Атака шифровальщика: от момента заражения до требования выкупа

3 июля 2020 г. 12:33
 7716

Исследователи кибербезопасности раскрыли анатомию атаки шифровальщика и показали, как киберпреступники получили доступ к сети и развернули вредоносное ПО.

Исследователи кибербезопасности раскрыли анатомию атаки шифровальщика и показали, как киберпреступники получили доступ к сети и развернули вредоносное ПО, описав подробности атаки, продолжавшейся около двух недель.

Группа исследователей из компании по технической безопасности «SentinelOne» изучили сервер, который использовался преступниками в октябре прошлого года, для превращения небольшого нарушения безопасности в корпоративной сети в разрушительную атаку «Ryuk Ransomware». Подобный анализ может быть жизненно важен для понимания тактики и методов, используемых злоумышленниками.

Сеть жертвы изначально была заражена вредоносным ПО «Trickbot».

После того, как вредоносное ПО проникло в сеть, хакеры начали этап разведки, изучая к чему они получили доступ и как на этом можно заработать.

«В течение некоторого времени злоумышленники исследуют сетевое окружение, пытаются построить карту сети и понять, как сеть выглядит. У них есть цель - монетизация конфиденциальных данных и сетевых ресурсов к которым атакующие получили доступ». Исследователь «SentinelOne» Джошуа Платт рассказал ZDNet.: «Атакующие уже понимают,  что есть возможность заработать и стремятся расширить фронт атаки».

Как только хакеры смогли проникнуть за периметр, они начинают использовать такие инструменты как «PowerTrick» и «Cobalt Strike», чтобы обезопасить свой контроль над зараженными машинами. Продолжают исследование в поисках открытых портов и устройств, к которым они могли бы получить доступ. Затем атака переходит к фазе шифрования данных.

По словам «SentinelOne», от первоначального заражения «TrickBot» через профилирование сети, до окончательной инициации атаки на вредоносное ПО «Ryuk», прошло около двух недель. «Исходя из временных отметок, мы можем увидеть задержку в две недели между проникновением в сеть и началом шифрования файлов», - говорится в сообщении компании.

Шифровальщик «Ryuk», согласно отчету Национального центра кибербезопасности Великобритании за прошлый год, был впервые замечен в августе 2018 года и был использован в многочисленных атаках по всему миру.

Это вредонос-вымогатель: выкуп устанавливается в зависимости от предполагаемой платежеспособности жертвы. От первоначального заражения до активации вымогателя могут пройти дни или даже месяцы, поскольку хакерам требуется время для выявления наиболее важных систем в сети. Эта задержка дает службе безопасности возможность предотвратить запуск вымогателя, если она сможет обнаружить первоначальное заражение ранее начала шифрования данных.

По данным ФБР, «Ryuk» - чрезвычайно прибыльный проект для его разработчиков. Доход от него составил примерно 61 миллион долларов в период с февраля 2018 года по октябрь 2019 года.

Финансовый успех «Ryuk» показывает, что у мошенников есть обширное портфолио успешных атак. «Очевидна тенденция на увеличение распространения данного вредоносного ПО, у авторов с каждым днем все больше финансовых возможностей для развития своего продукта и найма талантливых разработчиков» - сообщил Джошуа Платт.

Ransomware также продолжает развиваться. По словам Джошуа Платта: «На старте развития данного шифровальщика владельцы атаковали персональные компьютеры и просили по 300 долларов за расшифровку данных. Теперь суммы исчисляются миллионами».

Следующим шагом, по его словам, будут более изощренные попытки вымогательства: «Эти ребята копаются в сетях, ищут самые ценные данные и зарабатывают, угрожая компаниям потерей наиболее критичной информации».

 

Перевод сделан со статьи https://www.zdnet.com/