Самые популярные тактики, техники и процедуры активных групп шифровальщиков

Исследование показало, что различные семейства этого вида ПО совпадают более чем на половину в своих TTPs на протяжении всех этапов цепочки атак. Это глобальное исследование находится в открытом доступе и помогает понять, как действуют данные группы и как защититься от подобных атак.

Самые популярные тактики, техники и процедуры активных групп шифровальщиков

«Лаборатория Касперского» опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков.

В исследовании представлены данные об активности Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Эти группы ведут свою деятельность по всему миру, в том числе в США, Великобритании, Германии. С марта 2021-го по март 2022 года операторы этих групп пытались атаковать более 500 организаций в разных отраслях, среди которых промышленность, разработка ПО, строительство.

В отчете рассказывается обо всех этапах атаки, излюбленных TTPs злоумышленников и преследуемых ими целях, а также о методах защиты от целенаправленных атак вымогателей. Также он включает правила обнаружения SIGMA, которые могут использовать специалисты SOC.

Проанализировав, какие техники и тактики, собранные в MITRE ATT&CK, применяют известные группы, эксперты нашли много сходства среди TTPs на протяжении всех этапов цепочки Cyber Kill Chain. Сходство между атаками прослеживается в следующем:

  • активно используется партнёрская модель Ransomware-as-a-Service (RaaS), когда создатели шифровальщика не сами доставляют вредоносное ПО на устройство, а только предоставляют сервисы шифрования данных. Многие атакующие используют готовые шаблоны или инструменты автоматизации;
  • повторно используются старые и похожие инструменты. Это сокращает время подготовки к атаке;
  • повторно используются распространённые тактики, техники и процедуры, что облегчает процесс взлома. Детектировать эти техники возможно, но сделать это превентивно по всем возможным векторам угроз гораздо сложнее;
  • компании недостаточно оперативно устанавливают обновления и патчи, что облегчает атакующим доступ к их инфраструктуре.

«В последние годы программы-вымогатели — главный кошмар всей отрасли кибербезопасности. Операторы вредоносного ПО постоянно совершенствуют свои инструменты, и изучать все группы шифровальщиков, эволюцию их деятельности — трудоёмкий и сложный процесс даже для опытных аналитиков. Мы с гордостью представляем результаты большой аналитической работы, основанной на тщательном наблюдении за наиболее активными группами. Наш отчёт даёт подробную картину этого вида угроз и, надеемся, сможет облегчить работу всех специалистов по кибербезопасности», — комментирует Никита Назаров, руководитель группы сервисов Threat Intelligence.

Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:

  • не допускать возможность подключиться к службам удаленного рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
  • оперативно устанавливать обновления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в корпоративной сети;
  • оперативно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет;
  • обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • регулярно создавать резервные копии данных и в экстренной ситуации иметь возможность быстро получить доступ к ним;
  • проводить обучение сотрудников правилам кибербезопасности;
  • применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надежной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах.
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных