Кейс: Восстановление серверов после хакерской атаки (Харьков)

В Ukrfast обратилась производственно-логистическая компания из Харькова. В результате целенаправленной хакерской атаки (эксплуатация уязвимости в корпоративном периметре) была полностью парализована ИТ-инфраструктура.

Критическая ситуация на момент входа команды Ukrfast

  • Array
    Блокировка сервисов: Главные корпоративные серверы (Active Directory, базы данных SQL, ERP-система) полностью остановлены или повреждены.
  • Array
    Компрометация сети: Хакерское программное обеспечение оставалось активным в локальной сети, создавая риск повторного заражения.
  • Array
    Угроза бизнеса: Полная остановка отгрузок, логистики и доступа работников к рабочим местам. Каждый час простоя наносил компании серьезный финансовый и репутационный ущерб.
problems

Пошаговая реализация проекта

Локализация и изоляция сети

1

Локализация и изоляция сети

Команда немедленно изолировала серверный сегмент от внешнего интернета и смежных подсетей. Были заблокированы все скомпрометированные аккаунты и изменены административные пароли на сетевом оборудовании.

2

Анализ логов и выявление вектора атаки

Проведен подробный анализ системных логов (logs). Специалисты обнаружили брутфорс-атаку (подбор паролей) на незащищенный RDP-порт одного из вспомогательных серверов, через который хакеры получили права администратора домена.

3

Аудит и очистка инфраструктуры

Вся инфраструктура была тщательно проверена на наличие остаточных вредоносных скриптов и “бекдоров” (backdoors), злоумышленники обычно оставляют для повторного входа. Полностью обновлен и закрыт найден уязвимый периметр.

4

Возвращение серверов к жизни

Произведено пошаговое развертывание и восстановление операционных систем с безопасных, чистых копий конфигураций. Базы данных SQL и конфигурация Active Directory были реконструированы и проверены на целостность.

5

Запуск безопасного бекапа и мониторинга

Развернута новая автоматизированная система изолированного резервного копирования по правилу 3-2-1. Внедрена система централизованного мониторинга и логирования для отслеживания подозрительной активности в реальном времени.

6

Передача объекта на постоянный мониторинг (SIEM/SOC)

Инфраструктура клиента подключена к нашей централизованной системе сбора и анализа событий безопасности. Обеспечен регулярный автоматический аудит уязвимостей периметра и передана обновленная техническая документация ответственным лицам.

Цели и стратегия обновления

Комплексный подход команды Ukrfast для быстрого возвращения бизнеса к стабильной работе

Локализовать угрозу
Полностью изолировать инфицированные сегменты инфраструктуры, чтобы остановить распространение атаки.
Провести экспресс-аудит
Найти «нулевого пациента» (точку входа хакеров) и закрыть уязвимость.
Восстановить работоспособность
Реанимировать критически важные серверы и вернуть доступ к базам данных в кратчайшие сроки.
Усилить безопасность
Настройка системы защиты и мониторинга для предотвращения подобных инцидентов в будущем.

Все работы производились без остановки смежных, безопасных сервисов компании, что позволило минимизировать общий ущерб от простоя.

Оказались в похожей ситуации?

Не теряйте драгоценное время – каждый час простоя стоит бизнесу денег. Доверьте обновление и защиту ваших серверов профессионалам Ukrfast.

Получить помощь
Быстрая реакция
100% Конфиденциальность
Опыт в кризисных ситуациях
logo

У ВАС ЕСТЬ ЗАПРОС? МЫ ПОМОЖЕМ ЕГО РЕАЛИЗИРОВАТЬ

Расскажите больше о себе и задаче, которую нужно решить

    ×

    Заказать услугу