Кейс: Відновлення серверів після хакерської атаки (Харків)

До Ukrfast звернулася виробничо-логістична компанія з Харкова. Внаслідок цілеспрямованої хакерської атаки (експлуатація вразливості у корпоративному периметрі) було повністю паралізовано ІТ-інфраструктуру.

Критична ситуація на момент входу команди Ukrfast

  • Array
    Блокування сервісів: Головні корпоративні сервери (Active Directory, бази даних SQL, ERP-система) повністю зупинені або пошкоджені.
  • Array
    Компрометація мережі: Хакерське програмне забезпечення залишалося активним у локальній мережі, створюючи ризик повторного зараження.
  • Array
    Загроза бізнесу: Повна зупинка відвантажень, логістики та доступу працівників до робочих місць. Кожна година простою завдавала компанії серйозних фінансових та репутаційних збитків.
problems

Покрокова реалізація проекту

Локалізація та ізоляція мережі

1

Локалізація та ізоляція мережі

Команда негайно ізолювала серверний сегмент від зовнішнього інтернету та суміжних підмереж. Було заблоковано всі скомпрометовані облікові записи та змінено адміністративні паролі на мережевому обладнанні.

2

Аналіз логів та виявлення вектора атаки

Проведено детальний аналіз системних логів (logs). Фахівці виявили брутфорс-атаку (підбір паролів) на незахищений RDP-порт одного з допоміжних серверів, через який хакери отримали права адміністратора домену.

3

Аудит та очищення інфраструктури

Вся інфраструктура була ретельно перевірена на наявність залишкових шкідливих скриптів та “бекдорів” (backdoors), які зловмисники зазвичай залишають для повторного входу. Повністю оновлено та закрито знайдений уразливий периметр.

4

Повернення серверів до життя

Проведено покрокове розгортання та відновлення операційних систем із безпечних, чистих копій конфігурацій. Бази даних SQL та конфігурація Active Directory були реконструйовані й перевірені на цілісність.

5

Запуск безпечного бекапу та моніторингу

Розгорнуто нову автоматизовану систему ізольованого резервного копіювання за правилом 3-2-1. Впроваджено систему централізованого моніторингу та логування для відстеження підозрілої активності в реальному часі.

6

Передача об'єкта на постійний моніторинг (SIEM/SOC)

Інфраструктуру клієнта підключено до нашої централізованої системи збору та аналізу подій безпеки. Забезпечено регулярний автоматичний аудит вразливостей периметру та передано оновлену технічну документацію відповідальним особам.

Цілі та стратегія відновлення

Комплексний підхід команди Ukrfast для швидкого повернення бізнесу до стабільної роботи

Локалізувати загрозу
Повністю ізолювати інфіковані сегменти інфраструктури, щоб зупинити поширення атаки.
Провести експрес-аудит
Знайти «нульового пацієнта» (точку входу хакерів) та закрити вразливість.
Відновити працездатність
Реанімувати критично важливі сервери й повернути доступ до баз даних у найкоротші терміни.
Посилити безпеку
Налаштувати систему захисту та моніторингу для запобігання подібним інцидентам у майбутньому.

Усі роботи проводилися без зупинки суміжних, безпечних сервісів компанії, що дозволило мінімізувати загальні збитки від простою.

Опинилися у схожій ситуації?

Не втрачайте дорогоцінний час — кожна година простою коштує бізнесу грошей. Довірте відновлення та захист ваших серверів професіоналам Ukrfast.

Отримати допомогу
Швидка реакція
100% Конфіденційність
Досвід у кризових ситуаціях
logo

У ВАС Є ЗАПИТ? МИ ДОПОМОЖЕМО ЙОГО РЕАЛІЗУВАТИ

Розкажіть більше про себе та завдання, яке потрібно вирішити

    ×

    Замовити послугу