Duty-Free.cc
Новости

Записывать пароли в блокнот — небезопасно. Хранить их прямо на рабочем столе — ещё хуже. Подобная беспечность сотрудников может обернуться для компании серьёзными проблемами: именно так произошла утечка в SonicWall.

Duty News 0 16.09.2025

Один незащищённый файл обошёлся компании всей сетью

Huntress опубликовала разбор атаки, в ходе которой злоумышленники через уязвимость в SonicWall VPN проникли к панели администрирования и почти вывели из строя средства защиты организации. Ключевую роль сыграли резервные коды, которые оказались сохранены в открытом текстовом виде. Лишь оперативное обнаружение подозрительной активности позволило частично сдержать распространение шифровальщика Akira и сохранить часть инфраструктуры.

В процессе инцидента специалисты регионального SOC (АТР) выявили массовое выполнение административных команд для удаления теневых копий на множестве серверов. Чтобы локализовать угрозу, они начали изолировать узлы от сети. На одном компьютере программа w.exe, связанная с Akira, успела зашифровать локальные данные, однако ограничение распространения остановило дальнейшую активацию вредоносного ПО.

Были также зафиксированы компрометации нескольких учётных записей, которые выглядели как легитимные внутренние подключения с диапазона 192.168.x.x. Эти адреса выдавались через DHCP системам, уже контролируемым атакующими после проникновения в VPN. Такая техника маскирует присутствие, так как трафик имитирует нормальную внутреннюю активность и не блокируется стандартными средствами защиты.

При дополнительной проверке контроллера домена выяснилось, что злоумышленники выгружали сертификаты с помощью утилиты certutil, включая закрытые ключи в формате PFX. Это открывало возможность подделывать легитимные устройства или пользователей и расширять доступ внутри сети.

Критической ошибкой стало обнаружение на рабочем столе инженера текстового файла с резервными кодами для портала Huntress. Эти коды позволяют обойти многофакторную аутентификацию и войти в систему без дополнительных подтверждений. Используя найденные данные, хакеры с IP-адреса 104.238.221[.]69, ранее фигурировавшего в атаках на SonicWall, получили полный доступ: закрывали активные инциденты, снимали изоляцию и удаляли агентов Huntress, фактически скрывая свои действия.

Эксперты сумели воспроизвести действия нарушителей и зафиксировали массовое удаление агентов за неделю. Ситуация показала, что незашифрованные резервные коды становятся «слабым звеном» в системе безопасности: через них можно обойти MFA, получить привилегии и отключить средства защиты.

Рекомендации для предотвращения подобных атак:

  • Никогда не хранить резервные коды и пароли в незашифрованных файлах или на рабочих столах.
  • Использовать менеджеры паролей с надёжным шифрованием и мастер-паролем, избегая автозаполнения для критичных данных.
  • При отсутствии менеджера — сохранять данные в зашифрованном контейнере на внешнем носителе.
  • Регулярно обновлять резервные коды и отслеживать попытки входа.
  • Расширять покрытие EDR-агентов на все устройства и контролировать выдачу VPN-адресов через DHCP.
  • Ограничивать права экспорта сертификатов и мониторить работу с PFX в журналах аудита.

Huntress подчёркивает: резервные коды — это не запасной инструмент, а полноценные ключи доступа. К ним необходимо относиться так же серьёзно, как к паролям.