Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал?

Если еще пять лет назад практически 70% всей хакерской активности, с которой сталкивались эксперты Лаборатории компьютерной криминалистики Group-IB во время реагирований (Incident Response), было связано с целевыми атаками на финансовый сектор, то в прошлом году самым популярным типом киберугроз оказались.... Да, верно программы-вымогатели. На них пришлось 68% всех инцидентов.

В тройке лидеров оказались группы Phobos, CryLock и Sojusz, а рекорд по жадности, то есть сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.

Само-собой большинство атак, связанных с шифровальщиками, были проведены ради получения выкупа. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах. В атаках прошлого года в качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft.

По нашим прогнозам, вымогатели в России все чаще будут зарабатывать не на расшифровке данных, а на их непубликации. Этому также может способствовать увеличение штрафов за выявленные утечки данных.

Методы получения первоначального доступа

Впервые самой популярной техникой, используемой злоумышленниками для получения первоначального доступа, стала эксплуатация уязвимостей публично доступных приложений [T1190] — данную технику мы видели в 61% расследованных инцидентов. Примечательно, что данная техника активно использовалась всеми типами атакующих, независимо от их мотивации.

Злоумышленники не стремились использовать наиболее свежие уязвимости или уязвимости нулевого дня, а предпочитали уже хорошо проверенные, например:

  • Microsoft Exchange (ProxyShell): CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

  • Confluence: CVE-2021-26084.

  • Apache Tomcat: CVE-2020-1938, CVE-2017-12617, CVE-2016-0714.

  • Apache Log4j (Log4Shell): CVE-2021-44228.

В некоторых случаях, если целью злоумышленников была информация в базах данных публично доступных приложений, они использовали SQL-инъекции.

Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Он [T1566] обнаружен в 22% инцидентов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву. При этом, зачастую злоумышленниками использовались именно фишинговые ссылки [T1566.002], а не вложения.

Еще одним способом получения первоначального доступа к целевым ИТ-инфраструктурам стала компрометация служб удаленного доступа [T1133] и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом перебора паролей [T1110.001] или подстановки учетных данных [T1110.004], так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.

В скомпрометированной системе

По результатам расследования инцидентов в 2022 году, самым популярным методом выполнения кода или команд на целевой системе стало использование интерпретаторов команд и сценариев [Т1059], а именно PowerShell (83%).

Для получения устойчивого доступа к скомпрометированным системам наиболее часто атакующими использовался планировщик задач [T1053]. Эта техника встречалась в 78% инцидентов, которые расследовала Лаборатория.

Чтобы повысить привилегии в скомпрометированной системе — как Windows, так и Linux—, атакующие зачастую применяли различные эксплойты [Т1068]. Данный метод был обнаружен в 61% инцидентов.

Обойти имеющиеся средства защиты атакующим помогало их отключение или модификация настроек [T1562]. Воспользоваться этим методом злоумышленники смогли в 78% случаев.

В 90% случаев атакующие получали аутентификационный материал через дампинг учетных данных из системных процессов [Т1003].

В контексте сбора информации о скомпрометированной ИТ-инфраструктуре наиболее популярным методом стал сбор данных об удаленных системах [T1018]. Данный метод встречался при расследовании 98% инцидентов.

В случаях, если имела место выгрузка данных, чаще всего атакующие их предварительно архивировали [T1560]. Этот метод был задействован в 80% инцидентов, связанных с эксфильтрацией данных.

Что касается взаимодействия с командными серверами, наиболее популярным методом в очередной раз стало использование протоколов прикладного уровня [Т1071]. Данный метод встречался в 100% инцидентов, которые расследовала Лаборатория.

Непосредственно эксфильтрация собранных данных в 82% случаев осуществлялась через канал коммуникаций с командным сервером [T1041].

Матрица наиболее часто используемых атакующими тактик, техник и процедур (TTPs) в 2022 году на основе MITRE ATT&CK®

Осталось добавить, что полную интерактивную версию матрицы, а также более подробное техническое описание атак можно найти в новом аналитическом отчете. Обязательно скачайте его и изучите.

Подведем итоги.

  • Атаки операторов шифровальщиков остаются главной угрозой для российских организаций. В будущем вымогатели в России все чаще будут зарабатывать не на расшифровке данных, а на их непубликации.

  • Несмотря на растущее число инцидентов, злоумышленники продолжают использовать простые и проверенные методы, особенно на средних стадиях атаки.

  • Наибольшее разнообразие (а значит, и меньшая предсказуемость!) в используемых техниках и инструментах встречаются в основном на более ранних этапах Kill Chain, в особенности, на этапе первоначального получения доступа.

  • Комбинация этих фактов позволяет предположить, что более эффективным способом проактивного обнаружения злоумышленников в сети будет фокусирование на “операционных” этапах кибератаки –- сборе информации, продвижении по сети, получении аутентификационных данных, выполнении команд и закреплении в системе.

Рекомендации для того, чтобы не стать жертвой вымогателей:

  • Убедитесь, что используемые средства удаленного доступа в ИТ-инфраструктуру надежно защищены, в том числе с помощью мультифакторной аутентификации.

  • Следите за актуальностью программного обеспечения, использующегося на публично доступных серверах.

  • Не допускайте использования администраторами и разработчиками сервисов и программного обеспечения без уведомления службы безопасности.

  • Ограничьте возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.

  • Обеспечьте эффективную защиту электронной почты.

  • Используйте такие средства обеспечения информационной безопасности, которые позволяют обеспечить мониторинг и обнаружение угроз на протяжении всего жизненного цикла атаки.

  • Уделяйте особое внимание легитимному программному обеспечению, которое может быть использовано злоумышленниками.

  • Своевременно реагируйте на выявленные инциденты.

  • Приоритезируйте угрозы, используя данные Group-IB Threat Intelligence (киберразведки).

  • Регулярно проводите киберучения, чтобы убедиться, что ваша команда и средства защиты готовы к отражению реальной атаки.

Что делать, если ваша компания подверглась атаке?

С такой ситуацией может столкнуться бизнес любого размера и отрасли. Для оперативного решения проблемы обратитесь к Group-IB  response@cert-gib.ru или по форме «Сообщить об инциденте» на сайте Group-IB.

Комментарии (9)


  1. Pyhesty
    00.00.0000 00:00
    +1

    Когда-то был такой "прикольный" WinCIH, который уничтожал данные BIOSа, что теоретически могло привести к физическому повреждению материнской платы (лично физически поврежденных не встречал, но говорят были), а насколько сейчас реально словить такой вирус? Ведь биос можно обновить из операционки, значит доступ к нему есть?

    А ещё был примечательный OneHalf (у нас все им болели... =)


    1. saboteur_kiev
      00.00.0000 00:00

      Не работайте под админской учеткой, и не будет доступа из биос. Это если простыми словами


      1. Pyhesty
        00.00.0000 00:00
        +2

        то есть правильно понимаю, что всё описанное в статье выше вызвано тем, что кто-то работает с админской учёткой? но при этом в "Рекомендации для того, чтобы " такая простая рекомендация не попала....


      1. Orbit67
        00.00.0000 00:00

        Этого не достаточно, нужно ещё выдернуть шнур из розетки.


      1. Tippy-Tip
        00.00.0000 00:00

        Если простыми словами, то ВинЧих заражал только те компьютеры, которые работали под управлением Мастдая Windows 95/98/ME. А в этих ОС любой пользователь имеет права админа.


        1. saboteur_kiev
          00.00.0000 00:00

          Эм.. В этих ОС вообще нет понятия безопасности. То есть пользователь в принципе имеет доступ устройствам напрямую.
          В линейке NT уже напрямую обратиться к устройствам не получится, только через интерфейсы и ОС, с разграничением доступа.
          Собственно это одна из причин. почему многие старые программы под дос, не могут запуститься в NT - они лезут напрямую к устройствам.


    1. WishNight
      00.00.0000 00:00

      Справедливости ради, а не дабы поворчать:)

      WinCIH сносил Flash BIOS в целом. Это теоретически не могло привести к физическому повреждению материнской платы, так как комп просто не загружался.

      Лечилось прошиванием нужного БИОСа на такой же/похожей живой мат.плате:


  1. hyperwolf
    00.00.0000 00:00

    Запрет исходящего трафика наружу на серверах, где он явно не нужен, уже неплохо снижает риски.


  1. Didimus
    00.00.0000 00:00

    О каком увеличениии штрафов вы пишете? До 60 тысяч?