За последний год даже те, кто не связан с информационной безопасностью или ИТ-администрированием, узнали о хакерских атаках, в ходе которых уничтожаются или шифруются данные. Теоретически, массовая атака программ-вымогателей может временно парализовать важную инфраструктуру: остановить транспорт, лишить магазины, аптеки и АЗС возможности обслуживать клиентов. Хотя такая картина кажется гиперболизированной, она вполне возможна — особенно на фоне недавних событий и произошедших инцидентов.

В статье расскажем о масштабах угрозы и о том, как организации могут противостоять атакам программ-вымогателей. На основе реальных расследований поделимся не только техническими деталями, но и практическими рекомендациями, которые помогут снизить риски и вовремя отреагировать на инцидент.

Материал основан на вебинаре «Атаки шифровальщиками: как действует злоумышленник и как защитить инфраструктуру».

Из каких этапов состоит атака шифровальщиками

Для описания действий злоумышленников используются различные модели: Cyber Kill Chain от Lockheed Martin, матрица MITRE ATT&CK и, как обобщающая модель, описывающая атаки программ-вымогателей, Unified Ransomware Kill Chain. Согласно этой модели, можно выделить три ключевых этапа:

1. Получение первоначального доступа

   На первом этапе злоумышленники проводят разведку, выбирают цель, готовят инфраструктуру — регистрируют фишинговые домены, настраивают управляющие серверы, разрабатывают или адаптируют вредоносное ПО. Затем они доставляют его в сеть жертвы: через уязвимости, фишинговые письма или компрометацию учётных данных. Успешное проникновение даёт им контроль хотя бы над одной системой — и этого достаточно, чтобы начать движение дальше.

2. Сбор информации и подготовка

   Следующий этап — это тихая и скрупулёзная работа внутри инфраструктуры. Атакующие изучают окружение, определяют свои текущие привилегии, ищут способы повысить уровень доступа, компрометируют учётные записи администраторов и перемещаются по сети. Их цель — получить максимально широкие полномочия и подготовить почву для массового развёртывания шифровальщика.

3. Шифрование данных и шантаж

   Финальная фаза: запуск программы-вымогателя, шифрование данных и предъявление требований. К этому моменту злоумышленники уже знают, какие системы критичны для бизнеса, и используют это знание как рычаг давления. В зависимости от целей злоумышленников, предварительно может быть проведена эксфильтрация данных.

Как злоумышленники проникают в инфраструктуру

Согласно статистике проведенных расследований Jet CSIRT, основные векторы атак:

• Эксплуатация уязвимостей в сервисах, доступных из сети Интернет;

• Атаки на сервисы удалённого доступа (RDP, SSH);

• Фишинг;

• Атаки через подрядчиков и партнёров.

Эксплуатация уязвимостей

Публично доступные сервисы неизбежно становятся мишенью. Злоумышленники используют как автоматизированные сканирования, так и ручные попытки эксплуатации уязвимостей. Если организация забывает обновить свои системы, то, скорее всего, найдётся злоумышленник, который этим воспользуется.

Особенно часто в расследованиях фигурируют Microsoft Exchange и популярная в российском сегменте CMS «1С-Битрикс». В недавних расследованиях мы сталкивались с эксплуатацией уязвимостей в Zimbra, Roundcube, Remedy, TrueСonf.

Методы защиты

Чтобы защититься, важно минимизировать количество сервисов, доступных из сети Интернет. Если веб-ресурс используют только сотрудники компании для внутренних целей, стоит разместить его за VPN.

Также следует:

●      Организовать процесс управления уязвимостями, который включает сканирование поверхности атаки и своевременное обнаружение и устранение уязвимостей.

●      Проводить проверку на неправильные конфигурации.

●      В качестве дополнительной меры рекомендуется проводить тестирование на проникновение, чтобы удостовериться, что периметр безопасности находится в надлежащем состоянии.

Примеры эксплуатируемых уязвимостей

«1C-Битрикс». Уязвимость позволяет внедрить вредоносный скрипт в корневую директорию веб-сайта через форму загрузки. Злоумышленники, получая шелл, могут выполнять команды в системе. Последствия: deface, кража данных или компрометация других систем.

Zimbra. Уязвимость, позволяющая неаутентифицированным пользователям выполнять команды через службу PostJournal. Для этой уязвимости доступен эксплойт, который позволяет получить контроль над уязвимым сервером.

Средства удалённого доступа

Сервисы удалённого доступа, такие как RDP и SSH, фигурируют в 28% расследованных инцидентов и по-прежнему остаются одним из самых востребованных векторов атак. При расследовании мы обязательно уточняем, используются ли эти протоколы с аутентификацией по логину и паролю.

Часто нам отвечают, что «такого просто не может быть — у нас всё под контролем». Однако на практике почти в каждом случае находятся уязвимые точки: это может быть теневая ИТ-инфраструктура, давно забытый тестовый сервер или новая система, которую временно подключили «для удобства» без должных мер защиты.

Именно такие упрощённые настройки открывают злоумышленникам возможность для brute-force-атак. Учитывая огромное количество доступных в интернете целей, этот метод остаётся массовым и будет актуален ещё долго. Кроме того, атакующие всё чаще используют уже скомпрометированные учётные данные — их в открытом доступе миллионы. Даже надёжный пароль не спасает, если его украл стилер.

Методы защиты

Основной метод — это внедрение многофакторной аутентификации. Многие сервисы, включая Госуслуги и банковские платформы, уже внедрили принудительную многофакторную аутентификацию для повышения уровня безопасности.

Также важно использовать мониторинг внешних угроз и киберразведку, чтобы быстро обнаруживать нежелательные публикации и утечки. Это поможет предотвратить инциденты до их возникновения.

Фишинг

Фишинг остается одним из основных способов нападения на инфраструктуру. Пользователь часто оказывается слабым звеном, на которое можно воздействовать: кто-то попадается на простую массовую рассылку, а кто-то — на целевой фишинг, который хорошо спланирован и исполнен.

Вне зависимости от типа фишинга, цель атаки — убедить пользователя открыть вредоносное вложение или перейти по зараженной ссылке, что приводит к краже учетных данных.

Участились атаки с помощью взломанных инфраструктур и украденных учетных записей. Такое письмо пройдет все почтовые фильтры, потому что IP-адрес, домен, пользователь, компания — абсолютно легитимны. Тут вся надежда на СЗИ и мониторинг — раз письмо проскочило почтовые фильтры, с высокой долей вероятности пользователь его откроет.

В августе в нашу компанию пришла фишинговая рассылка со взломанной учётной записи. Письмо содержало архив с файлом в формате .lnk, который при открытии запускал вредоносный код. Пользователю при этом отображался безобидный документ-приманка, а в фоновом режиме скрипт извлекал и сохранял вредоносную DLL в системную папку. Для сокрытия DLL внутри ZIP применялась техника polyglot.

Закрепление вредоносной DLL в системе осуществлялось с помощью техники COM hijacking, которая позволяет автоматически запускать злонамеренный код при старте стандартных системных компонентов. Анализ показал, что эта DLL является бэкдором, связанным с хакерской группировкой «Радужная гиена» — кластером политически мотивированных злоумышленников, специализирующихся на шифровании и деструктивных атаках на критическую инфраструктуру.

Методы защиты

Защититься сложно, но можно.

Стоит провести харденинг почтовых систем. Важно внедрять специализированные почтовые средства защиты информации, включая песочницы для проверки вложений. Если письмо всё же прошло все фильтры и пользователь его открыл, необходимо использовать хостовые средства защиты информации (СЗИ) для непрерывного мониторинга.

Атака через подрядчика

Рост таких атак стал заметнее за последние год–два. Это связано с тем, что вход в защищенную инфраструктуру становится сложнее, поэтому злоумышленникам проще атаковать небольшие компании-подрядчики.

Методы защиты

Важно своевременно выявить аномалию в действиях поставщика услуг, что может указывать на начало инцидента. Для снижения рисков необходимо предоставлять доступ подрядчику через контролируемые точки, применять многофакторную аутентификацию и соблюдать принцип минимальных привилегий. Подробнее об этом читайте в статье «Один подрядчик — сто проблем: как защитить бизнес от утечек и взломов при работе с партнерами».

Успех в противодействии этим атакам зависит от наличия мониторинга, который позволит обнаруживать аномальные действия и выявлять потенциальные угрозы.

Как происходит инцидент и его расследование

Начало

С точки зрения сотрудников компании атака выглядит как хаос. Ничего не работает, изменился вид рабочего стола, появляются непонятные текстовые файлы с расширениями вроде .log или .crypt.

Действия команды, которая расследует инцидент

Мы задаем вопросы для фиксации временных рамок инцидента и начала расследования. Вот основные:

●      Как и когда был обнаружен инцидент?

●      Какие хосты подверглись атаке?

●      Что мы можем проанализировать?

Особое внимание уделяется наличию в инфраструктуре типичных целей для злоумышленников: таких решений как «1С-Битрикс», Microsoft Exchange, Remedy, других веб-сервисов, а также сервисов удалённого доступа — RDP и SSH. Получив ответы на эти вопросы, можно начать расследование: собирать триажи, журналы приложений, журналы сетевых соединений и делать выгрузки из СЗИ. До установления причин инцидента мы рекомендуем изолировать инфраструктуру от сети Интернет, чтобы исключить дальнейшее развитие атаки и предотвратить несанкционированный доступ.

Подозреваемый — в системе подрядчика

После анализа первых триажей и получения начальных данных под подозрение попали системы подрядчика. Для взаимодействия с ним в компании были выделены несколько серверов, к которым подрядчик подключался через VPN с использованием комбинации логина, пароля и RDP.

На одном из хостов, принадлежащих подрядчику, мы обнаружили следы внутренней разведки: в журналах и криминалистических артефактах сохранились команды вроде whoami, net user, а также пинги внутренних ресурсов. Также злоумышленники загружали свои инструменты, сканировали сеть по порту 445 и действовали от имени локального администратора. Такая картина типична для начальных этапов атаки.

Многие узлы подрядчика не находились под мониторингом — по той причине, что проект считался временным, и подключение этих систем к средствам защиты сочли излишним. При этом подрядчик имел прямую связь с системой «1С», что само по себе часто становится причиной целевых атак.

После проникновения и проведения разведки злоумышленники начали повышать привилегии. В ходе атаки им удалось получить доступ к файлу с хэшами паролей от «1С» и нескольким доменным учётным записям, которые сохранились в оперативной памяти скомпрометированной системы. Это позволило им беспрепятственно перемещаться по инфраструктуре и оставаться незамеченными.

Анализ атаки

Интересным в этом кейсе было то, что злоумышленники использовали SSH-туннели для закрепления доступа. Причем SSH маскировался под ПО, используемое в инфраструктуре, в данном случае под браузерный плагин Crypto Pro и сканер безопасности, который использовался в инфраструктуре..

Согласно нашему анализу, злоумышленники проникли в инфраструктуру через подрядчика, провели внутреннюю разведку, закрепились в системе и добыли привилегированные учётные записи. Для шифрования злоумышленники выбрали LockBit — этот инструмент в их среде зарекомендовал себя как наиболее эффективный.

Классическая техника распространения LockBit использует групповые политики, также часто используется PSExec. В этом случае была применена связка GPO + PowerShell Script, видимо, для того, чтобы охватить и не доменные узлы, находящиеся в сети.

От момента первоначального проникновения до запуска шифровальщика прошло три дня. Согласно нашим расследованиям, это типичный временной интервал: в большинстве случаев злоумышленники действуют в окне от трёх до семи дней, используя это время для разведки, перемещения по сети и подготовки к атаке. Это означает, что у жертвы есть немного времени для обнаружения аномалий и локализации угрозы. В редких случаях злоумышленники могут годами оставаться скрытыми в инфраструктуре, прежде чем нанести удар, но такие сценарии — скорее исключение, чем правило.

Как защититься от атак шифровальщиками

Можно ли расшифровать данные?

В большинстве случаев расшифровать данные невозможно. Тем не менее, в отдельных редких ситуациях остаётся небольшой шанс, но рассчитывать на него не стоит. Лучше готовиться к худшему и лишь слегка надеяться на лучшее.

Всё зависит от того, какие методы использовали злоумышленники. Например, если пароль или ключ шифрования генерировались прямо на скомпрометированных системах — скажем, в скрипте на заражённом хосте. Теоретически эти данные можно восстановить из оперативной памяти. Если скрипт временно сохранялся на диск, а затем удалялся, его иногда удаётся извлечь из следов на файловой системе. У нас действительно были единичные успешные кейсы такого рода.

Иногда данные удаётся расшифровать из-за ошибок самих злоумышленников — будь то неудачный выбор инструмента или баг в реализации шифровальщика. Так, для HardBit версии 3 существует дешифратор.

Ещё один пример — Babyk. Этот шифровальщик обрабатывает только начальные байты больших по объему файлов, частично оставляя нешифрованные куски данных. Благодаря этому, например, из частично зашифрованного виртуального диска есть шансы восстановить важные файлы.

Можно ли купить ключ или дешифратор?

Мы рекомендуем не взаимодействовать со злоумышленниками, но решение остается за владельцами бизнеса. Учитывайте риски:

●      Никому не известно, предоставит ли злоумышленник инструмент для расшифровки данных после получения выкупа.

●      Предоставленный инструмент для расшифровки может не отработать

●      Инфраструктура компании может оставаться скомпрометированной, даже если вы оплатите выкуп.

●      Оплата может стимулировать злоумышленников к совершению новых атак.

Что делать при подозрении на атаку?

• Изолировать продуктивную инфраструктуру от зараженной (не выключая зараженные хосты).

• Оповестить представителей бизнеса и собрать рабочую группу по устранению проблемы.

• Исключить связь с сетью Интернет или сбросить все нецелевые взаимодействия, реализуя управление подключениями только с помощью VPN+2FA.

• Оценить целостность резервных копий и изолировать их от инфраструктуры.

• Сбросить пароли от всех учетных записей. В первую очередь — привилегированные пользователи, доменные, локальные, krbtgt (сбросить дважды).

• Определить приоритеты и порядок восстановления бизнес-систем.

• Привлечь специалистов для расследования и восстановления ИТ-инфраструктуры, начать сбор данных для расследования.

Существует также список проактивных мер, необходимых для защиты от атак:

●      Безопасность хостов: AB3, EDR.

●      Сетевая безопасность: сегментация с гранулярным доступом, NGFW, NTA.

●      Мониторинг: SOC/SOC as Service или MDR, мониторинг внешних цифровых угроз.

●      Удаленный доступ: VPN и 2FA.

●      Стандартизация конфигурации: харденинг (корпоративный домен, почта)

●      Защита почты: Antispam, Sandbox, почтовый АВЗ.

●      Выделенный контур администрирования: Jump-хосты/PAM.

●      Удаленный доступ подрядчиков: выделенный DMZ с отдельным AD, VDI/терминальная ферма, хостовые и сетевые СЗИ.

●      Управление уязвимостями, сканер безопасности, внешний и внутренний пентест.

●      Безопасность СРК: выделенный сетевой сегмент и администрирование с локальных УЗ, защищенные (read only) резервные копии, правило «3-2-1».

Даже при наличии всех этих мер атака возможна — но шансы на раннее обнаружение и успешное сдерживание резко возрастают. А в условиях, когда инфраструктура практически беззащитна, последствия могут быть катастрофическими.

Автор: Артем Семагин — ведущий аналитик киберкриминалистики Jet CSIRT, центр информационной безопасности «Инфосистемы Джет».