до того, как ими воспользуются злоумышленники.
Часто атакам подвергаются системы резервного копирования, которые не обновляются из-за ухода зарубежных вендоров. Но чем больше компания инвестирует в безопасность, тем выше для злоумышленников становится стоимость компрометации ИТ-инфраструктуры. Комплексный подход, включающий регулярные учения и строгое соблюдение политик безопасности, значительно снизит риски и сократит время восстановления при реальных инцидентах.
Ещё больше о бэкапах и безопасности данных рассказываем на вебинаре — смотрите по ссылке.
