СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Новости
Артем
Вчера в 13:24
#ИБ

Забытые аккаунты бывших сотрудников открывают хакерам доступ к корпоративным сетям и данным

Забытые аккаунты бывших сотрудников открывают хакерам доступ к корпоративным сетям и данным

Изображение: grok

Компании и государственные структуры регулярно становятся жертвами атак через учётные записи уволенных сотрудников, которые никто не удосужился отключить — и злоумышленники используют этот простой просчёт, чтобы месяцами сидеть внутри чужой инфраструктуры. Группировка Shedding Zmiy зашла в сеть российской государственной медицинской организации через старые VPN-аккаунты бывших работников и больше полугода выкачивала данные из внутренних баз, пока её не обнаружили.

Служба безопасности отдельные странности замечала, но откуда ноги растут — так и не поняла, антивирус вредоносные компоненты не поймал, а про старые аккаунты просто забыли, сообщают «Известия».

Эксперты по кибербезопасности фиксируют похожие истории в самых разных отраслях, и механика везде одна — никто не следит за тем, у кого есть доступ. Аккаунт бывшего сотрудника, висящий в системе, особенно если он привязан к VPN или внутренним сервисам, — это уже готовый вход, который не надо ломать.

В случае с медицинской организацией после первого захода атакующие нашли сервер с базами данных, защищённый слабым паролем, и пошли дальше. Под удар попали учётные записи работающих сотрудников, через них злоумышленники гуляли по инфраструктуре и заражали системы.

Эксперт Solar 4RAYS Денис Чернов рассказал, что атакующие установили модуль, который тянул данные из браузеров и делал скриншоты экранов — так они добрались не только до корпоративных баз, но и до того, что происходит прямо на устройствах людей.

Руководитель Центра компетенций сетевой безопасности «Софтлайн Решения» Николай Спирихин говорит, что такие атаки давно стали массовыми и бьют по банкам, страховщикам, заводам, больницам, телекомам и госорганам. После того как нога поставлена внутрь, сценарий стандартный — изучение систем, добыча новых уровней доступа, оживление забытых аккаунтов и создание свежих, параллельно вирусы и сбор всего ценного.

Нередко атака перекидывается на партнёров и дочерние структуры, и масштаб ущерба вырастает далеко за пределы первоначальной цели. Всё это становится возможным не из-за хитрых инструментов, а из-за того, что никто вовремя не убрал лишний аккаунт из системы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: