Шифровальщики (страница 3)
Еще один пример – лица, связанные с программой-вымогателем Clop, которые помогали злоумышленникам в отмывании денег и также были арестованы в июне 2021 г.
Таким образом, программы-вымогатели как услуга позволили присоединиться к «большой игре» многим киберпреступникам – даже тем, кому не хватало навыков и возможностей. Это один из важных факторов превращения атак программ-вымогателей, управляемых людьми, в киберпандемию.
Выводы
В этой главе вы ознакомились с историей современных атак с использованием программ-вымогателей и немного узнали о тактиках, техниках и процедурах злоумышленников, их бизнес-модели – и даже о некоторых людях, которые стояли за описанными атаками.
В следующей главе мы углубимся в современную картину угроз, связанную с программами-вымогателями, и сосредоточимся на жизненном цикле атаки – от получения первоначального доступа до фактического запуска программы-вымогателя.
Глава 2
Жизненный цикл современной атаки с использованием программы-вымогателя
Атаки с использованием программ-вымогателей могут быть очень сложными, особенно если речь идет об охоте на крупную дичь – корпорации. Поэтому, прежде чем углубляться в технические детали, очень важно разобраться в том, как устроен жизненный цикл типичной атаки. Понимание жизненного цикла атаки помогает специалистам по безопасности правильно реконструировать инциденты и принимать верные решения на различных этапах реагирования.
Как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», программой-вымогателем как услугой может управлять как группа лиц, так и ряд отдельных злоумышленников. Что это значит? Тактики, техники и процедуры могут сильно различаться, но жизненный цикл атаки в большинстве случаев будет примерно одинаковым, поскольку злоумышленники обычно преследуют две основные цели – украсть конфиденциальную информацию из целевой сети и развернуть копию программы-вымогателя в масштабах предприятия.
В этой главе мы кратко обсудим различные этапы атак программ-вымогателей, управляемых человеком, чтобы сформировать ясное представление о жизненном цикле этих атак и подготовиться к погружению в технические детали.
В этой главе мы рассмотрим следующие темы:
● Начальные векторы атаки.
● Постэксплуатация.
● Кража данных.
● Развертывание программ-вымогателей.
Начальные векторы атаки
Любая атака начинается с получения первоначального доступа. Это можно сделать через подключенный к внутренней сети VPN, доставленный с помощью целевого фишинга троян, развернутый с помощью взлома общедоступного приложения веб-интерфейс и даже с помощью атаки на цепочку поставок (другой термин – атака через третью сторону).
Три наиболее распространенных начальных вектора атаки – это получение доступа через протокол удаленного рабочего стола (RDP), целевой фишинг и эксплуатация уязвимостей программного обеспечения.
Ниже приведены статистические данные о наиболее распространенных векторах атак программ-вымогателей до II квартала 2021 г. включительно, собранные Coveware (источник: https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority).
Рис. 2.1. Наиболее распространенные векторы атак программ-вымогателей, согласно Coveware
Рассмотрим каждый из них подробнее и сопроводим примерами.
Получение доступа через протокол удаленного рабочего стола (RDP)
В течение многих лет RDP оставался наиболее распространенным способом доступа злоумышленников к целевой сети. Из главы 1 «История современных атак с использованием программ-вымогателей» вы уже знаете, что его использовали пионеры подобных атак – операторы SamSam. Конечно, SamSam – не единственный пример. В настоящее время этим вектором пользуется множество злоумышленников – и действующие от случая к случаю, как операторы программы-вымогателя Dharma, и целенаправленные организованные группы вроде REvil.
Пандемия усугубила ситуацию – многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей.
Например, воспользовавшись системой поиска общедоступных серверов Shodan с открытым портом 3389 (порт по умолчанию для RDP), можно увидеть миллионы устройств.
Рис. 2.2. Количество устройств, подключенных к интернету с открытым портом 3389
Простейший поиск выдает миллионы результатов – это одна из причин, по которой данный начальный вектор атаки так популярен среди операторов программ-вымогателей.
На практике злоумышленники не всегда пытаются сами атаковать такие серверы, они могут просто купить доступ к ним. Операторы программ-вымогателей как услуги могут не только арендовать программы-вымогатели, но и покупать доступ к корпоративным сетям у так называемых брокеров первоначального доступа. Такие брокеры обычно не участвуют в этапе постэксплуатации, чаще они продают первоначальный доступ или отдают его за долю (в среднем до 10 %) в возможной сумме выкупа.
Иногда операторы программ-вымогателей даже создают темы на андеграундных форумах, чтобы привлечь внимание брокеров первоначального доступа. Вот, например, сообщение, предоставленное платформой Threat Intelligence and Attribution