Зашифрованные: как атаковали российский бизнес
Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал?
Если еще пять лет назад практически 70% всей хакерской активности, с которой сталкивались эксперты Лаборатории компьютерной криминалистики Group-IB во время реагирований (Incident Response), было связано с целевыми атаками на финансовый сектор, то в прошлом году самым популярным типом киберугроз оказались… Да, верно программы-вымогатели. На них пришлось 68% всех инцидентов.
В тройке лидеров оказались группы Phobos, CryLock и Sojusz, а рекорд по жадности, то есть сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
Само-собой большинство атак, связанных с шифровальщиками, были проведены ради получения выкупа. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах. В атаках прошлого года в качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft.
По нашим прогнозам, вымогатели в России все чаще будут зарабатывать не на расшифровке данных, а на их непубликации. Этому также может способствовать увеличение штрафов за выявленные утечки данных.
Методы получения первоначального доступа
Впервые самой популярной техникой, используемой злоумышленниками для получения первоначального доступа, стала эксплуатация уязвимостей публично доступных приложений [T1190] — данную технику мы видели в 61% расследованных инцидентов. Примечательно, что данная техника активно использовалась всеми типами атакующих, независимо от их мотивации.
Злоумышленники не стремились использовать наиболее свежие уязвимости или уязвимости нулевого дня, а предпочитали уже хорошо проверенные, например:
Microsoft Exchange (ProxyShell): CVE-2021–34473, CVE-2021–34523, CVE-2021–31207.
Confluence: CVE-2021–26084.
Apache Tomcat: CVE-2020–1938, CVE-2017–12617, CVE-2016–0714.
Apache Log4j (Log4Shell): CVE-2021–44228.
В некоторых случаях, если целью злоумышленников была информация в базах данных публично доступных приложений, они использовали SQL-инъекции.
Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Он [T1566] обнаружен в 22% инцидентов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву. При этом, зачастую злоумышленниками использовались именно фишинговые ссылки [T1566.002], а не вложения.
Еще одним способом получения первоначального доступа к целевым ИТ-инфраструктурам стала компрометация служб удаленного доступа [T1133] и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом перебора паролей [T1110.001] или подстановки учетных данных [T1110.004], так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.
В скомпрометированной системе
По результатам расследования инцидентов в 2022 году, самым популярным методом выполнения кода или команд на целевой системе стало использование интерпретаторов команд и сценариев [Т1059], а именно PowerShell (83%).
Для получения устойчивого доступа к скомпрометированным системам наиболее часто атакующими использовался планировщик задач [T1053]. Эта техника встречалась в 78% инцидентов, которые расследовала Лаборатория.
Чтобы повысить привилегии в скомпрометированной системе — как Windows, так и Linux—, атакующие зачастую применяли различные эксплойты [Т1068]. Данный метод был обнаружен в 61% инцидентов.
Обойти имеющиеся средства защиты атакующим помогало их отключение или модификация настроек [T1562]. Воспользоваться этим методом злоумышленники смогли в 78% случаев.
В 90% случаев атакующие получали аутентификационный материал через дампинг учетных данных из системных процессов [Т1003].
В контексте сбора информации о скомпрометированной ИТ-инфраструктуре наиболее популярным методом стал сбор данных об удаленных системах [T1018]. Данный метод встречался при расследовании 98% инцидентов.
В случаях, если имела место выгрузка данных, чаще всего атакующие их предварительно архивировали [T1560]. Этот метод был задействован в 80% инцидентов, связанных с эксфильтрацией данных.
Что касается взаимодействия с командными серверами, наиболее популярным методом в очередной раз стало использование протоколов прикладного уровня [Т1071]. Данный метод встречался в 100% инцидентов, которые расследовала Лаборатория.
Непосредственно эксфильтрация собранных данных в 82% случаев осуществлялась через канал коммуникаций с командным сервером [T1041].
Матрица наиболее часто используемых атакующими тактик, техник и процедур (TTPs) в 2022 году на основе MITRE ATT&CK®
Осталось добавить, что полную интерактивную версию матрицы, а также более подробное техническое описание атак можно найти в новом аналитическом отчете. Обязательно скачайте его и изучите.
Подведем итоги.
Атаки операторов шифровальщиков остаются главной угрозой для российских организаций. В будущем вымогатели в России все чаще будут зарабатывать не на расшифровке данных, а на их непубликации.
Несмотря на растущее число инцидентов, злоумышленники продолжают использовать простые и проверенные методы, особенно на средних стадиях атаки.
Наибольшее разнообразие (а значит, и меньшая предсказуемость!) в используемых техниках и инструментах встречаются в основном на более ранних этапах Kill Chain, в особенности, на этапе первоначального получения доступа.
Комбинация этих фактов позволяет предположить, что более эффективным способом проактивного обнаружения злоумышленников в сети будет фокусирование на «операционных» этапах кибератаки –- сборе информации, продвижении по сети, получении аутентификационных данных, выполнении команд и закреплении в системе.
Рекомендации для того, чтобы не стать жертвой вымогателей:
Убедитесь, что используемые средства удаленного доступа в ИТ-инфраструктуру надежно защищены, в том числе с помощью мультифакторной аутентификации.
Следите за актуальностью программного обеспечения, использующегося на публично доступных серверах.
Не допускайте использования администраторами и разработчиками сервисов и программного обеспечения без уведомления службы безопасности.
Ограничьте возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
Обеспечьте эффективную защиту электронной почты.
Используйте такие средства обеспечения информационной безопасности, которые позволяют обеспечить мониторинг и обнаружение угроз на протяжении всего жизненного цикла атаки.
Уделяйте особое внимание легитимному программному обеспечению, которое может быть использовано злоумышленниками.
Своевременно реагируйте на выявленные инциденты.
Приоритезируйте угрозы, используя данные Group-IB Threat Intelligence (киберразведки).
Регулярно проводите киберучения, чтобы убедиться, что ваша команда и средства защиты готовы к отражению реальной атаки.
Что делать, если ваша компания подверглась атаке?
С такой ситуацией может столкнуться бизнес любого размера и отрасли. Для оперативного решения проблемы обратитесь к Group-IB response@cert-gib.ru или по форме «Сообщить об инциденте» на сайте Group-IB.