Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Как и у многих других злоумышленников, у операторов DoppelPaymer есть специальный сайт утечки данных (DLS) — то есть они занимаются кражей информации. Из анализируемого источника видно, что для хранения данных они используют сервис MediaFire.

Как видите, мы смогли получить много ценных данных о злоумышленниках, причастных к атакам с использованием программы-вымогателя, всего из одного твита.

Давайте рассмотрим еще одно сообщение, на этот раз твит Тахи Карима, директора по анализу угроз в Confiant.

Рис. 6.3. Твит о Clop16

Примечательно, что этот твит появился задолго до того, как была опубликована какая-либо информация о TTP операторов Clop.

Как видно из твита, операторы Clop использовали фишинговые кампании для заражения своих жертв FlawedAmmyy RAT. FlawedAmmyy — распространенный троян удаленного доступа (remote access trojan, RAT), обычно приписываемый TA505. Этот RAT основан на утечке исходного кода Ammyy Admin и позволяет злоумышленникам скрыто манипулировать взломанным хостом.

Мы уже знаем, что в среде злоумышленников очень популярен Cobalt Strike, и пользователи Clop не исключение. Как видите, он позволяет атакующим обходить контроль учетных записей пользователей (User Account Control, UAC) и применять распространенные инструменты дампа учетных данных, такие как Mimikatz. Несмотря на то, что он оставляет много следов, распространители программ-вымогателей продолжают активно его эксплуатировать.

Наконец, из твита следует, что пользователи Clop злоупотребляют диспетчером управления службами (Service Control Manager, SCM) для развертывания программы-вымогателя в рамках всего предприятия.

К сожалению, не всегда можно получить достаточно информации о TTP, используемых злоумышленниками в ходе жизненного цикла атаки. Кроме того, может потребоваться информация о самой программе-вымогателе. Вот твит Андрея Жданова, который активно отслеживает образцы программы-вымогателя BlackMatter.

Рис. 6.4. Твит о BlackMatter17

Как видите, в этом твите не так много информации о TTP, но зато есть ссылка на анализируемый образец, а также кое-какая информация о его функциональности.

Twitter — не единственная медиаплатформа для сбора такого рода аналитики: другой полезный источник — LinkedIn. Кроме того, вы всегда можете попросить своих коллег по реагированию на инциденты и аналитиков CTI поделиться обнаруженными данными, поэтому не стесняйтесь участвовать в глобальном сообществе.

Давайте рассмотрим еще более интересный источник полезных CTI — самих злоумышленников.

Как вы уже знаете, эта книга посвящена атакам программ-вымогателей, управляемых человеком. Наши противники — люди, а люди общаются и делятся информацией, и весьма часто это происходит на теневых форумах.

В этом разделе мы изучим сообщения с форумов, полученные платформой Group-IB Threat Intelligence.

Первый пост, который мы рассмотрим, создан злоумышленником с псевдонимом FishEye, о котором известно, что он связан с REvil, LockBit и некоторыми другими партнерскими программами.

Рис. 6.5. Пост FishEye

Злоумышленник хочет получить работающий эксплойт для уязвимости в SonicWall VPN. Он пишет, что операторы программы-вымогателя Conti уже используют его в своих кампаниях.

Скорее всего, злоумышленник имеет в виду уязвимость в продуктах SonicWall Secure Mobile Access (SMA) 100-й серии (CVE-2021–20016). Эта уязвимость может быть использована удаленно и дает преступникам доступ к учетным данным, с помощью которых они проникают во внутреннюю сеть и используют их на этапе постэксплуатации.

Следующий пост, который мы рассмотрим, принадлежит печально известному представителю REvil под псевдонимом UNKN (рис. 6.6).

Этот пост приглашает к сотрудничеству в программе RaaS REvil и описывает требования к партнерам. Во-первых, мы видим, что потенциальные участники должны уметь работать с технологиями резервного копирования — сетевыми файловыми хранилищами (network-attached storage, NAS) и накопителями на магнитных лентах (tape-based data storage).

Рис. 6.6. Пост UNKN

Во-вторых, злоумышленник отмечает, что потенциальные партнеры должны уметь использовать различные фреймворки постэксплуатации. Вот некоторые из них.

Metasploit Framework

Cobalt Strike

Koadic

Кроме того, участники должны уметь выполнять атаки на Active Directory, в том числе атаки kerberoasting, позволяющие злоумышленникам извлекать хеши учетных записей служб и использовать их для взлома паролей в автономном режиме.

Наконец, поскольку многие современные корпоративные сети используют виртуализацию, участники должны знать и уметь атаковать такие технологии, как Hyper-V.

Как видите, в некоторых случаях злоумышленники делятся довольно большим объемом информации о потенциальных TTP своих подельников. Часто они также комментируют различные вопросы, обсуждаемые на форумах. Например, вот мнение оператора программы-вымогателя LockBit под псевдонимом LockBitSupp о методах кражи данных.

Рис. 6.7. Пост LockBitSupp