Шпионское ПО в аптеках

Пример экспертизы вирусозависимого компьютерного инцидента

В 2015 году в компанию «Доктор Веб» обратился владелец сети аптек. Заведующий одной из аптек сети жаловался на сбои в работе ПК: компьютеры фармацевтов долго загружались и притормаживали в процессе работы. В связи с этим доступ к базе товарных запасов для проверки наличия какого-либо лекарства, проверка цены, обращение к информации о возможности покупки медикаментов под заказ и другие рутинные операции занимали гораздо больше обычного времени, и это сказывалось на бизнесе. Поскольку весь компьютерный парк компании был новым и отнести проблемы в работе ПК на счет устаревшего «железа» было невозможно, владелец аптечной сети заказал в «Доктор Веб» экспертизу вирусозависимого компьютерного инцидента (ВКИ).

Задача для экспертов

Уже во время первой встречи с заказчиком эксперты высказали предположение, что на компьютерах присутствует специализированное вредоносное ПО для предприятий фармацевтической отрасли, известное вирусным аналитикам «Доктор Веб» с 2012 года. Но обычно бэкдоры действуют скрытно и долго остаются незамеченными в системе, поэтому это было принято как рабочая гипотеза.

Перед экспертами был поставлены следующие задачи:

• изучить жесткие диски всех автоматизированных рабочих мест аптеки, которая предположительно подверглась атаке, и установить наличие/отсутствие на них вредоносного ПО и следов деятельности злоумышленников;
• дать рекомендации по организации антивирусной системы защиты компании для предотвращения подобных инцидентов в будущем.

Результат экспертизы

В ходе экспертизы были изучены не только «проблемные» ПК, но и все автоматизированные рабочие места целевой аптеки. Гипотеза экспертов подтвердилась: на анализируемых ПК была обнаружена вредоносная программа BackDoor.Dande (известен «Доктор Веб» с 2012 года), которая загружалась на компьютеры аптечной сети вместе с обновлением легитимного ПО для сравнения цен на медикаменты и выбор подходящего поставщика. И она действительно работала незаметно и еще долго не была бы обнаружена, если бы не ошибки реестра и переполнение системных дисков — которые и стали причиной нестабильной работы ПК, из-за которых была заказана экспертиза. Бдительность владельца аптечной сети по отношению к некритичным нарушениям в работе помогла выявить куда более глобальную проблему — попадание компьютеров аптеки в бот-сеть и использование на них шпионского ПО для промышленного шпионажа.

По результатам экспертизы заказчик получил подробный отчет и рекомендации по усилению защиты:

• сменить бесплатный антивирус, который пропустил шпионское ПО в сеть, на коммерческий антивирус enterprise-класса;
• пользоваться услугами хотя бы приходящего системного администратора, чтобы предупредить выход ПК из строя по невирусным причинам.

В целях оптимизации расходов на антивирусную защиту компания выбрала услугу «Антивирус Dr.Web» и приобрела подписку для всех ПК и серверов аптечной сети.

Если произошла нештатная ситуация (пропали деньги или данные, утекли пароли к корпоративным ресурсам, компьютеры работают с перебоями и т. д.) и вы предполагаете, что причина в действиях вредоносного ПО, закажите экспертизу ВКИ в компании «Доктор Веб». 28 лет опыта в антивирусной отрасли и наши эксклюзивные методики обнаружения новейших угроз помогут разобраться в произошедшем, а наличие специального оборудования, позволяющего снимать информацию в соответствии с установленными законом процедурами, обеспечит неопровергаемую доказательную базу в суде.

Отправить заявку на экспертизу

Подробнее об экспертизе