Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Рис. 5.4. Пост с русскоязычного андеграундного форума на платформе Group-IB Threat Intelligence

Как видите, получить первоначальный доступ через внешние удаленные сервисы очень просто, особенно теперь, во времена пандемии COVID-19. Но это не единственный способ. Давайте рассмотрим еще одну распространенную технику — эксплуатацию общедоступных приложений.

Эксплуатация общедоступных приложений в атаках программ-вымогателей, управляемых человеком, — еще одна распространенная техника злоумышленников.

Вы уже знаете, что вымогатели часто взламывают серверы RDP: они могут либо провести атаку методом грубой силы, либо просто купить доступ на черном рынке или у брокеров первоначального доступа.

Но также они могут удаленно запускать код на серверах, используя уязвимости реализации RDP, например BlueKeep (CVE-2019–0708). Известно, что она до сих пор активно эксплуатируется, в частности лицами, связанными с программой-вымогателем LockBit.

То же самое можно сказать и о доступе через VPN. Злоумышленники используют многочисленные уязвимости, которые позволяют им получить VPN-доступ к целевой сети. Рассмотрим наиболее популярные уязвимости.

Уязвимость в Fortinet, FortiOS и FortyProxy (CVE-2018–13379) позволяла различным операторам программ-вымогателей получать доступ к системным файлам, в том числе содержащим учетные данные, чтобы впоследствии использовать их для получения VPN-доступа к сети.

Другая уязвимость произвольного чтения файлов, связанная с VPN, имеется в Pulse Secure Pulse Connect Secure (CVE-2019–11510). Ее эксплуатация позволяет злоумышленникам получать доступ к закрытым ключам и паролям пользователей. Эта уязвимость активно использовалась лицами, связанными с программой-вымогателем REvil.

Наконец, упомянем уязвимость в SonicWall SMA100 (CVE-2019–7481). Ею активно пользовались операторы программы-вымогателя HelloKitty.

Разумеется, уязвимости, которые злоумышленники используют для получения первоначального доступа, не ограничиваются RDP и VPN.

Например, операторы программы-вымогателя Clop использовали уязвимости в Accellion FTA:

CVE-2021–27101: уязвимость типа «SQL-инъекция».

CVE-2021–27102: уязвимость внедрения команд ОС.

CVE-2021–27103: уязвимость подделки запросов на стороне сервера (Server-Side Request Forgery, SSRF).

CVE-2021–27104: еще одна уязвимость внедрения команд ОС.

Эти уязвимости позволили злоумышленникам загрузить веб-шелл на уязвимые серверы и использовать его для кражи данных, поскольку для безопасной передачи больших файлов компании использовали программно-аппаратный комплекс Accellion FTA.

Еще одна уязвимость, которой пользовались операторы программ-вымогателей, таких как Nefilim, — это уязвимость в Citrix Application Delivery Controller (ADC) и Gateway (CVE-2019–19781). В результате злоумышленники могли запускать команды на атакуемом сервере.

Наконец, в 2022 г. злоумышленники пользовались уязвимостями в серверах Microsoft Exchange, включая ProxyLogon (CVE-2021–26855) и ProxyShell (CVE-2021–34473, CVE-2021–34523 и CVE-2021–31207).

Участники атак с использованием программ-вымогателей добавили в свой арсенал соответствующие эксплойты. Например, лица, связанные с Conti, использовали уязвимость ProxyShell для загрузки веб-шелла на целевой сервер, чтобы выполнять на нем дальнейшие действия в ходе постэксплуатации.

Общедоступные серверы и приложения — весьма популярные цели операторов программ-вымогателей, но обычно их не так уж много. Кроме того, на них могут быть установлены актуальные обновления, исправляющие ошибки системы безопасности, и/или использоваться надежные пароли. Поэтому злоумышленникам приходится искать другие слабые места, например обычных пользователей корпоративной сети. И тут уместно использовать фишинг.

Исторически фишинг был одним из излюбленных способов получения первоначального доступа злоумышленников к целевой сети.

В настоящее время киберпреступники для этого часто применяют трояны (или боты), которые обычно доставляются через спам-письма. В список таких вредоносных программ входят Bazar, Qakbot, Trickbot, Zloader, Hancitor и IcedID.

Для их доставки злоумышленники обычно используют зараженные вложения электронной почты, например файлы Microsoft Office, скрипты в архивах или просто ссылки на такие файлы.

Злоумышленники проявляют поразительную изобретательность в создании фишинговых писем. Временами эти электронные письма выглядят настолько правдоподобно, что даже специалисты по безопасности могут счесть их настоящими. Вот пример спам-письма с фишинговой ссылкой, распространяемого операторами Hancitor.

Рис. 5.5. Пример электронного спам-письма, отправленного операторами Hancitor

Щелкнув по этой фишинговой ссылке, пользователь попадет на страницу загрузки вредоносного документа Microsoft Office.

Злоумышленники не всегда отправляют пользователям ссылки, есть другой способ — прикрепить к электронному письму зараженный файл.

Рис. 5.6. Пример электронного спам-письма, отправленного операторами Qakbot12