Сохраняете пароли в блокноте? Ошибка. Храните их на рабочем столе? Фатальная ошибка.

Huntress подробно описала инцидент, в котором злоумышленники, пробравшись через уязвимую SonicWall VPN, получили доступ к консоли управления и почти лишили организацию средств защиты, воспользовавшись файлами с резервными кодами, сохранёнными в открытом виде. События развивались быстро: обнаружение активности позволило частично сдержать распространение программ-вымогателей Akira и сохранить часть инфраструктуры от полного шифрования.

Во время расследования SOC региона АТР специалисты зафиксировали массовое выполнение административных команд, удаляющих теневые копии на множестве узлов, и запустили массовую изоляцию хостов для предотвращения дальнейшего заражения. На одном из рабочих столов запущенный исполняемый файл w.exe от Akira успел зашифровать локальную машину, но масштабная сегрегация остановила активацию вредоносного кода в остальной сети.

Ряд пользовательских аккаунтов был скомпрометирован с внутренних адресов вида 192.168.x.x — эти адреса не сопровождались специалистами, поскольку DHCP выдал их системам, контролируемым злоумышленниками после компрометации VPN. Такая тактика усложняет обнаружение, поскольку трафик выглядит как легитимный внутренний и обходится стандартными механизмами защиты конечных точек.

При дальнейшей проверке на контроллере домена злоумышленники перечисляли и экспортировали сертификаты из локального хранилища с помощью утилиты certutil. Экспорт в формат PFX включает закрытый ключ, что при использовании сертификата для аутентификации открывает возможность имитации легитимных пользователей или устройств и дальнейшего расширения доступа.

В процессе перебора административных ресурсов атакующие обнаружили на рабочем столе инженера файл с резервными кодами доступа к порталу Huntress. Коды служат обходным методом многофакторной аутентификации и при компрометации дают полный доступ в консоль без дополнительной проверки. После входа с использованием кодов злоумышленники с IP 104.238.221[.]69, ранее связанного с атаками на SonicWall, вручную закрывали активные инциденты, отзывали изоляцию и инициировали удаление агентов Huntress, стремясь ослепить систему наблюдения и снизить видимость своих действий.

Специалисты смогли воспроизвести действия хакера порталу и зафиксировать массовое удаление агентов за последние 7 дней. Сценарий продемонстрировал, насколько критично защищать не только основные пароли, но и резервные механизмы доступа: сохранённые в открытом виде коды оказываются одиночной точкой отказа, позволяющей обойти MFA , подменить привилегированные учётные записи и вывести из строя средства защиты.

Рекомендации для защиты от похожих инцидентов:

Никогда не хранить резервные коды и учётные данные в незашифрованных текстовых файлах или общих папках.
Использовать менеджеры паролей с шифрованием и надёжной мастер-фразой, отключив автозаполнение для критичных записей.
При отсутствии менеджера хранить коды в зашифрованном контейнере на внешнем носителе с паролем.
Регулярно менять резервные коды при доступной возможности и мониторить аутентификации на предмет необычных входов.
Расширить покрытие агентов EDR на все возможные конечные устройства и контролировать DHCP-выдачу адресов для VPN.
Лимитировать права на экспорт сертификатов и отслеживать операции с PFX-файлами в журналах аудита.

Huntress подчёркивает: резервные коды — не второстепенный атрибут доступа, а прямой путь обхода многофакторной защиты, и к ним следует относиться как к паролям.