«Ашан» и «Твой дом» были взломаны в одно и то же время по одному сценарию
09/06/2023
Такое предположение высказал руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов.
6 июня специалисты DLBI сообщили о сливе клиентских данных сетей «Ашан» и «Твой дом». По мнению Дениса Кувшинова, судя по датам в утекших базах, взлом был произведён примерно в мае.
«Исходный вектор атак мог быть разным: взломать компании могли через слабые пароли в сервисах удалённого управления, через уязвимости в компонентах веб-приложений, через фишинг или просто купили доступ к инфраструктуре. При условии, что такие крупные базы были выложены одновременно и последние даты обновлений данных в них совпадают, можно предполагать, что компании были взломаны в одно и тоже время и, вероятно, по одному сценарию. Без дополнительного контекста, о сроках взлома говорить сложно, однако, по нашей практике, при таких утечках данных хакер может находиться в инфраструктуре от пары дней до нескольких месяцев», – прокомментировал эксперт.
По заявлениям хакеров стоит ждать новые утечки данных и, вероятно, в ближайшее время они появятся, предполагает он. Стоит добавить, что 26 мая сайты по все России, работающие на устаревшей версии CMS Bitrix, содержащих большое количество уязвимостей, подверглись массированной атаке в результате которой было выведено из строя несколько тысяч сайтов, отмечает Кувшинов.
«Чтобы защититься от взлома необходимо грамотно построить систему защиты, которая покрывала бы угрозы безопасности, как снаружи, так и внутри», – советует он и перечисляет ряд средств защиты, которые помогут защититься от большинства угроз и позволят успеть купировать инцидент на начальном этапе.
Среди них: поиск нелегитимной активности на машинах пользователя через EDR и антивирусы; SIEM для сбора событий со всех узлов сети и для оперативного реагирование на атаки; vulnerability management для построения процесса управления уязвимостями и эффективной приоритизации обновлений на основе данных о трендовости уязвимостей; application firewall для отслеживания аномальных воздействий на внешние веб-приложения компании; почтовая песочница для проверки вложений на вирусы; средства мониторинга сетевого трафика для выявления вредоносных соединений и аномальных скачков трафика. Кроме того, помогут также правильная парольная политика в компании, постоянное обновление всего ПО до актуальных версий, постоянная инвентаризация внешней инфраструктуры и внешних веб-приложений, проведение киберучений, отработанный механизм реагирования на инциденты.