Как стать автором
Обновить

Ваших соседей пошифровали! Прямой репортаж с места событий

Уровень сложности Простой
Время на прочтение 8 мин
Количество просмотров 22K
Всего голосов 26: ↑25 и ↓1 +24
Комментарии 8

Комментарии 8

Серьезных эксплойтов для OpenSSH мир не видел давно

А вот это CVE-2023-38408?

Она крутая, но требует специальных условий. Волны атак с ее использованием мы не видели.

remote code execution if an agent is forwarded to an attacker-controlled system

То, что агента форвардить некузяво, было известно и до появления этой уязвимости.

Похоже на фильмы Гая Ричи, но не хватает английского философа наших дней Стейтема) Вопрос - как сделать предположение про точку входа злоумышленников? Брутфорс? Фишинговое письмо? Макрос в word документе, который скачивает полезную нагрузку? Вообще, реально ли размотать клубок до первого шага?

Хороший вопрос конечно, но ответа на него мы не узнаем, необходимо проводить полноценное расследование. Если точкой проникновения был SSH, то возможно креды были подобраны ранее или украдены из других источников. Но все это - не более чем догадки. Настоящая причина может быть в чем угодно - может их вообще украли стилером с компьютера администратора 🤷

Ну и самый простой вариант - кто-то продал реквизиты. Но такой "размотать клубок" только техническими средствами уже сложно

А итог какой? Фирма благополучно закрылась? Заплатили выкуп? Пострадали но, восстановились из бэкапов?

О дальнейшей судьбе этой истории мне неизвестно. Но как правило компании все-таки способны восстановить свою работу после атак шифровальщиков, потратив какое-то время и ресурсы.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий