https://cyber-web.ru/
Киберпространство - наше будущее

Этапы атаки программ-вымогателей: от первоначального доступа до вымогательства

Как работают ransomware (программы-вымогатели)

0 438

В последние годы атаки ransomware (программ-вымогателей) стали одной из самых больших угроз для организаций по всему миру. Этот тип вредоносного ПО проникает в систему жертвы и шифрует ее файлы, требуя выкуп в обмен на ключ дешифровки и освобождение файлов.

Но как именно работают эти атаки и как их можно предотвратить? В этой статье мы рассмотрим анатомию атаки ransomware, начиная с ее проникновения в систему и заканчивая моментом, когда требуется выкуп, четко разграничивая каждый из этапов в зависимости от времени, которое отделяет их от момента заражения.

Первоначальный доступ: начало атаки

Этап первоначального доступа – это первый шаг в атаке ransomware. На этом этапе злоумышленники ищут способ проникнуть в систему жертвы. Они могут сделать это с помощью различных методов, таких как фишинг, использование уязвимостей или слабых паролей.

В случае фишинга злоумышленники рассылают вредоносные электронные письма, которые кажутся исходящими из надежного источника, например, от законной организации или правительственного учреждения. Такие письма часто содержат вложение или ссылку, при открытии или нажатии на которую на систему жертвы загружается программа-вымогатель.

Во-вторых, эксплуатация уязвимости предполагает поиск слабого места в системе жертвы, например, устаревшего программного обеспечения или небезопасной конфигурации сети, что позволяет злоумышленникам проникнуть в систему незамеченными. Обнаружив уязвимость, злоумышленники могут использовать автоматизированные инструменты для сканирования сети в поисках более уязвимых систем.

Наконец, злоумышленники также могут использовать слабые пароли для получения доступа к системе жертвы. Часто люди используют пароли, которые легко угадать, например, “123456” или “password”. Злоумышленники могут попробовать эти распространенные пароли или использовать автоматизированные инструменты для угадывания правильного пароля.

Задачи разведки. Часы, дни или недели после первоначального доступа

На этапе разведки злоумышленники пытаются получить информацию о сети и системах жертвы, а также ищут возможные уязвимости, которые они могут использовать.

Киберпреступники могут использовать различные методы для сбора информации, такие как сканирование портов, анализ сетевого трафика, социальная инженерия и другие методы. Эта информация используется для определения целей и потенциальных уязвимостей в сети.

После того как злоумышленники выявили уязвимые системы, они приступают к этапу латерального перемещения. Это предполагает перемещение по скомпрометированной сети, то есть от первоначально скомпрометированной системы или устройства к другим системам в сети. Цель – расширить контроль над сетью и получить доступ к дополнительной информации.

Злоумышленники могут использовать такие инструменты, как удаленный доступ и эксплуатация уязвимостей, чтобы получить доступ к другим системам жертвы. После взлома системы они могут попытаться использовать учетные данные системы для перемещения по сети и получения доступа к другим системам. На этом этапе могут быть развернуты такие инструменты, как Metasploit или CobaltStrike, для поиска других уязвимостей в сети и их использования.

Боковое перемещение может продолжаться до тех пор, пока злоумышленники не получат доступ к ценным системам, содержащим критическую информацию, такую как финансовые данные или данные интеллектуальной собственности. Как только это будет достигнуто, они переходят к этапу эксфильтрации информации.

На этапе эксфильтрации злоумышленники эффективно похищают ценные данные жертвы, шифруют их, а затем требуют выкуп, чтобы получить их обратно. Эксфильтрация информации осуществляется в качестве дополнительной меры давления на жертву, чтобы заставить ее заплатить выкуп, поскольку злоумышленники угрожают обнародовать украденные данные.

Для осуществления этапа эксфильтрации злоумышленники ищут ценные данные, такие как финансовая информация, персональные данные или информация об интеллектуальной собственности, основываясь на именах или типах файлов, содержащихся в них папках и так далее. Некоторые из методов, используемых для эксфильтрации данных, могут включать создание бэкдоров, использование инструментов удаленного доступа, эксплуатацию уязвимостей сети или применение вредоносных программ типа infostealer, предназначенных для кражи конфиденциальной информации с зараженного компьютера. В некоторых случаях злоумышленники также используют фишинг для получения учетных данных жертвы.

После получения информации атакующие отправляют ее на удаленный сервер, контролируемый злоумышленниками, и могут использовать ее в качестве разменной монеты, чтобы заставить жертву заплатить выкуп: если жертва отказывается платить, атакующие могут угрожать обнародовать данные, что может привести к потере репутации или даже к юридическим санкциям.

Наконец, отойдя от тихих или незаметных моментов атаки, киберпреступники переходят к этапу внедрения, также известному как развертывание. На этом этапе злоумышленники внедряют и исполняют ransomware в сети жертвы, шифруя файлы. В частности, запущенный вредоносный код начинает шифровать файлы жертвы, изменяя расширение файла, что препятствует доступу к файлам до тех пор, пока не будет выплачен выкуп. Злоумышленники обычно оставляют в зараженной системе записку с подробными инструкциями о том, как заплатить выкуп и восстановить доступ к файлам.

Помимо шифрования файлов, некоторые типы ransomware могут выполнять и другие вредоносные действия, например, удалять резервные копии или журналы и распространять вредоносную программу на другие системы.

Вымогательство: в последующие дни, недели или месяцы

Наконец, мы подошли к действиям, которые киберпреступники выполняют, чтобы получить финансовую выгоду от своей атаки: этап вымогательства.

Для того чтобы предоставить ключ дешифровки, позволяющий жертве восстановить зашифрованные файлы, злоумышленники требуют заплатить выкуп в какой-либо криптовалюте. Но это не единственная мера давления, поскольку они также часто используют другие тактики, например, угрожают жертве публикацией украденной информации на сайтах, используемых группами ransomware, где указывают имя жертвы и дополнительные детали информации. Информация может быть доступна для скачивания или покупки.

Размещение украденных файлов на сайтах утечки – тактика, которая начала наблюдаться в конце 2019 года и была перенята другими группами ransomware в 2020 году. Цель: оказать давление на жертву, чтобы заставить ее заплатить выкуп. Злоумышленники похищают конфиденциальные данные, такие как финансовая информация, личные данные или информация об интеллектуальной собственности, а затем публикуют их на сайтах утечек. Это может негативно сказаться на репутации пострадавшей жертвы или организации и привести к юридическим санкциям. Злоумышленники часто угрожают опубликовать эту информацию, если увидят, что жертва не желает платить выкуп, что может заставить жертву передумать.

Продажа украденной информации – еще одна тактика, используемая злоумышленниками для получения финансовой выгоды от атаки. Если жертва не платит выкуп, злоумышленники могут предложить украденную информацию на продажу другим киберпреступникам на подпольном рынке. Эта информация может быть использована для проведения дальнейших атак или для кражи личных данных. Более того, информация может быть куплена анонимными покупателями, что затрудняет идентификацию ответственных за атаки.

Рекомендации

Некоторые советы по предотвращению атаки ransomware – или ее остановке, если она развивается – следующие:

  • Обновляйте программное обеспечение: организациям и пользователям важно поддерживать операционную систему и прикладное программное обеспечение в актуальном состоянии, поскольку обновления могут включать исправления безопасности, устраняющие уязвимости, которые могут быть использованы киберпреступниками.
  • Используйте надежные решения безопасности: Для защиты от вымогательства выкупа и других атак вредоносного ПО необходимо установить антивирусное программное обеспечение, брандмауэр и другие надежные решения безопасности.
  • Регулярно создавайте резервные копии: Как домашние пользователи, так и организации должны регулярно создавать резервные копии всех важных данных и систем. Важно хранить резервные копии в безопасном месте и вдали от компьютера, с которого была сделана резервная копия, чтобы они были недоступны для киберпреступников.
  • Обучайте людей: В случае с организациями, люди в них должны быть осведомлены о рисках пострадать от ransomware или других киберугроз. Организациям следует проводить обучение и тренинги для тех, кто работает внутри организации, по распознаванию фишинговых писем и других методов, используемых киберпреступниками для распространения ransomware.
  • Внедряйте строгие политики безопасности: организациям следует внедрять строгие политики безопасности, включая использование надежных паролей и ограничение доступа к важным данным и системам.
  • Разработайте план реагирования на инциденты: Организации должны иметь план реагирования на инциденты, чтобы быть готовыми в случае атаки ransomware. План должен включать шаги по минимизации ущерба и безопасному и быстрому восстановлению данных.
  • Проверяйте происхождение вложений и ссылок: Как сотрудники организаций, так и домашние пользователи должны проверять происхождение вложений и ссылок, прежде чем открывать их или переходить по ним, поскольку они могут быть использованы киберпреступниками для распространения программ-выкупов.

Интересное на эту тему:
Утечки данных нет: Предупреждения о входе в систему от менеджера паролей LastPass
Полезные хакеры – Что компаниям обязательно нужно знать об ответственном раскрытии информации

Оставьте комментарий

Ваш электронный адрес не будет опубликован.


This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More