Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Большинство таких веб-сайтов расположены в даркнете, и доступ к ним можно получить, например, через браузер Tor. Если вы хотите отслеживать изменения на таких сайтах с помощью обычного веб-браузера, рекомендуем использовать проект Ransomwatch (https://www.ransomwatch.org/). Этот веб-сайт автоматически снимает и публикует скриншоты активных DLS, принадлежащих различным операторам программ-вымогателей.

Рис. 2.7. DLS программы-вымогателя Conti8

Злоумышленники могут потратить довольно много времени на извлечение данных из взломанной сети — иногда несколько месяцев. За это время они могут найти наиболее конфиденциальные данные и обеспечить дополнительные средства удаленного доступа к скомпрометированной сети на случай, если метод первоначального доступа будет раскрыт и доступ заблокирован.

Как правило, применяется один из двух подходов к эксфильтрации данных. В первом случае преступники могут настроить для этой цели сервер или использовать те же серверы, с которых осуществлялась атака, — например, с помощью фреймворков постэксплуатации.

В этих случаях злоумышленники обычно крадут данные с помощью легальных инструментов, таких как WinSCP или FileZilla. Обнаружить такие инструменты может быть чрезвычайно сложно, особенно если в составе службы безопасности организации нет специальной группы мониторинга, которая постоянно вела бы активный поиск угроз.

Как правило, данные сначала нужно собрать, но в некоторых случаях их можно извлечь прямо с файлового сервера — даже без архивации.

Другой подход — использовать общедоступные облачные хранилища, такие как MEGA, DropMeFiles и др. Эти же хранилища злоумышленники могут использовать для публикации данных на своих DLS.

Так выглядят данные, украденные злоумышленниками, использующими программу-вымогатель Everest, и загруженные в DropMeFiles.

Рис. 2.8. Украденные данные, опубликованные злоумышленниками, использующими программу-вымогатель Everest

Чтобы выгружать данные таким способом, злоумышленники могут использовать обычный веб-браузер или, в некоторых случаях, соответствующие клиентские приложения. Например, операторы программы-вымогателя Nefilim просто установили MEGAsync на целевой хост и выгружали данные с его помощью.

Другой яркий пример: партнеры Mount Locker использовали для кражи собранных данных хранилище Amazon S3. AWS и другие облачные решения могут быть хорошим подспорьем для крупных краж данных, так что использование таких решений без надлежащего управления и надзора — большая помощь злоумышленникам.

Как только все конфиденциальные данные (по крайней мере с точки зрения злоумышленников) извлечены, сеть жертвы готова к развертыванию программы-вымогателя.

Как вы думаете, кто злейший враг оператора программы-вымогателя? Верно, резервные копии — если они защищены от взлома и хранятся в безопасном месте. Но у них есть досадное слабое место — злоумышленники могут их удалить.

К сожалению, системные администраторы часто не помнят ни о правиле 3–2–1 (три резервные копии на двух разных носителях, один из которых находится вне предприятия), ни о необходимости иметь отдельные учетные записи и использовать многофакторную аутентификацию для серверов резервного копирования. А ведь сегодня надлежащее обеспечение безопасности резервных копий важно не только для защиты от программ-вымогателей, но и для соответствия организации отраслевым нормативным требованиям.

Чем это грозит? Обладая правами администратора домена, злоумышленники смогут легко получить доступ к серверам резервного копирования и стереть все доступные резервные копии. После этого у компании-жертвы не останется другого выбора, кроме как заплатить выкуп.

Некоторые программы-вымогатели имеют встроенные возможности для удаления файлов с расширением типичных решений резервного копирования. Вот, например, список расширений резервных файлов, стираемых TinyCryptor:

vbm

vib

vbk

bkf

vlb

vlm

iso

Возможно, вы знаете о том, что операционная система Windows имеет встроенный механизм резервного копирования, называемый Volume Shadow Copy Service. Он создает резервные копии файлов и даже томов, чтобы пользователь мог восстановить данные до прежнего состояния.

Разумеется, операторы программ-вымогателей обратили внимание на эту функцию Windows — большинство программ-вымогателей отключают ее и удаляют доступные копии.

Резервные копии — не единственный враг операторов программ-вымогателей. Еще один — программные решения для обеспечения безопасности, которые могут легко заблокировать выполнение программ-вымогателей, если, конечно, работают правильно.

Злоумышленники могут добавить программу-вымогатель в исключения или просто отключить имеющееся защитное ПО. На этом этапе у злоумышленников обычно есть учетные права администратора домена, поэтому для достижения своей цели они могут развертывать пакетные сценарии, манипулирующие групповыми политиками. Конечно, это не единственный способ — можно отключить программное обеспечение для безопасности с его же консольного интерфейса.