Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Операторы программ-вымогателей могут получать доступ к целевой сети самостоятельно или приобретая его у брокеров первоначального доступа. Это может быть доступ к определенному хосту в сети или к самой сети, например, через скомпрометированные учетные данные VPN.

Для получения доступа может использоваться широкий спектр методов, от довольно распространенных, таких как атаки методом грубой силы и фишинговые электронные письма, до более сложных, таких как атаки на цепочку поставок.

Этот этап может включать в себя различные действия: сбор информации о взломанном хосте, поиск способов повышения привилегий и доступа к учетным данным, а также отключение или обход средств защиты для того, чтобы начать разведку и продвижение по сети.

Кроме того, злоумышленникам может потребоваться постоянный и резервный доступ к скомпрометированной системе.

Прежде чем начать распространение по сети, взломщики должны собрать информацию об удаленных системах, чтобы знать, на что им следует обратить внимание в первую очередь.

Не каждый хост одинаково ценен для злоумышленников. В основном их интересуют объекты, где можно получить дополнительные привилегированные учетные данные, собрать ценную информацию и, конечно же, добраться до резервных копий.

Чтобы получить доступ к наиболее ценным объектам, операторы программ-вымогателей должны перемещаться по сети в горизонтальном направлении. Как вы уже знаете, для этого они обычно используют легитимные инструменты и методы.

Иногда операторы программ-вымогателей крадут данные только с одного хоста, например с файлового сервера, иногда они собирают и выгружают данные из нескольких источников. В некоторых случаях эти действия занимают месяц и даже больше.

Как правило, современные атаки с использованием программ-вымогателей сопровождаются кражей данных, но иногда злоумышленники пропускают этот этап.

Злоумышленники должны отключить продукты безопасности, установленные в скомпрометированной сети, и удалить резервные копии данных. Это делается до того, как взломщики могут приступить к развертыванию программы-вымогателя.

На этом этапе злоумышленники пытаются достичь своей главной цели — развернуть программу-вымогатель. Важно отметить, что в некоторых случаях они даже не используют вредоносный код, а шифруют данные с помощью легитимных инструментов, таких как BitLocker и DiskCryptor.

Большинство программ-вымогателей очень заметны, поэтому злоумышленники пытаются найти новые способы обхода защиты.

Зашифровать всю сеть и ждать ответа от жертвы может быть не очень эффективно, поэтому лица, связанные с программами-вымогателями, изобретают новые способы ускорения процесса. Они могут размещать образцы украденных данных на DLS, звонить сотрудникам жертвы и даже проводить DDoS-атаки на уже скомпрометированную инфраструктуру.

Рис. 12.4. Унифицированный жизненный цикл атак с использованием программ-вымогателей

Три этапа унифицированного жизненного цикла закольцованы, потому что операторы программ-вымогателей могут выполнять одни и те же действия на нескольких хостах.

Службы реагирования на инциденты могут использовать данный жизненный цикл для реконструкции атак при реагировании на инциденты, а также для структурирования окончательного отчета, чтобы каждый этап атаки был доступно описан с использованием достаточного количества артефактов.

Теперь вы многое знаете о современных атаках с использованием программ-вымогателей и о том, как находить и отслеживать различные источники знаний о киберугрозах.

Понимая жизненный цикл атак с использованием программ-вымогателей, вы можете использовать различные модели, в том числе унифицированный жизненный цикл атак с использованием программ-вымогателей, для реконструкции таких атак. Кроме того, теперь вы знаете, как решать эту задачу при помощи наиболее распространенных криминалистических артефактов.

Я надеюсь, что эта книга поможет вам не только реагировать на инциденты, но и лучше понять текущий ландшафт угроз, связанный с атаками программ-вымогателей, управляемых человеком.

Последнее важное замечание: не стоит ограничиваться только теми криминалистическими артефактами, которые описаны в этой книге. Полезными сторонними источниками информации являются, например, SIEM и XDR. Используйте как можно больше данных — это позволит вам детально реконструировать атаку и выстроить надлежащую защиту, чтобы уберечь вашу (или клиентскую) сеть от подобных угроз.

Кибербезопасность: правила игры: Как руководители и сотрудники влияют на культуру безопасности в компании

Эллисон Сэрра

Старший брат следит за тобой: Как защитить себя в цифровом мире

Михаил Райтман

1. #Что случилось с вашими файлами?