Как отметили в ведомстве, для дешифровки злоумышленники потребовали выплату в биткоинах.
Предварительный анализ показал, что организация не соблюдала требований постановления правительства РК от 20 декабря 2016 года № 832. Таким образом, из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер.
Специалистами было установлено, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.
Для всех пользователей организации была создана лишь одна учетная запись – "X". С помощью перебора паролей, используя протокол RDP (протокол удаленного рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции. После удаления антивирусного ПО на все устройства был загружен шифровальщик.
"Зашифрованные файлы получили расширение (CW-WL3048625917) и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операционной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows. Впридачу шифровальщик скопировал самого себя в папку для установки в автозагрузки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа". Пресс-служба АО "Государственная техническая служба"
Фото: скриншот
Анализ показал, что кибератака предположительно была реализована таким образом:
Фото: скриншот
В сентябре 2022 года хакеры атаковали Казнет.
Утром 28 сентября казахстанцы жаловались на сбои в работе интернета. На фоне сбоя интернет-соединения в аэропортах Алматы и Атырау произошла задержка рейсов, так как регистрацию пришлось проводить вручную.
25 сентября в "Государственной технической службе" сообщили о фиксации масштабных DDoS-атак на казахстанский сегмент интернета.