Пресс-релизы //

UDV Group: новые реалии ransomware-атак

Виталий Рабец, директор ИТ департамента UDV Group рассказал о том, что ransomware-атаки на российский бизнес приобретают новые формы: злоумышленники все чаще используют репутационный шантаж, атаки через подрядчиков и сложные схемы психологического давления, а также объяснил, почему в первые часы после инцидента нельзя отключать системы без подготовки.

— Какие новые техники вымогателей вы наблюдали в последних атаках на российский бизнес (например, угроза DDoS-атакой, звонки партнёрам и клиентам, публикация данных в даркнете с аукционом)?
Не сказал бы, что техника новая, но она обретает дополнительную популярность. Речь о ситуации, когда злоумышленникам удалось получить хоть какие-то внутренние данные, даже не являющиеся важными, и они используют сам факт проникновения как способ воздействия на партнёров. Мол: «мы расскажем всем вашим партнёрам, что мы вас взломали». Это шантаж риском потери репутации. Лучший способ защиты от этого — рассказать о факте взлома самому, раньше, чем это сделают злоумышленники.
Также сейчас становится очень популярным способ взлома через дочерние компании или подрядчиков/аутсорсеров, которых «головная» компания пускает в свою сеть. Способ достаточно действенный, так как крупная компания обычно хорошо защищает свой периметр от внешних воздействий, но для подрядчиков или дочерних организаций делает «послабления», упрощающие доступ. В то же время сами подрядчики или «дочки» защищены слабо, и злоумышленники используют их как некий «шлюз», чтобы пробраться к крупной рыбе.

— Если отбросить стандартный совет про «бэкапы», какой класс защиты или конкретная мера, по вашему опыту, наиболее эффективно предотвращает распространение шифровальщика внутри сети после первоначального проникновения?
Лучшая защита от распространения любого вируса внутри сети — это строгое разграничение сетей по VLAN. Изоляция критически важных серверов и, в целом, сегментация. Также немаловажным является строгий контроль учётных записей и их доступов к файлам и ресурсам. Точкой входа для проникновения может быть компьютер рядового сотрудника, но если пользовательская сеть отрезана от сети с критичными данными, а доступы учётных записей строго ограничены, то это сильно усложнит распространение шифровальщика и, в целом, возможности злоумышленников для дальнейшего развития атаки.
Также очень важным является наличие систем анализа сетевого трафика (реклама нашего NTA). Такие системы способны обнаруживать аномалии в сети, попытки доступа к данным от сущностей, от которых таких попыток быть не должно. Также они способны в целом анализировать сеть и указывать на проблемные зоны и потенциальные дыры в структуре предприятия до того, как это станет «точкой входа» для злоумышленников.

— Каков пошаговый алгоритм действий в первые 24 часа для команды реагирования, помимо отключения систем? На что чаще всего не хватает времени или ресурсов, что усугубляет последствия?
Я бы сказал, что «отключение систем» — не совсем правильное действие. Системы нужно отключать постепенно и с умом. Отключение «всего сразу» может привести к потере важных данных и логов, которые хранятся в памяти и будут очень нужны для дальнейшего расследования инцидента. Первое и очень важное — выявить точку входа. Найти нулевого пациента, и именно его нужно изолировать в первую очередь. Параллельно, и не менее важно, остановить все процессы репликации данных. Все бэкапы, дампы и создание любых резервных копий нужно срочно прекратить. После этого необходимо сохранить все логи и сделать дампы важной для расследования информации. И только после этого стоит «отключать системы».
В первую очередь важно отключать системы именно после остановки скриптов и автоматизации репликаций, потому что после включения системы процесс репликации может заразить шифровальщиком все ваши бэкапы.
Далее уже процедура вполне стандартная — анализ логов и развёртывание полномасштабного расследования.
Немаловажно отметить, что процесс последующего восстановления системы из резервных копий тоже имеет определённые правила. Например, не стоит сразу восстанавливать критически важные данные, а лучше в первую очередь восстанавливать второстепенные системы, чтобы убедиться в «чистоте» и целостности бэкапов. Также важно восстанавливать систему не откатом, а именно полным восстановлением, чтобы не было шансов случайно оставить заражённые данные.

— Был ли у вас или ваших коллег опыт переговоров с вымогателями? Какие выводы или тактические приёмы можно из этого извлечь?
Опыт был. Самое важное — не поддаваться панике и не вестись на провокации. Злоумышленники в 100% случаев будут пугать вас тем, что захватили полный, стопроцентный контроль, что всё в их власти и что последствия ужасны и невообразимы. По факту же, в моём частном случае, это оказалось чистым блефом, а данные, к которым получили доступ хакеры, были неважные и совершенно не давали им никакого контроля над системой.
Добавлю, что во время переговоров со злоумышленниками важно тянуть время, отвечать лояльно, не провоцировать и прикидываться ничего не понимающей жертвой, чтобы усыпить бдительность злодеев настолько, насколько это возможно, в первую очередь — чтобы выиграть время на оценку масштабов проникновения и заражения.

— Какой самый неочевидный, но критически важный шаг при восстановлении инфраструктуры после ransomware-атаки, о котором часто забывают?
О нём я, наверное, уже писал выше — это определить порядок восстановления. Восстанавливать сервисы необходимо по порядку критичности, начиная с самых неважных. Об этом часто забывают, потому что самое критичное нужно для работы уже «прямо сейчас», и сотрудники не могут ждать простоя важных сервисов — всем нужно работать, ведь бизнес теряет деньги.
Думаю, сюда также стоит добавить полное и подробное документирование действий, которое в будущем может пригодиться при возможных юридических разбирательствах с заказчиками.

Контактное лицо: UDV Group
Компания: UDV Group
Добавлен: 21:07, 31.03.2026 Количество просмотров: 29
Страна: Россия

«Лента PRO» запустила электронные подарочные карты с выбором категорий закупок, Лента PRO, 22:13, 28.12.2025, Россия224

«Лента PRO», комплексный поставщик товаров для бизнеса, начал выпуск электронных подарочных карт с возможностью выбора категорий товаров: корпоративный клиент заранее определяет группы закупок, на которые получатель сможет использовать средства.

Артем Фомичев, ГИГАНТ: нацплан нацелен на формирование прозрачного и конкурентного ИТ-рынка, стимулирующего инновации и рост качества., ГИГАНТ, 21:28, 12.11.2025, Россия228

Коммерческий директор компании «ГИГАНТ Компьютерные системы» Артем Фомичев дал комментарий изданию Comnews о том, что утверждённый национальный план в сфере ИТ и телекоммуникаций задаёт курс на формирование честного, прозрачного и конкурентного рынка, где развитие инноваций, рост числа игроков и повышение качества становятся естественным результатом равных правил игры для всех участников.

Кадры решают всё: как экономист стала успешным руководителем по управлению персоналом в СЛД «Тимашевск-Кавказский», филиал "Северо-Кавказский" ООО «ЛокоТех-Сервис», 17:52, 28.10.2025, Россия405

Хочется рассказать о специалистах, которые формируют кадровый потенциал Северо-Кавказского филиала компании «ЛокоТех-Сервис».

«ГИГАНТ Компьютерс»: Востребованные узкие IT-навыки, ГИГАНТ, 16:45, 01.10.2025, Россия381

Андрей Каплин, руководитель направления инфраструктурного ПО компании «ГИГАНТ Компьютерс» дал комментарий изданию Forbes, в котором отметил, какой специализированный технический навык или нишевая экспертиза по-прежнему остаются высоко востребованными даже несмотря на текущий спад на рынке IT-вакансий.

Кирилл Гринберг, ЛУИС+: о законодательных инициативах и барьерах, мешающих развитию рынка пожарной безопасности, ЛУИС+, 14:33, 01.10.2025, Россия348

Руководитель департамента ЛУИС+ по работе с государственными компаниями и крупным бизнесом поделился с РБК мнением о ключевых законодательных изменениях для рынка пожарной безопасности, путях цифровизации и мерах по снижению давления на предпринимателей.

За 10 лет валовый сбор орехов в России вырос на 86% – РСХБ, Новосибирский РФ АО "Россельхозбанк", 21:29, 17.09.2025, Россия544

Эксперты Россельхозбанка проанализировали состояние рынка ореховодства в России. По данным Центра отраслевой экспертизы РСХБ, валовый сбор орехов увеличился с 2014 года почти вдвое – до 28,1 тыс. тонн (+86%)

Три букета в год: РСХБ изучил «цветочные» привычки россиян. Рейтинг самых популярных цветов к 1 сентября возглавили розы, хризантемы, ромашки и герберы, Новосибирский РФ АО "Россельхозбанк", 16:26, 02.09.2025, Россия457

В первом полугодии 2025 года вклад российских производителей свежесрезанных цветов составил 22% от общего объема рынка. По прогнозам аналитиков РСХБ, положительная динамика отечественного производства сохранится – показатель может вырасти до 480 млн ед. до конца текущего года, а доля российских производителей на отечественном рынке может вырасти до 25%.

В этом сезоне аграрии соберут более 1,7 млн тонн бахчевых – РСХБ, Новосибирский РФ АО "Россельхозбанк", 21:19, 25.08.2025, Россия457

Эксперты Россельхозбанка проанализировали состояние рынка бахчевых в России и обозначили ключевые тенденции его развития. По данным Центра отраслевой экспертизы РСХБ, валовый сбор бахчевых в этом сезоне может превысить 1,7 млн тонн.

Российские пчеловоды в 2025 году увеличат сбор меда до 65 тысяч тонн – РСХБ, Новосибирский РФ АО "Россельхозбанк", 20:54, 17.08.2025, Россия452

К Медовому Спасу эксперты Россельхозбанка проанализировали состояние рынка пчеловодства в России и обозначили ключевые тенденции его развития. По данным Центра отраслевой экспертизы РСХБ, в 2024 году общий объем производства меда во всех категориях хозяйств составил 63,1 тыс. тонн, а в 2025 году ожидается рост до 65 тыс. тонн.

ПМЭФ: в АПК происходит структурная перестройка с акцентом на пищевую промышленность – РСХБ, Калужский РФ АО «Россельхозбанк», 18:45, 22.06.2025, Россия515

Объём производства пищевой промышленности с 2019 года увеличился на 96% до 11,8 трлн рублей. Это говорит о том, что при сохранении высоких темпов создания сырьевой массы в АПК активно растёт производство продукции с высокой добавленной стоимостью.

Главный аналитик Банка ЗЕНИТ об ожиданиях от заседания ЦБ по ключевой ставке, Банк ЗЕНИТ, 13:20, 10.06.2025, Россия540

По мнению руководителя аналитического управления Банка ЗЕНИТ, на заседании 6 июня Банк России оставит ключевую ставку без изменений на уровне 21% годовых, но при этом сделает шаг к смягчению своей риторики, чтобы подготовить почву для снижения.

Главный экономист Банка ЗЕНИТ об итогах заседания ЦБ по ключевой ставке, ПАО Банк ЗЕНИТ, 17:20, 28.04.2025, Россия516

Главный экономист Банка ЗЕНИТ Марина Никишова прокомментировала решение Банка России сохранить показатель ключевой ставки

Суверенный архитектурный код позитивно скажется на облике российских городов, Прайм Лайф, 21:12, 09.04.2025, Россия666

Внедрение единого архитектурного кода в городах России будет способствовать повышению качества городской среды, считает управляющий партнер Прайм Лайф Денис Коноваленко.

На форуме «КВАНТ – 2025» «Росатом» представил итоги реализации дорожной карты по квантовым вычислениям, Цифровой «Росатом» (ЧУ "Цифрум"), 02:11, 19.02.2025, Россия541

Главное – рывок в квантовой науке и создание российских квантовых вычислителей на всех приоритетных платформах

Генплан Санкт-Петербурга как главное событие города, АН "Культурная столица", 22:01, 17.02.2025, Россия661

Комментарий газете «Коммерсантъ» генерального директора АН «Культурная столица» Ольги Бочарниковой на тему главного события 2024 года, которое повлияло на общественную, деловую и политическую жизнь Санкт-Петербурга и будет влиять в 2025 году.