Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Киберразведка — очень важная часть реагирования на инциденты. Прочитав предыдущую главу, вы должны были получить четкое представление о текущей картине угроз и методах, используемых злоумышленниками. Теперь важно научиться быстро выполнять анализ и переходить к следующим этапам реагирования на инциденты.

Далее мы обсудим различные типы информации о киберугрозах: стратегическую, оперативную и тактическую. Практика всегда лучше теории, поэтому в нашем обсуждении мы разберем публично доступный отчет, из которого попробуем выделить различные типы аналитики.

Кто и почему — стратегическая информация о киберугрозах.

Как и где — оперативная информация о киберугрозах.

Что — тактическая информация о киберугрозах.

Стратегическая информация о киберугрозах обычно предназначена для лиц, принимающих решения: директора по информационной безопасности (Chief Information Security Officer, CISO), директора по информационным технологиям (Chief Information Officer, CIO), технического директора (Chief Technology Officer, CTO) и др. Она включает описание глобальных направлений деятельности и мотивов злоумышленников и дает общие ответы на вопросы «кто» и «почему». Эта информация обеспечивает CISO, CIO и других руководителей в сфере кибербезопасности техническими и тактическими знаниями и помогает им предвидеть, какие могут появиться новые тенденции в сфере угроз.

Таким образом, «кто» относится к злоумышленникам, нацелившимся на организацию, а «почему» — к их мотивации.

С точки зрения мотивов киберпреступники вполне предсказуемы, их основная цель — получить с жертвы деньги. Как правило, речь идет о весьма значительных суммах.

Другой важный момент — какие организации становятся мишенями злоумышленников. Например, некоторые операторы программ-вымогателей не атакуют больницы, государственные учреждения, ключевые инфраструктурные объекты и т. д. Это хорошо иллюстрирует пример операторов BlackMatter, которые запрещают своим пособникам атаковать определенные категории организаций (рис. 4.1).

Теперь давайте ознакомимся с открытым отчетом команды SentinelLabs «Атаки Hive. Анализ программ-вымогателей, управляемых человеком, нацеленных на здравоохранение» (Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare). Отчет доступен по ссылке: https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/.

Рис. 4.1. Раздел правил на веб-сайте программы-вымогателя BlackMatter11

И первый же важный стратегический факт заключается в том, что цель злоумышленников, использующих программу-вымогатель Hive, — учреждения здравоохранения. Да, некоторые операторы и их сообщники могут специализироваться на определенных областях бизнеса или отраслях, иногда — в конкретных странах. В качестве примера исследователи приводят больницы Memorial Healthcare System в Огайо. Описана атака с использованием программы-вымогателя, в результате которой организация была вынуждена перевести пациентов неотложной помощи из ряда своих больниц в другие учреждения. Злоумышленники прекрасно понимают, что предприятия отрасли здравоохранения — благоприятная среда, которая содержит большие объемы данных. В медицинской отрасли есть много точек входа, которые позволяют злоумышленникам проникать и перемещаться как им заблагорассудится. Если мы попробуем углубиться в этот аспект и проанализировать данные жертв, доступные на сайте утечек (DLS) злоумышленников, можно найти еще больше данных, связанных с атаками (рис. 4.2).

Поскольку список жертв не ограничивается организациями здравоохранения, анализ может дать более подробный обзор целей. Это позволит лицам, принимающим решения, получить ясное представление о том, реальна ли угроза для их бизнеса.

Рис. 4.2. Информация о жертве с DLS Hive

Кроме того, из отчета видно, что группа, стоящая за программой-вымогателем Hive, весьма активна. Она начала свою деятельность в конце июня 2021 г. и уже провела не менее 30 успешных атак. Этот факт также может помочь расставить приоритеты в оборонительной стратегии.

Давайте подробнее рассмотрим оперативные сведения о киберугрозах, которые можно извлечь из отчета.

Оперативная информация о киберугрозах помогает понять возможности злоумышленников, дает представление об их инфраструктуре и, конечно же, о тактиках, техниках и процедурах. Этот вид информации позволяет нам узнать, «как» и «где», поэтому он ориентирован на аналитиков Центра управления безопасностью (Security Operation Center, SOC), специалистов по реагированию на инциденты, «охотников за угрозами» и т. д.