Про що:
Працюєте і раптом за п’ять хвилин зникає вся корпоративна пошта, документи та облікові записи співробітників. Уявили? А для одного з клієнтів Київстар це стало реальністю. Розповідаємо, що сталося, як ми оперативно допомогли все відновити та що варто зробити, аби ваша компанія не потрапила у таку ж пастку.
Зміст
Що сталося
Як вдалося вирішити проблему
Поради, як захистити бізнес від хакерів
Що сталося
Як згадує Ярослав Попов, консультант з розвитку хмарних продуктів і сервісів у Київстар:
«У суботу зранку на пошту мені прийшов запит від мого колеги, що наш бізнес-клієнт не може увійти до свого облікового запису Microsoft 365».
На перший погляд — технічна проблема, яка вирішується за лічені хвилини. Проте коли команда перевірила тенант клієнта (окреме хмарне середовище організації) через Microsoft Partner Center, стало очевидно: ситуація серйозніша, ніж здавалося спершу.
«Мій колега подивився, каже, що в середовищі клієнта взагалі не залишилося користувачів. Активний тільки один. Сталося щось дуже погане», — згадує Ярослав.
Це був тривожний дзвіночок. Виявилося, що зловмисник отримав доступ до облікового запису глобального адміністратора компанії. І йому допомогла відсутність багатофакторної автентифікації (MFA). Один неввімкнений захист і вся система відкрилася, як двері без замка.
Що саме зробив хакер:
- Створив новий обліковий запис і надав йому глобальні права адміністратора.
- Масово видалив усіх інших користувачів.
- Виконав «hard delete», тобто остаточно видалив акаунти без змоги їх повернути зі «смітника» чи історії змін.
- З дивного: змінив технічну пошту підтримки компанії та вписав замість неї свою адресу.
«Скрипт кіберзловмисника усе зробив за чотири хвилини. Навіть якби у клієнта були сповіщення, то він просто не встиг би нічого зробити», — коментує Габріел Молнар, фахівець з продажу бізнес-рішень Microsoft у сфері хмарних сервісів і кібербезпеки.
Також автоматично зникли всі поштові скриньки. Тобто не просто акаунти, а й доступ до листування, до файлів в OneDrive, документів. Усе, що було пов’язано з цими обліковими записами, щезло.
Габріел підсумовує: «Детальна перевірка показала, що щоб не намагався зробити хакер, дані компанії все одно залишилися на боці Microsoft, і можливість їх відновити є. Утім, діяти потрібно було оперативно, бо паралізована робота частини інфраструктури компанії клієнта».
Як вдалося вирішити проблему
Вже за пів години після того, як помітили проблему, ми вже мали чітке розуміння подальших дій. Одразу оформили запит до технічної підтримки Microsoft, щоб підтвердити свої припущення і дії.
Як розповідає Ярослав Попов:
«Колеги з Microsoft відреагували дуже швидко, надіслали команди для відновлення. Ми перевірили команди на кількох тестових скриньках — усе спрацювало. Клієнт подивився, йому все підійшло, тож почали відновлювати основні поштові акаунти, перш за все для керівників».
Командна робота
Працюйте ефективно з ліцензійними програмами Microsoft 365
Ми підберемо вам оптимальний тариф та допоможемо з підключенням
Увесь процес відновлення тривав понад три тижні, адже в компанії було близько 300 користувачів. Проте найголовніше, що критичні поштові скриньки вже працювали, і це дало змогу бізнесу поступово повернутися до нормального режиму роботи.
Ярослав каже, що насправді це була атака не дуже професійних хакерів:
«Зазвичай такі зловмисники роблять ще одну хитрість — видаляють зв’язок із партнером. У нас уже був такий досвід, і тоді відновлення зайняло 2–3 тижні, бо треба було ще відновлювати доступ до тенанту. Тут такого не було, тому ми відновили доступ, заблокували зловмисний акаунт і створили новий, зі всіма правами».
Хоч рівень інциденту й не був критичним, наслідки для бізнесу виявилися відчутними.
«Головна помилка — відсутність багатофакторної автентифікації, яка блокує 90% таких атак», — зазначає Габріел Молнар.
Після інциденту команда Київстар разом з Microsoft провела детальний аудит безпеки та надала клієнту конкретні рекомендації, якими ми хочемо поділитися з вами, щоб ваш бізнес був захищений і подібного не сталося.
Поради, як захистити бізнес від хакерів
Деякі речі можна зробити безкоштовно, а в деякі — варто інвестувати.
Що можна зробити безкоштовно:
- Увімкнути MFA (багатофакторну автентифікацію) для всіх користувачів — це найпростіший і найефективніший спосіб захисту.
- Перевіряти журнали входу (щотижня), щоб виявляти підозрілу активність.
- Мінімізувати кількість глобальних адміністраторів: менше прав — менше ризиків.
- Встановити базові політики безпеки: заборонити автоматичне пересилання листів, вимкнути застарілі протоколи (IMAP, POP3 тощо), налаштувати DKIM і DMARC для доменів.
- Оформити базовий аудит доступів до акаунтів і ролей.
Що можна налаштувати з додатковими ліцензіями та витратами:
- Впровадити passwordless автентифікацію (FIDO2, Windows Hello) — це підвищить безпеку й зручність.
- Контролювати ролі адміністраторів за допомогою Privileged Identity Management, щоб уникнути несанкціонованого доступу.
- Отримувати автоматичні сповіщення про ризики та підозрілі дії, аби швидко реагувати на загрози.
- Налаштувати резервне копіювання через Microsoft 365 Backup або інші сервіси, щоб зберегти дані.
- Навчати вашу команду, а саме — проводити тренінги й фішинг-симуляції.
- Активувати розширені політики безпеки (Safe Links, Safe Attachments) для додаткового захисту від шкідливих листів.
Цей інцидент міг обернутися значно гірше — повною втратою доступу без жодного шансу на відновлення. Тож краще один раз інвестувати час у налаштування безпеки, ніж згодом тижнями повертати контроль над поштою. Якщо ви досі вагаєтеся — просто згадайте цю історію.
Додайте коментар