Восстановление и развёртывание ИТ-инфраструктуры после хакерской атаки в крупном ритейле

Задача

Клиент — сеть розничных магазинов с центральным офисом и 120 торговыми точками — стал жертвой целевой хакерской атаки:

• зашифрованы файловые серверы и резервные копии,
• скомпрометированы учётные записи администраторов,
• нарушена работа кассовых систем и CRM,
• часть POS-терминалов отключилась от центрального хаба.

Операционная деятельность остановилась на 36 часов. Требовалось:

• полностью восстановить ИТ-инфраструктуру с нуля,
• развернуть новую, защищённую архитектуру,
• исключить повторное заражение,
• вернуть бизнес к работе в минимальные сроки.

Решение

Мы выполнили проект в режиме чрезвычайной ИТ-реакции, с чётким разделением на три фазы.

Фаза 1. Изоляция и оценка ущерба (0–24 ч)

• Отключили все компрометированные системы от сети.
• Провели цифровую экспертизу: выявили вектор атаки — утечка учётных данных через фишинг с последующим движением по сети через RDP.
• Убедились, что резервные копии в «холодном хранилище» (не подключённом к сети) не затронуты.
• Оценили, что восстановление из бэкапов невозможно из-за устаревания и отсутствия изоляции.

Решено: строить новую инфраструктуру «с чистого листа».

Фаза 2. Экстренное развёртывание (24–72 ч)

• В течение 48 часов развернули временную ИТ-среду в локальном ЦОД:
• Active Directory на Windows Server 2022 — новый лес, новые SID,
• Microsoft Exchange 2019 — с нуля, без импорта старых данных,
• Kaspersky Secure Mail Gateway — как первый рубеж защиты,
• Сервер файлов с включённым антивирусом Касперского в реальном времени.
• Настроили многофакторную аутентификацию через «Мультифактор» для всех учётных записей, включая сервисные.
• Восстановили работу касс через резервный канал связи с изолированным VLAN.
• Развёрнут минимально жизнеспособный CRM на новых виртуальных машинах.

Фаза 3. Построение защищённой архитектуры (72 ч – 3 недели)

• Выполнили полную сегментацию сети:
• VLAN 10 — серверная зона,
• VLAN 20 — офисные пользователи,
• VLAN 30 — POS-терминалы и кассы,
• VLAN 40 — Wi-Fi для гостей,
• VLAN 50 — видеонаблюдение и СКУД.
• Настроили межсетевые экраны между сегментами, запретили RDP из пользовательской сети, разрешили только через jump-сервер.
• Внедрили систему мониторинга с триггерами на подозрительную активность (множественные неудачные входы, аномальный трафик).
• Настроили резервное копирование на изолированный NAS с еженедельным «air-gapped» снапшотом.
• Провели обучение сотрудников по фишингу и безопасному поведению.
• Передали полную документацию и провели пилотный аудит ИБ.

Результат

• Бизнес вернулся к работе через 68 часов после атаки.
• Новая инфраструктура полностью изолирована от старой, с нулевым риском повторного заражения.
• Внедрены российские решения безопасности: «Мультифактор», Kaspersky Secure Mail Gateway.
• Все данные хранятся локально, без зависимости от облака.
• Система соответствует требованиям по защите КИИ и готова к аудиту.
• За 6 месяцев после восстановления — ноль инцидентов.

Сегодня клиент управляет не просто ИТ-инфраструктурой, а устойчивой к угрозам средой, построенной на принципах «нулевого доверия» и суверенитета.