Cisco Talos раскрыла полный разбор тактик ведущих групп вымогателей.
В последние месяцы серия масштабных атак программ-вымогателей оказала значительное влияние на различные секторы экономики от больниц до аэропортов. В свете событий специалисты Cisco Talos провели тщательный анализ текущих лидеров среди групп вымогателей, чтобы понять современное состояние угроз.
Исследование Cisco Talos охватывает период с 2023 по 2024 год и основывается на анализе 14 групп вымогателей. В выборку вошли группы, которые отличились масштабом атак, влиянием на клиентов и нетипичным поведением. Источниками данных стали как публичные утечки, так и внутренние расследования и открытые отчеты. В список вошли такие известные группировки, как LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal, Rhysida, Hunters International, Akira и Trigona.
Среди всех групп особенно выделяются AlphV/Blackcat и Rhysida благодаря широкому спектру используемых тактик. В то же время, группы BlackBasta, LockBit и Rhysida не только шифруют данные, но и повреждают системы жертв, чтобы усилить эффект атаки. Группа Clop, в отличие от других, сосредотачивается на вымогательстве через кражу данных, а не на шифровании.
Типичная цепочка атак начинается с получения начального доступа через социальную инженерию, сканирование сетей и исследование открытых источников. Далее киберпреступники обеспечивают долгосрочный доступ, используя автоматизированные механизмы для сохранения присутствия в сети. После установления устойчивого доступа вымогатели анализируют целевую среду, повышают свои привилегии и готовят данные для кражи или шифрования.
На заключительном этапе злоумышленники запускают программу-вымогатель и уведомляют жертву о взломе. Если цель состоит в вымогательстве только через кражу данных, то этот этап пропускается.
В последнее время наблюдается рост числа атак, в которых используются известные уязвимости для проникновения. Например, уязвимости CVE-2020-1472 (Zerologon), CVE-2018-13379 (Fortinet FortiOS SSL VPN) и CVE-2023-0669 (GoAnywhere MFT) регулярно эксплуатируются для получения начального доступа и повышения привилегий.
С переходом к тактике двойного вымогательства, когда злоумышленники не только шифруют данные, но и крадут их, некоторые более зрелые группы, предоставляющие вымогательское ПО как услугу (RaaS), начали разрабатывать индивидуальное вредоносное ПО для кражи данных. Например, группы BlackByte и LockBit создали собственные инструменты для эксфильтрации данных.
В ходе анализа также была замечена тенденция к использованию легитимных коммерческих инструментов для управления и мониторинга, AnyDesk и ScreenConnect. Использование данных программ позволяет злоумышленникам смешиваться с корпоративным трафиком и сокращать расходы на разработку собственных инструментов.
Другой заметный тренд – это применение тактик обхода защиты для увеличения времени нахождения в сети жертвы. Злоумышленники используют инструменты для отключения или модификации антивирусных программ, а также функций операционной системы, предназначенных для обнаружения вредоносных нагрузок.
В последнее время также наблюдается рост использования инфостилеров среди групп вымогателей. Стилеры часто используются брокерами начального доступа (IAB) для сбора учетных данных и личной информации жертв, что облегчает начальный взлом систем.
В течение рассматриваемого периода были замечены многочисленные атаки, особенно нацеленные на США. Под удар попали такие отрасли, как производство и IT-технологии. Атаки привели к значительным финансовым потерям и сбоям в работе предприятий.
Для защиты от подобных угроз Cisco Talos рекомендует:
Указанные меры помогут снизить риск взлома и защитить организации от серьезных последствий атак программ-вымогателей.
Одно найти легче, чем другое. Спойлер: это не темная материя