Зафиксирована новая хакерская рассылка группировки BO Team на российские компании

19 мая 2025

Центр кибербезопасности УЦСБ зафиксировал новую волну хакерских атак на российские компании.

Злоумышленники группировки BO Team рассылают письма с угрозами и требованиями перевода денежных средств в биткоинах. Преступники сообщают, что ИТ-инфраструктура компании подверглась атаке и если не заплатить выкуп, то бизнесу будет нанесен значительный ущерб — вплоть до полной потери данных и вывода систем из строя.

Эксперты УЦСБ не рекомендуют вступать в переговоры и платить выкуп, так как злоумышленники часто не выполняют обещания и даже после оплаты шифруют инфраструктуру или публикуют украденные данные. Кроме того, каждый перевод группировкам — это поддержка киберпреступности.

Специалисты Центра кибербезопасности УЦСБ подготовили чек-лист на случай подозрения компрометации ИТ-инфраструктуры компании.

1. Установить антивирусное ПО, отличное от штатного Windows Defender, и обновить на нем антивирусные базы.

2. Провести принудительную проверку всех узлов сети антивирусным ПО от разных разработчиков.

3. Вывести из домена серверы управления антивируса.

4. Провести ревизию и аудит учетных записей на всех серверах, рабочих местах, контроллере домена и сетевых устройствах. Удалить неиспользуемые.

5. Убедиться в надежности парольной политики: длина паролей пользователей не менее 12 символов, администраторов — не менее 16 символов. Символы из 4 групп: строчные, прописные буквы, цифры и спецсимволы.

6. Проанализировать сетевые соединения изнутри наружу на предмет подозрительных и проверить по базам компрометации. Заблокировать подозрительные.

7. Проверить, что критические ИС скопированы на отчуждаемое хранилище и убедиться, что есть копии за разные периоды времени. Это позволит вернуться к более ранней версии, если заражены самые новые резервные копии.

8. Провести ревизию установленного ПО, особенно на серверах.

9. Провести ревизию учетных записей управления гипервизорами и сетевым оборудованием.

10. Вынести интерфейсы управления гипервизорами, состоянием серверов (например, iPMI), сетевым оборудованием в отдельные подсети. Ограничить доступ к сетевому оборудованию с помощью VLAN и ACL.

11. Доступ к интерфейсам управления предоставить только с рабочих мест администраторов, которым он нужен для выполнения своих обязанностей.

12. Рабочие места администраторов проверить на предмет наличия закрепления (ключи реестра Run, RunOnce, отложенные задачи, подозрительные сервисы и дочерние процессы оболочки) либо переустановить на них ОС.

13. Убедиться, что серверы резервного копирования выведены из домена и вынесены в отдельную подсеть. Ограничить доступ к ним с помощью VLAN и ACL на сетевом оборудовании.

14. При наличии сервисных учетных записей (SPN) с привилегиями администратора домена — отключить или понизить уровень привилегий.

15. Установить пароли на отключение и удаление антивирусного ПО.