RETAIL CHAIN
RECOVERY
Инцидент:Атака шифровальщика на 300+ точек продаж в разгар сезона.
Задача:Восстановить работу касс за 4 часа и не допустить утечки данных клиентов.
Журнал реагирования
Хронология действий команды Shahulov Lab с момента поступления сигнала тревоги.
Мониторинг зафиксировал массовое отключение VPN-туннелей. На серверах 1С появились файлы с расширением.locked.
Принято решение отключить интернет-шлюзы во всех филиалах, чтобы остановить латеральное движение вируса.
Найден источник заражения: ПК подрядчика с открытым RDP-портом и слабым паролем.
Развернуты "золотые образы" систем из неизменяемых (Immutable) бэкапов. Магазины вернулись к работе.
Анализ угрозы
Malware Type
Ransomware (LockBit 3.0 variant). Шифрует файлы и требует выкуп в BTC.
CryptoLockerEntry Point
Учетная запись 'Admin' на сервере складского учета. Пароль был скомпрометирован 3 месяца назад.
Brute ForceData Status
База данных клиентов не затронута благодаря сегментации сети (DMZ). Утечек нет.
SECUREРекомендации внедрены:
- MFA на всех внешних подключениях
- Отключение RDP наружу
- Внедрение EDR-агентов на кассы
Финансовый результат
Ваш бизнес готов к "Черному лебедю"?
Подпишитесь на IR Retainer. Гарантированное время реакции — 60 минут.
Заключить договор SLAИП Шахулов Н.Р | Волгоград
Пн-Пт 9:00 - 17:00
Адрес
г.Волгоград, ул. площадь Дзержинского д1, кб 106