Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Целевой фишинг подразумевает использование социальной инженерии. Злоумышленники манипулируют пользователями, чтобы те открывали вредоносные вложения или переходили по опасным ссылкам. Так в их распоряжении оказываются учетные данные, которые потенциально можно использовать для получения VPN-доступа к целевой сети или, как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», для заражения устройств троянскими программами. Поначалу многие злоумышленники использовали такое вредоносное ПО для банковского мошенничества, но оно также применяется для получения первоначального доступа к корпоративным сетям.

Наиболее распространенные примеры подобных троянов:

BazarLoader

Hancitor

IcedID

Qakbot

Trickbot

Естественно, список неполный — это лишь наиболее распространенные примеры средств, прокладывающих дорогу операторам программ-вымогателей.

Обычно операторы таких троянов проводят массированные спам-кампании, в основном среди корпоративных пользователей. Чаще всего они используют перехват цепочки сообщений — со взломанных адресов электронной почты злоумышленники отправляют вредоносные документы в ответ на подлинные электронные письма.

Рис. 2.4. Пример перехвата цепочки сообщений операторами Qakbot5

В некоторых случаях злоумышленники используют еще более изощренные методы: из главы 1 «История современных атак с использованием программ-вымогателей» вы знаете, что операторы BazarLoader также использовали вишинг (голосовой фишинг).

Пример такого электронного письма приведен ниже.

Рис. 2.5. Пример фишингового письма с целью распространения BazarLoader6

Как видите, вредоносных вложений в данном случае нет. Вместо этого злоумышленники просят жертву не отвечать на письмо, а позвонить по телефону службы поддержки, чтобы связаться с подставной компанией и отменить подписку.

Если жертва позвонит, злоумышленники из фальшивого кол-центра направят ее на веб-сайт, чтобы она самостоятельно открыла вредоносный документ и включила макросы, чтобы загрузить и запустить BazarLoader.

Мы рассмотрим дополнительные технические подробности запуска и маскировки таких троянских программ в следующих главах, а пока запомните, что злоумышленники могут использовать их для загрузки дополнительных инструментов на скомпрометированный хост, чтобы затем выполнить шаги постэксплуатации и получить в свое распоряжение привилегированные учетные записи для продвижения по сети.

В завершение нашего обзора начальных векторов атак мы сделаем обзор различных уязвимостей программного обеспечения, позволяющих операторам программ-вымогателей получать доступ к целевой сети.

Уязвимости программного обеспечения позволили многим брокерам начального доступа разбогатеть на сотни тысяч долларов, но при помощи программ-вымогателей как услуги были получены миллионы.

Конечно, не каждая уязвимость дает злоумышленнику возможность получить первоначальный доступ в сеть. Чаще всего используются уязвимости, которые позволяют удаленно запустить код или получить файлы с учетными данными.

Хороший пример уязвимости — приложение Pulse Secure VPN. Например, уязвимость CVE-2019–11510 позволяла злоумышленникам получать имена пользователей и незашифрованные пароли от уязвимых устройств, чтобы использовать их для доступа в сеть.

Другая уязвимость, популярная среди операторов программ-вымогате-лей, — CVE-2018–13379 в серверах FortiGate VPN. Она тоже позволяет злоумышленникам читать файлы с незашифрованными учетными данными.

Уязвимость CVE-2019–19781 в решении Citrix ADC and Gateway также активно использовалась многими группами вымогателей — она позволяла злоумышленникам удаленно загружать и запускать вредоносный код и выполнять другие действия постэксплуатации.

Еще один пример — многочисленные уязвимости в Accellion Legacy File Transfer Appliance, включая CVE-2021–27101, CVE-2021–27102, CVE-2021–27103 и CVE-2021–27104, используемые бандой вымогателей Clop.

Наконец, в некоторых случаях злоумышленникам удается использовать даже уязвимости «нулевого дня» — это такие уязвимости в системах или устройствах, которые уже стали известны, но еще не были исправлены разработчиками. В июле 2021 г. участники группировки REvil успешно воспользовались несколькими уязвимостями в службе удаленного управления Kaseya VSA и запустили вредоносный пакет обновления, что привело к развертыванию программы-вымогателя. Атака затронула многих клиентов Kaseya, в том числе поставщиков услуг комплексного управления ИТ-инфраструктурой, поэтому злоумышленники запросили действительно крупный выкуп — $70 млн.

Рис. 2.6. Информация об атаке на DLS REvil7

Конечно, получение начального доступа в сеть — это еще не все. В большинстве случаев злоумышленникам приходится повышать права доступа, получать учетные данные, выполнять разведку сети и другие действия постэксплуатации.