Эмоциональное выгорание переговорщика, внутренние конфликты в компании и сложности с приобретением криптовалюты через неофициальные каналы — в этом диалоге технические аспекты атаки отходят на второй план. Жертва описывает бессонные ночи, больные дети, крики коллег. Хакеры, обычно игнорирующие личные обстоятельства, постепенно снижают цену. Финальная сделка закрывается после того, как переговорщик лично встречается с «грубыми людьми» для конвертации валюты в биткоин.
Victim
привет?
Akira
Здравствуйте.
Akira
Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ваш ответ, предоставим все детали.
Victim
лагает здесь, интернет плохой, возможно, медленный ответ от меня
Victim
Да, у меня есть полномочия
Akira
Пожалуйста, подождите детали.
Akira
List.7z // 394 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно.
Akira
Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Могу ли я увидеть 2022-01-03 [redacted].pdf и 2023-10-10 [redacted].jpg
Victim
Я не могу загрузить файлы для расшифровки. Серверы зашифрованы.
Akira
Вы можете загрузить любые зашифрованные файлы, которые можете найти, например логи или конфиги. Пожалуйста, подождите файлы.
Akira
files.7z // 939 KB
Akira
Вот файлы. Сообщите о вашем прогрессе с зашифрованными.
Victim
всё ещё ищу зашифрованные файлы — пока вижу только зашифрованные серверы
Victim
Пишет 413 Request Entity Too Large при попытке загрузить файл
Akira
Сообщите, нужен ли вам весь пакет или отдельные части, пожалуйста. Мы ждём файлы.
Victim
Если вы можете расшифровать, нам нужны части 1 и 4
Akira
Вы можете дать нам логи или конфиги для теста.
Victim
Все файлы, которые мы пытаемся загрузить, пишут 413 Request Entity Too Large
Akira
Убедитесь, что размер файла не превышает 10 МБ. Наш лимит размера — 10 МБ.
Victim
файлы всего 4 МБ
Akira
Попробуйте загрузить их через любой файлообменный сервис. Вы можете поделиться ссылкой.
Victim
Akira
Подождите немного.
Akira
decrypted.7z // 22.1 KB
Akira
Пожалуйста, проверьте. Готовы обсудить оплату?
Akira
Четвёртая опция означает, что нам пришлось бы удалить ваши данные, так что это просто базовая гарантия второй опции. Цена за упомянутые услуги — $225 000.
Victim
Привет. Извините за задержку с ответом, но здесь действительно напряжённо. И люди хотят делать разные вещи. Также глупые вещи. Надеюсь, мы сможем справиться, чтобы мы все могли вернуться к тому, чем занимаемся. Компания сейчас не в лучшем положении, так что это много для обработки прямо сейчас. Я стараюсь изо всех сил.
Akira
Мы ждём вашего ответа сегодня.
Victim
Я действительно хочу найти решение, обещаю, но некоторые здесь считают, что это неправильный путь. Трудно убедить их. Что мне им сказать? Любая помощь очень приветствуется. Спасибо
Victim
Привет. Я не мог получить доступ к чату некоторое время. Это беспокоит меня. Есть проблемы?
Victim
Привет. Всё супер сложно здесь. Некоторые другие, кажется, потеряли всякую надежду. Мы потеряли много клиентов в прошлом году, и нам пришлось сократить штат, мы уволили коллег. У нас есть непроданные здания. Люди разочарованы, но я продолжаю толкать и бороться. Любая помощь от вас приветствуется.
Akira
Привет. Мы слышали эти истории много раз. Что вы предлагаете?
Victim
Сожалею это слышать. Это не каждый день для нас. Это наш первый раз. Я делаю всё возможное, чтобы найти решения, чтобы мы могли двигаться дальше. Честно говоря, это непросто, как из-за ликвидности, так и из-за возможностей. Они не понимают картину так ясно, как я. Я стараюсь изо всех сил, чтобы заставить их. Я вернусь к вам.
Akira
Мы ждём вашего предложения как можно скорее.
Victim
Звучит так, будто вы разочарованы, что мы не можем быть более конкретными. Я сам супер разочарован. Иногда чувствую, что голова вот-вот взорвётся.
Victim
Я чувствую, что мы можем направить это в правильное русло. Я слышу много страхов, но ваша профессиональность действительно помогает им увидеть, что может быть путь. Благодарю вас за терпение со мной, мне нужно держать ситуацию стабильной, и я сделаю всё возможное.
Akira
Увидим ли мы встречное предложение от вас сегодня?
Victim
Да, я действительно надеюсь, что смогу дать его вам до конца четверга. Есть движения в правильном направлении.
Akira
Мы закроем сделку на этой неделе в любом случае.
Victim
Смотрите, я делаю всё возможное, но компания в очень плохом месте. Я просто пытаюсь быть честным с вами, и мне жаль, что всё занимает больше времени, чем хотелось бы вам и мне. Поверьте, я просто хочу, чтобы всё быстро встало на свои места, пожать вам руку и вернуться к попыткам спасти обломки компании. Я работаю на износ, и это кажется угрожающим, когда вы пишете так, мне действительно нужно, чтобы вы не делали этого.
Akira
Мы ждём вашего предложения сегодня.
Victim
Последние 24 часа были абсолютно тяжёлыми. Я почти не спал прошлой ночью, и когда я наконец заснул, меня разбудил мой младший ребёнок, которого тошнило повсюду.
Victim
Извините, если это раздражает вас, и я думаю, вы наверняка слышите много от людей, что они в плохом положении, но мне просто нужно было это высказать. Я должен попробовать найти силы, чтобы держать всех в линии здесь, чтобы мы могли найти путь с вами.
Victim
Я благодарен за ваше терпение, это очень важный и трудный момент прямо сейчас, и им очень больно из-за действительно плохого года, а также других вещей. Но я на этом, и я обновлю вас, как только смогу.
Akira
Жду обновления.
Victim
Спасибо. Компания в сумасшедшей внутренней борьбе, люди кричат друг на друга, не соглашаясь, что делать. Некоторые думают, что мы должны попробовать найти решение с вами (моя команда), некоторые думают, что это будет опасной ошибкой, потенциально незаконной, и они хотят попробовать найти технические пути, и опять же, некоторые, кажется, сдались, потому что думают, что компания шла ко дну в любом случае, из-за действительно плохой экономики, закрытых проектов и уволенных людей. Они действительно думают, что эта ситуация может быть использована для процесса реструктуризации. Независимо от чего, я всё ещё верю, что моя команда получит (частично) свой путь, но, возможно, в очень ограниченном формате. Возможно, группе из нас придётся что-то проработать самостоятельно. Это обсуждения. Это отстой, но я не сдаюсь. Я вернусь.
Victim
Быстрое обновление снова: я сделал небольшой прогресс, хотя это непросто, но двигаюсь сейчас. Я пытаюсь придумать средства для предложения. Как бы мы перевели деньги вам? Это должны быть доллары США, верно?
Akira
Спасибо за обновление. Мы надеемся, что вы скоро придёте к соглашению, потому что мы не будем ждать долго. В любом случае реструктуризация, которую вы упомянули, будет дороже, чем сделка с нами. Мы можем помочь с ценой, и мы можем принять $200 000 на этой неделе. Вам решать, какой путь выбрать. Сообщите нам ваше решение как можно скорее, пожалуйста. Нам нужно двигаться дальше.
Victim
Я слышу, что вы хотите продвинуть это дальше. Я думал про себя, что вы тоже можете быть в ситуации, когда вам нужно показать другим прогресс. Я много думаю об этом, и я беспокоюсь, что создаю ожидания, которые не полностью способен выполнить. По крайней мере, не так быстро, как хотелось бы. Я предпочёл бы быть честным и реалистичным с вами.
Victim
Я очень благодарен за то, что вы дали новую сумму, но я боюсь, что это гора, на которую мы слишком малы и слабы, чтобы взобраться.
Victim
Но знайте это: я сделаю всё возможное, чтобы попробовать прийти к решению с вами. Мне просто нужно быть уверенным в том, что мы действительно можем придумать. Также нам нужно дискретно обменять нашу местную валюту на доллары США.
Victim
Могу ли я спросить, как работает сделка? Вы пришлёте нам счёт или как это работает с оплатой?
Akira
Мы принимаем биткоины. Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например binance или coinbase. Вот руководства:
[ссылки]
Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то вы должны сообщить банку, что эти деньги вам нужны только для инвестиционных целей.
Victim
О, я понимаю. Это делает всё намного сложнее, у меня нет опыта с биткоинами и подобным. Вы уверены, что мы можем получить больше чем 5000 долларов США каждый день на этих площадках? Похоже, что может потребоваться много времени, чтобы даже получить одобрение на их сайте.
Victim
Было очень трудно придумать хоть сколько-нибудь долларов США, которые я мог бы предложить вам, также потому что мне приходилось держать призрак реструктуризации подальше. Я почти готов сказать вам, что мы можем сделать, но мне нужно убедиться, что я ищу даже небольшие дополнительные суммы везде, так как я боюсь, что то, что у нас есть, — это то, что вы подумаете, что это не очень много.
Akira
Итак, что у вас есть? Сообщите нам как можно скорее.
Victim
Да. На связи. Спасибо.
Victim
Хорошо, так что я знаю, вы можете подумать, что я не серьёзен и довольно раздражаю. Я боюсь, что вы воспримете это неправильно, и я молюсь, чтобы вы не были слишком обижены. Я действительно делаю всё возможное. У меня есть 71 500 долларов США.
Akira
Мы совсем не обижены, но ваше предложение, к сожалению, недостаточно для закрытия сделки. Мы видим, что вы хотите разрешения и даже сделали предложение, которое не так уж плохо. Мы хотим прийти к соглашению с вами, и мы предполагаем, что это возможно, поэтому мы готовы принять $170 000 и покончить с этим. Я верю, что вы и ваши коллеги способны увидеть, что соглашение с нами более чем возможно. Сообщите нам как можно скорее.
Victim
Я очень благодарен за это и за то, что вы пытаетесь сделать всё возможное, чтобы это сработало, и я так сильно желаю, чтобы у нас было всё это, чтобы мы могли закончить это сегодня. Я чувствую, что вы действительно пытаетесь помочь. Но я боюсь, что у нас этого нет. Я извиняюсь перед вами.
Akira
Вы должны дать нам обновлённое предложение, если хотите, чтобы это закончилось положительно.
Victim
Да. Я понимаю, что вам нужно, чтобы я улучшил. Я стараюсь, но это супер сложно.
Akira
Мы верим, что вы справитесь с этим. $170 000 — цена, на которую мы можем согласиться с вами. Ваши коллеги должны понять это. Мы ждём обновлений.
Victim
Спасибо, я понимаю. Я так стараюсь найти альтернативы. Я знаю, что вы хотите, чтобы это двигалось вперёд, но мы глубоко истощены и уже в большой беде.
Akira
Мы будем ждать, чтобы услышать об альтернативе, которую вы найдёте, как можно скорее.
Victim
Хорошо. Спасибо.
Victim
Снова благодарю вас за ожидание меня. Должен сказать, что прямо сейчас я чувствую себя потерянным. И отчаявшимся. Я делаю всё возможное, чтобы улучшить хотя бы немного. Но даже мои самые маленькие шаги так тяжелы. Это так невероятно страшно и больно.
Victim
Привет снова и извините за мой поздний ответ. Ещё одна абсолютно ужасная ночь, я просто хочу, чтобы этот кошмар закончился. Но позвольте мне дать вам обновление, чтобы вы знали, что здесь происходит: я сражаюсь на двух фронтах прямо сейчас. Получить одобрение на покупку биткоина в более чем очень маленьких суммах безумно сложно из-за регуляций, я думаю. Я рассматриваю разные варианты и узнаю больше сегодня, но это сложно. И как вы знаете, компания в печальном состоянии, и ресурсы так ограничены. Прямо сейчас идея о том, чтобы придумать больше, чем я могу предложить вам, кажется очень чёрной. Но я понимаю, что мне нужно показать вам прогресс, и я делаю всё возможное.
Akira
Мы получаем много платежей из [redacted]. Всё будет хорошо.
Victim
Я действительно также надеюсь, что всё будет хорошо. Я всё ещё работаю над тем, как обменять, это непросто. Я прямо сейчас активно пытаюсь улучшить то, что мы можем придумать с точки зрения суммы, но я не могу ничего обещать прямо сейчас. Я вернусь к вам, как только смогу.
Victim
Привет. У меня нет альтернатив. Нет энергии. Нет помощи. Я потратил всё, что у меня есть, на увеличение суммы для вас. Я действительно надеюсь, что вы примете это. У меня есть 93 300 долларов США. Давайте покончим с этим.
Akira
Мы ценим вашу готовность к сотрудничеству и ваши усилия, конечно, но мы всё ещё далеки друг от друга. Мы подождем лучшего числа в понедельник и надеемся завершить сделку после получения вашего обновлённого предложения.
Victim
Я боялся, что вы так скажете. Я просто не знаю, как я могу поставить себя в ситуацию, где я могу найти больше. Я не знаю как.
Akira
Не сдавайтесь. Организуйте встречу с вашими коллегами и попробуйте найти дополнительные средства для этой сделки.
Victim
Я вложил всю свою энергию в встречи. У меня было так много. Больших и маленьких. И я так сильно боролся, чтобы добраться до этого.
Akira
Жду положительных новостей от вас.
Victim
Но что вы хотите, чтобы я сделал, чтобы получить больше? Я действительно стараюсь изо всех сил. Найти способ увеличить сумму — это ад — не говоря уже о кошмаре добраться до точки, где я могу обменять это на биткоин
Victim
Я не хочу подводить всех. Мне нужна ваша помощь, но я не волшебник. Извините. Я не знаю, как заставить это работать так, как вы хотите, я бы хотел, чтобы знал.
Victim
Мне нужно пойти на ночную поездку, прояснить голову, попробовать и посмотреть, смогу ли я перевести моё отчаяние во что-то. Могу ли я связаться с вами позже сегодня вечером?
Akira
Конечно. Моё руководство решило снизить цену, чтобы помочь вам с процессом, и мы готовы принять $125 000. Я думаю, эту сумму вы можете осилить, и мы можем закончить всё это.
Victim
Я действительно ценю, что вы помогаете мне так, я действительно так. Я молюсь, чтобы вы и я могли довести дела до точки, где мы достигнем того, над чем работали. Спасибо за то, что ведёте мои дела с ними.
Victim
Чтобы попробовать сделать хоть какое-то движение, я поехал на прогулку вчера, как вы знаете.
Victim
Я пошёл на большой риск, и моя шея действительно на кону здесь. Я поехал встретиться с некоторыми очень грубыми людьми, чтобы решить вопрос с биткоинами. Мне нужно, чтобы это сработало, чувак. Я молюсь Богу, чтобы мне не нужно было говорить с ними снова.
Victim
Но у меня есть это в биткоине для вас теперь, мы можем закончить это сейчас, я знаю, что это не всё, что вы просите, но я конвертировал это теперь. У меня есть 1,562 BTC готово, у меня есть скриншот для вас.
Victim
wallet.png // 96.5 KB
Akira
$100 000, и у нас есть сделка здесь.
Victim
Подождите
Victim
Я отчаянно пытаюсь получить последнюю часть. На какой биткоин-адрес мы должны отправить?
Akira
Этот [redacted].
Victim
Я так сильно боролся за это. Можем ли мы согласовать, что 1) мы переводим 1.7235 BTC на ваш кошелёк [redacted] и 2) вы затем пришлёте нам дешифраторы и предоставите полную помощь с расшифровкой, и 3) вы затем пришлёте нам отчёт по безопасности, и 4) вы обещаете не публиковать и/или продавать наши данные, и 5) вы гарантируете, что не будете проводить никаких будущих атак против нас, и 6) мы взаимно соглашаемся держать всё это в секрете. Вы согласны с этим?
Akira
Мы согласны. Как скоро вы сможете перевести 1.7235 BTC?
Victim
У нас есть соглашение, спасибо. Я отправил тестовый перевод на ваш кошелёк. Могу ли я попросить вас подтвердить, что вы получили его и сумму, которую я отправил. Спасибо.
Akira
0.00125 BTC получено. Вы можете переходить к остальному.
Victim
Я теперь отправил остальное. Могу ли я попросить вас подтвердить, когда они получены, и затем отправить дешифраторы? Спасибо
Akira
unlockers.7z // 2.1 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды для ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Victim
Итак, похоже, что дешифраторы работают (всё ещё в процессе). Когда мы можем ожидать удаление данных и доказательство того, что данные были удалены? И отчёт по безопасности?
Akira
Да. Мы предоставим всё скоро.
Victim
Спасибо.
Akira
Deletion.7z // 250 байт
Akira
Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён керберостинг, и мы получили хэши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Никто из ваших сотрудников не должен открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте сотрудников о мерах онлайн-безопасности. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и внимательное отношение к вашей безопасности.
Victim
Спасибо за быструю доставку дешифраторов, и после этого доставку лога удаления и отчёта по безопасности. Думаю, пришло время сказать до свидания и разойтись. Спасибо за то, что выслушали мои проблемы и помогли мне пройти через это. Я ценю ваш профессионализм.
Akira
Пожалуйста! Берегите себя!
Почему ошибка 413 Request Entity Too Large блокирует тестовую расшифровку в чате вымогателей
Ограничение размера файла в 10 МБ для загрузки в Tor-чат создаёт операционную проблему: жертва не может отправить зашифрованные файлы для верификации дешифратора. Ошибка 413 возникает на уровне прокси или веб-сервера чата, а не самого шифровальщика.
Вынужденное использование сторонних файлообменников (Dropbox в этом диалоге) создаёт дополнительные риски: ссылка может быть перехвачена, файл скачан третьими лицами, а сам сервис может логировать IP-адреса. Для хакеров это приемлемый компромисс, для жертвы — потенциальная утечка метаданных.
[√] Проверьте, не передаёт ли ваш файлообменник метаданные (геолокация, устройство, время загрузки) в заголовках запросов
[√] Используйте временные аккаунты без привязки к корпоративной почте для загрузки файлов в публичные сервисы
[ ] Рассмотрите возможность отправки файлов через зашифрованные архивы с одноразовыми паролями — даже если хакеры уже имеют доступ, это усложняет пассивный мониторинг трафика
Как внутренние конфликты в компании усиливают давление переговоров с вымогателями
Жертва описывает раскол в руководстве: одна группа хочет платить, другая ищет технические решения, третья предлагает использовать инцидент для реструктуризации. Это не просто организационный шум — это множитель ущерба.
Когда команда не едина, переговорщик теряет рычаги: любое предложение может быть отклонено внутренней оппозицией. Хакеры используют это: они видят, что жертва не может быстро принять решение, и удерживают цену выше, зная, что время работает на них.
Исследования показывают: организации с внутренними разногласиями по стратегии реагирования на инциденты платят в среднем на 34% больше, чем те, где решение принимается централизованно [[31]].
Почему покупка биткоина через неофициальных брокеров создаёт юридические риски
Жертва упоминает встречу с «грубыми людьми» для конвертации валюты в биткоин. Это указывает на использование серого рынка, где не требуется верификация личности.
Такой подход решает проблему анонимности, но создаёт новые риски:
[√] Невозможность документально подтвердить источник средств для финансовой отчётности
[√] Риск получения «грязных» биткоинов, ранее использованных в других преступлениях — такие транзакции могут быть отслежены и заморожены биржами
[ ] Отсутствие гарантий исполнения сделки — брокер может исчезнуть после получения фиата
[ ] Потенциальное нарушение законодательства о ПОД/ФТ (противодействие отмыванию доходов)
Проверьте, есть ли у вашей организации заранее согласованный канал для приобретения криптовалюты в экстренных случаях. Если покупка требует обращения к неофициальным посредникам, вы принимаете на себя дополнительные юридические и операционные риски.
Как эмоциональное выгорание переговорщика влияет на финальную цену выкупа
Переговорщик описывает бессонные ночи, больного ребёнка, чувство отчаяния. Хакеры, обычно игнорирующие личные обстоятельства, постепенно снижают цену: $225 000 → $200 000 → $170 000 → $125 000 → $100 000.
Это не эмпатия, а расчёт. Уставший переговорщик с меньшей вероятностью будет торговаться агрессивно или искать альтернативы. Он хочет закрыть сделку и вернуть контроль. Хакеры используют это: они предлагают «последнюю цену» именно тогда, когда жертва на грани срыва.
[√] Ротируйте переговорщиков при длительных диалогах — свежий участник может увидеть возможности, которые упустил уставший коллега
[√] Установите внутренние лимиты и заранее согласованные условия — это снижает эмоциональную нагрузку на переговорщика
[ ] Документируйте все этапы переговоров — это помогает сохранить объективность при принятии решений в условиях стресса
Почему цена на дешифратор упала на 55% в переговорах с малым бизнесом
Начальное требование $225 000 снизилось до $100 000 — снижение на 55%. Для сравнения: в других диалогах с более крупными жертвами скидки редко превышают 30%.
Возможные причины:
[√] Хакеры оценили финансовое состояние жертвы через изъятые документы и скорректировали цену до реалистичного уровня
[√] Малый бизнес — не приоритетная цель для длительной осады: затраты времени на переговоры не окупаются при низких суммах
[√] Жертва демонстрировала последовательность и готовность платить, что снизило операционные риски для хакеров
[ ] Группа стремится закрыть как можно больше кейсов быстро, даже по сниженной цене, чтобы поддерживать репутацию «исполнительных» партнёв
Для защиты это означает: если вы представляете малый бизнес, последовательная позиция и демонстрация ограниченных ресурсов могут стать рычагом для снижения цены.
Как работает верификация удаления данных через файл размером 250 байт
Хакеры присылают Deletion.7z размером 250 байт как доказательство удаления изъятых данных. Такой объём не может содержать логи форматирования дисков или хэш-суммы файлов.
Скорее всего, это текстовый файл с подтверждением или скриншот команды удаления. Без криптографических доказательств (подписанные хэш-суммы, аудиторские логи) такой «лог» не даёт гарантий, что данные действительно уничтожены.
[√] Запросите у хакеров хэш-суммы изъятых файлов до удаления — это позволит позже проверить, не появились ли они в публичном доступе
[√] Сохраните все этапы переписки и транзакций для возможного расследования или страхового случая
[ ] Рассмотрите привлечение третьей стороны для аудита процесса удаления — независимая верификация снижает риск неполного уничтожения данных
Почему шаблонный отчёт об уязвимостях не помогает предотвратить повторную атаку
Хакеры предоставляют список из 9 общих рекомендаций. Ни одной конкретной детали о векторе атаки, скомпрометированных учётных записях или использованных эксплойтах.
Для реального укрепления защиты требуется:
[√] Аудит логов аутентификации на предмет аномальных входов в период, предшествующий инциденту
[√] Проверка настроек сервисных учётных записей на предмет избыточных привилегий
[√] Внедрение мониторинга аномальной активности в домене через правила, специфичные для техник MITRE ATT&CK
[ ] Проведение упражнения по поиску угроз с фокусом на техники, использованные в данном инциденте