Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Некоторые злоумышленники действуют более прицельно. Например, операторы программы-вымогателя Clop обычно стремились найти хосты, принадлежащие высшему руководству компании-жертвы, и собирали с них электронные письма как материал для вымогательства.

В некоторых случаях лица, связанные с программами-вымогателями, могут перед кражей архивировать собранные данные. Например, участники Conti использовали популярную утилиту 7-Zip для архивирования собранных данных перед эксфильтрацией.

Различные веб-сервисы, такие как MEGA, DropMeFiles и др., чрезвычайно популярны среди операторов программ-вымогателей. Они могут использовать веб-браузер для загрузки собранных данных в хранилище или автоматизировать этот процесс при помощи таких инструментов, как RClone.

Ниже пример использования RClone для кражи данных.

Иногда злоумышленники даже разрабатывают отдельные инструменты для сбора и кражи данных.

Операторы LockBit предлагали своим партнерам не только программу-вымогатель для развертывания, но и инструмент для кражи данных — StealBit.

Этот инструмент автоматически извлекает со взломанного хоста все доступные файлы, кроме системных файлов, файлов реестра и некоторых других файлов с расширениями из встроенного списка. Как только все собранные данные украдены, наступает время для финального этапа — развертывания программы-вымогателя.

Конечная цель любой атаки с использованием программы-вымогателя — непосредственно развертывание самой программы-вымогателя. К этому времени резервные копии уже стерты (или будут зашифрованы в первую очередь), продукты обеспечения безопасности отключены, а данные украдены.

Один из наиболее распространенных методов развертывания — копирование программы-вымогателя через SMB и ее запуск на исполнение с помощью PsExec — легитимного инструмента из пакета SysInternals. Злоумышленники обычно применяют его для удаленного запуска.

Вот пример того, как преступники, работающие с программой-вымогателем Netwalker, используют этот инструмент для удаленного запуска.

Другой пример — операторы вредоносной программы Egregor используют для развертывания Windows Management Instrumentation command-line (WMIC).

Рассмотрим еще один пример. На этот раз речь пойдет о программе-вымогателе Ryuk. На этот раз атакующие выполняли развертывание с помощью Background Intelligent Transfer Service (BITS).

Сами программы-вымогатели также зачастую реализуют несколько техник. Давайте их рассмотрим.

Почти каждая программа-вымогатель имеет встроенную возможность удаления или отключения функций восстановления системы. Весьма широко распространенный пример — возможность удаления теневых копий тома.

На завершающем этапе производится шифрование данных.

Основная цель любой атаки программ-вымогателей — зашифровать файлы на скомпрометированных хостах. Разработчики используют различные алгоритмы шифрования, в том числе AES, RSA, Salsa20, ChaCha и собственные разработки. Не получив от злоумышленников ключ, к сожалению, невозможно расшифровать файлы. Жертвы платят, и это мотивирует создателей программ-вымогателей на дальнейшие атаки.

Итак, мы изучили весь жизненный цикл атаки, сделав акцент на наиболее распространенных методах, используемых операторами программ-вымогателей. Важно отметить, что TTP преступников периодически меняются, поэтому очень важно быть в курсе актуальной информации о киберугрозах.

Современные атаки программ-вымогателей, управляемых человеком, — это не только шифрование данных. Чтобы развернуть программу-вымогатель в масштабе предприятия, злоумышленники должны пройти долгий путь от первоначального доступа до кражи данных, поэтому у отдела кибербезопасности обычно есть много возможностей для обнаружения. Тем не менее, как специалисты по реагированию на инциденты, мы должны быть хорошо осведомлены о текущих тактиках, техниках и процедурах, которые используют операторы программ-вымогателей, чтобы быстро и эффективно реагировать на атаки.

Поскольку TTP могут со временем меняться, крайне важно, чтобы специалисты по реагированию на инциденты и другие сотрудники службы безопасности компании могли собирать, обрабатывать и распространять практическую информацию о киберугрозах, связанных с программами-вымогателями.

В следующей главе мы рассмотрим различные открытые источники, которые можно использовать для сбора сведений о киберугрозах.