В останні роки кіберзлочинці суттєво вдосконалили тактики атак програм-вимагачів. Один із найнебезпечніших методів, що набув популярності — "подвійне вимагання" (double extortion). Цей підхід передбачає не лише шифрування даних жертви, але й попередню ексфільтрацію конфіденційної інформації, що створює подвійний тиск: заплатити за розшифрування даних та за нерозголошення викрадених матеріалів.
Кількість атак з подвійним вимаганням значно зросла протягом останніх років, перетворившись на домінуючу тактику кіберзлочинців у секторі програм-вимагачів. Такі групи як Conti, REvil, DarkSide та LockBit активно використовують цю методику, що підтверджує її ефективність для зловмисників та підкреслює зростаючу загрозу для бізнесу.
Після отримання початкового доступу, зловмисники використовують різні інструменти для латерального руху мережею, в тому числі Cobalt Strike, Mimikatz або PsExec. Критичним етапом є ескалація привілеїв та отримання доступу до контролерів домену, що забезпечує необмежений доступ до корпоративних ресурсів.
"При проведенні тестів на проникнення ми регулярно виявляємо відсутність сегментації мереж та слабкі політики керування привілеями, що дозволяє швидко поширюватись інфраструктурою клієнта", — коментує XRAY CyberSecurity, компанія, що професійно займається моделюванням хакерських атак.
Зловмисники зазвичай перебувають у мережі від кількох днів до декількох місяців перед запуском шифрування, що дозволяє їм ретельно вивчити інфраструктуру жертви, знайти найцінніші дані та визначити оптимальний момент для активації атаки. За цей період вони встановлюють додаткові бекдори, створюють нові облікові записи з привілейованим доступом та відключають або обходять системи безпеки.
Сучасні DLP-рішення здатні виявляти не лише очевидні випадки масового копіювання файлів, але й більш витончені методи ексфільтрації, такі як шифрування або стеганографія. Однак, як показує практика при проведенні penetration test, багато організацій налаштовують ці системи неоптимально, залишаючи прогалини, які можуть використати зловмисники.
Кіберзлочинці також цілеспрямовано атакують системи резервного копіювання перед запуском процесу шифрування. Дослідження атак програм-вимагачів показують, що значна частина успішних атак включають знищення або шифрування резервних копій.
"При проведенні пентестів ми часто виявляємо, що системи резервного копіювання підключені до тієї ж мережі, що й основні системи, або використовують облікові записи з надмірними привілеями, що робить їх вразливими до компрометації", — зазначають спеціалісти XRAY CyberSecurity.
Особливо небезпечною тенденцією є атаки на гіпервізори віртуальних машин. Отримавши доступ до платформи віртуалізації, зловмисники можуть одночасно зашифрувати десятки або сотні віртуальних машин, спричиняючи масштабний збій в інфраструктурі організації.
"Швидкість реагування на виявлену атаку є критичним фактором у мінімізації збитків", — стверджують експерти з інформаційної безпеки XRAY CyberSecurity.
План реагування повинен включати процедури швидкої ізоляції скомпрометованих систем, каналів комунікації з відповідними стейкхолдерами та покрокові інструкції для різних членів команди реагування.
Атаки з подвійним вимаганням представляють серйозну загрозу для бізнесу будь-якого масштабу. Регулярне проведення тестів на проникнення та комплексний аудит інформаційної безпеки дозволяють виявити вразливості, які можуть бути використані зловмисниками для ексфільтрації даних та подальшого шифрування систем.
Кількість атак з подвійним вимаганням значно зросла протягом останніх років, перетворившись на домінуючу тактику кіберзлочинців у секторі програм-вимагачів. Такі групи як Conti, REvil, DarkSide та LockBit активно використовують цю методику, що підтверджує її ефективність для зловмисників та підкреслює зростаючу загрозу для бізнесу.
Технічна анатомія атак подвійного вимагання
Типова атака з подвійним вимаганням розгортається через декілька послідовних етапів. Початковий доступ найчастіше відбувається через фішингові кампанії, вразливості VPN та RDP, або через експлуатацію публічних вебсервісів з відомими вразливостями.Після отримання початкового доступу, зловмисники використовують різні інструменти для латерального руху мережею, в тому числі Cobalt Strike, Mimikatz або PsExec. Критичним етапом є ескалація привілеїв та отримання доступу до контролерів домену, що забезпечує необмежений доступ до корпоративних ресурсів.
"При проведенні тестів на проникнення ми регулярно виявляємо відсутність сегментації мереж та слабкі політики керування привілеями, що дозволяє швидко поширюватись інфраструктурою клієнта", — коментує XRAY CyberSecurity, компанія, що професійно займається моделюванням хакерських атак.
Зловмисники зазвичай перебувають у мережі від кількох днів до декількох місяців перед запуском шифрування, що дозволяє їм ретельно вивчити інфраструктуру жертви, знайти найцінніші дані та визначити оптимальний момент для активації атаки. За цей період вони встановлюють додаткові бекдори, створюють нові облікові записи з привілейованим доступом та відключають або обходять системи безпеки.
Виявлення ексфільтрації даних
Ексфільтрація даних зазвичай передує шифруванню і може тривати кілька днів або навіть тижнів. Під час цього етапу важливо виявити аномалії у мережевому трафіку та поведінці систем, що можуть вказувати на витік даних:- Незвичайні об'єми вихідного трафіку з внутрішніх систем
- Активність у незвичний час або з незвичних локацій
- Масове копіювання файлів між системами або на хмарні сховища
- Незвична активність адміністративних облікових записів
- Раптове збільшення кількості запитів до серверів баз даних або файлових сховищ
Сучасні DLP-рішення здатні виявляти не лише очевидні випадки масового копіювання файлів, але й більш витончені методи ексфільтрації, такі як шифрування або стеганографія. Однак, як показує практика при проведенні penetration test, багато організацій налаштовують ці системи неоптимально, залишаючи прогалини, які можуть використати зловмисники.
Сучасні тактики шифрування
Після викрадення цінних даних зловмисники переходять до шифрування систем жертви. Сучасні програми-вимагачі використовують сильні криптографічні алгоритми (найчастіше RSA-2048 для ключів та AES-256 для файлів), що робить розшифрування без ключа практично неможливим.Кіберзлочинці також цілеспрямовано атакують системи резервного копіювання перед запуском процесу шифрування. Дослідження атак програм-вимагачів показують, що значна частина успішних атак включають знищення або шифрування резервних копій.
"При проведенні пентестів ми часто виявляємо, що системи резервного копіювання підключені до тієї ж мережі, що й основні системи, або використовують облікові записи з надмірними привілеями, що робить їх вразливими до компрометації", — зазначають спеціалісти XRAY CyberSecurity.
Особливо небезпечною тенденцією є атаки на гіпервізори віртуальних машин. Отримавши доступ до платформи віртуалізації, зловмисники можуть одночасно зашифрувати десятки або сотні віртуальних машин, спричиняючи масштабний збій в інфраструктурі організації.
Стратегії мінімізації ризиків
Комплексний підхід до захисту від атак подвійного вимагання має охоплювати наступні аспекти:- Сегментація мереж та принцип найменших привілеїв
Ізоляція критичних систем і обмеження прав доступу суттєво ускладнюють латеральний рух зловмисників та знижують потенційний масштаб атаки. Важливо застосовувати мікросегментацію для захисту найбільш чутливих активів та регулярно переглядати привілеї користувачів. - Багаторівневий захист систем резервного копіювання
Впровадження правила "3-2-1" (3 копії даних на 2 різних носіях, 1 копія офлайн) та розгортання повітряного розриву для критичних резервних копій. Використання автономних сховищ і носіїв, які фізично від'єднуються після створення резервних копій, може стати останньою лінією захисту від атак на системи резервного копіювання. - Системи раннього виявлення
Встановлення інструментів для моніторингу аномальної активності, особливо в контексті руху даних та доступу до конфіденційної інформації. Це включає рішення типу EDR (Endpoint Detection and Response), NDR (Network Detection and Response) та XDR (Extended Detection and Response), які можуть виявляти ознаки підготовки до атак програм-вимагачів. - Регулярне проведення penetration test
Тестування на проникнення дозволяє виявити вразливості в інфраструктурі до того, як їх знайдуть зловмисники. Оцінка захищеності має включати перевірку можливостей непоміченої ексфільтрації даних та шифрування систем. - Навчання персоналу та розробка протоколів безпеки
Підвищення обізнаності співробітників щодо методів соціальної інженерії та фішингу, які часто використовуються для початкового проникнення. Розробка чітких протоколів для управління паролями, багатофакторної автентифікації та реагування на потенційні інциденти безпеки.
Ефективне реагування на інциденти
Для організацій критично важливо мати заздалегідь розроблений план реагування на інциденти з програмами-вимагачами, який враховує сценарій подвійного вимагання."Швидкість реагування на виявлену атаку є критичним фактором у мінімізації збитків", — стверджують експерти з інформаційної безпеки XRAY CyberSecurity.
План реагування повинен включати процедури швидкої ізоляції скомпрометованих систем, каналів комунікації з відповідними стейкхолдерами та покрокові інструкції для різних членів команди реагування.
Атаки з подвійним вимаганням представляють серйозну загрозу для бізнесу будь-якого масштабу. Регулярне проведення тестів на проникнення та комплексний аудит інформаційної безпеки дозволяють виявити вразливості, які можуть бути використані зловмисниками для ексфільтрації даних та подальшого шифрування систем.