Руководство по шифровальщикам от «Лаборатории Касперского»
Компания «Лаборатория Касперского» опубликовала результаты анализа самых популярных тактик, техник и процедур (TTP) восьми самых активных групп шифровальщиков. Как показало исследование, различные семейства этого вида ПО совпадают более чем на половину в своих TTP на протяжении всех этапов цепочки атак. Это исследование находится в открытом доступе и помогает понять, как действуют данные группы и как защититься от подобных атак.
В исследовании представлены данные об активности Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Эти группы ведут свою деятельность по всему миру, в том числе в США, Великобритании, Германии. С марта 2021-го по март 2022 г. операторы этих групп пытались атаковать более 500 организаций в разных отраслях, среди которых промышленность, разработка ПО, строительство.
В отчете описаны все этапы атаки, излюбленные TTP злоумышленников и преследуемые ими цели, а также методы защиты от целенаправленных атак вымогателей. Он также включает правила обнаружения SIGMA, которые могут использовать специалисты SOC.
Проанализировав, какие техники и тактики, собранные в MITRE ATT&CK, применяют известные группы, эксперты нашли много сходства среди TTP на протяжении всех этапов цепочки Cyber Kill Chain. Сходство между атаками прослеживается в следующем:
• активно используется партнерская модель Ransomware-as-a-Service (RaaS), когда создатели шифровальщика не сами доставляют вредоносное ПО на устройство, а только предоставляют сервисы шифрования данных. Многие атакующие используют готовые шаблоны или инструменты автоматизации;
• повторно используются старые и похожие инструменты, что сокращает время подготовки к атаке;
• повторно используются распространенные тактики, техники и процедуры, что облегчает процесс взлома. Детектировать эти техники возможно, но сделать это превентивно по всем возможным векторам угроз гораздо сложнее;
• компании недостаточно оперативно устанавливают обновления и патчи, что облегчает атакующим доступ к их инфраструктуре.
Отчет будет в первую очередь интересен аналитикам SOC, командам по активному поиску угроз (Threat Hunting), аналитикам киберугроз (Сyber Threat Intelligence), специалистам по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response).