9 октября 2024 года в компании по ИБ «Доктор Веб» подтвердили факт хакерской атаки с попыткой взлома IT-инфраструктуры, а также последующим требование выкупа и проведение расследования инцидента с подключением правоохранительных органов.
«8 октября 2024 года в одном из телеграм-каналов было опубликовано заявление о взломе инфраструктуры нашей компании.
Целевая атака на наши ресурсы действительно была осуществлена в сентябре, мы сразу сообщили об этом, выпустив новость.
Атака была своевременно пресечена, все ресурсы были отключены от сети и прошли тщательную проверку в соответствии с протоколами безопасности. Основной целью было требование выкупа от нашей компании, но мы не ведём никаких переговоров со злоумышленниками.
На данный момент правоохранительные органы проводят расследование, в связи с чем мы не можем давать подробные комментарии, чтобы не мешать проведению следствия.
Опубликованная в Telegram информация в основной своей части не соответствует действительности, пользовательские данные затронуты не были. Какой-либо угрозы безопасности нашим пользователям ни обновления вирусных баз, ни обновления программных модулей не несут.
Мы усилили меры безопасности всех ресурсов компании и изучаем выложенные в телеграм-каналах скриншоты на предмет выявления скомпрометированных данных»,
— заявили в «Доктор Веб».
По информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, хакерская группировка DumpForums заявила о взломе IT-инфраструктуры компании по ИБ «Доктор Веб».
Через официальный Telegram-бот компании (DrWebBot) пользователям приходили сообщения о взломе.
Эксперты DLBI пояснили, что в качестве подтверждения хакеры предоставили несколько дампов баз данных внутренних ресурсов таких, как: ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и других. Согласно информации из дампов, данные в них актуальны на дату 17.09.2024.
«Мы проникли в локальную сеть, изначально спланировав всё. После этого началась планомерная работа — шаг за шагом продвигались глубже, взламывая сервер за сервером, ресурс за ресурсом. Уже за несколько дней мы проникли в самые защищённые части инфраструктуры», — заявили хакеры. Они уверяют, что взломали и выгрузили сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи.
«Клиентские базы данных. Да, данные пользователей, которые доверяли Dr.Web свою безопасность, мы также выгрузили. Вишенка на торте — домен контроллер. Овладев им, нам оставалось лишь пополнять наши накопители, выгружая все больше данных», — рассказали хакеры. Общий объём полученных данных составил около 10 ТБ. Хакеры подчеркнули, что они оставались незамеченными на протяжении целого месяца.
14 сентября 2024 года компания по ИБ «Доктор Веб» подверглась целевой атаке. В IT-инфраструктуре «Доктор Веб» произошёл инцидент с нарушением безопасности. В компании пояснили, что злоумышленник пытался нанести вред IT-системам, после чего инженеры по ИБ вынуждены были отключить инфраструктуру от интернета для полной диагностики, приостановив больше чем на сутки выпуск антивирусных баз для клиентов.
«В субботу 14 сентября специалисты «Доктор Веб» зафиксировали целевую атаку на ресурсы компании. Попытка навредить нашей инфраструктуре была своевременно пресечена, и никто из пользователей продуктов Dr Web не пострадал.
На данный момент в соответствии с протоколом безопасности все ресурсы отключены от сети с целью проверки. В связи с этим временно приостановлен выпуск вирусных баз Dr Web.
Для диагностики и устранения последствий атаки задействован наш сервис Dr Web FixIt!, его специальная предрелизная версия для Linux, что позволяет в разы ускорить проверку ресурсов.
Выпуск вирусных баз в ближайшее время будет возобновлён»,
— уточнили в «Доктор Веб».
В компании пояснили, что атака началась 14-го числа, а признаки внешнего воздействия на инфраструктуру обнаружены 16-го, тогда же «оперативно отключили сервера». На протяжении этого времени исследователи Dr Web «внимательно наблюдали за угрозой».
Ситуация с атакой на ресурсы «Доктор Веб» успешно разрешена, и мы делимся оперативными новостями и хронологией событий.
Атака на наши ресурсы началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем.
16 сентября 2024 года наша компания зафиксировала признаки внешнего неправомерного воздействия на IT-инфраструктуру.
Согласно действующим протоколам безопасности мы оперативно отключили серверы и запустили процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший использование сервиса Dr Web FixIt! для Linux. На основании полученных данных мы успешно локализовали угрозу и убедились, что она не затронула клиентов компании.
16 сентября, 09:30. В рамках соблюдения протоколов безопасности часть ресурсов компании временно отключена от сети для проведения дополнительной проверки. В связи с этим приостановлен выпуск обновлений вирусных баз Dr Web.
17 сентября, 16:20. Обновление вирусных баз Dr Web возобновлено в полном объёме. Никто из пользователей Dr Web не пострадал.
Мы продолжаем следовать самым высоким стандартам безопасности и оперативно принимаем меры для восстановления стабильной работы всех систем.
Источник: habr.com