Техники, тактики и процедуры шифровальщиков

Глубокий анализ современных шифровальщиков-вымогателей позволяет разработать универсальные методы противодействия им.

Техники, Тактики и Процедуры шифровальщиков-вымогателей

Эксперты «Лаборатории Касперского» провели глубокий анализ тактик, техник и процедур восьми самых распространенных шифровальщиков-вымогателей — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Сравнивая методы и инструменты злоумышленников на разных стадиях атаки, они пришли к выводу, что многие группировки в общем-то действуют примерно по одним и тем же схемам. Что позволяет создать эффективные универсальные контрмеры, позволяющие надежно защитить инфраструктуру компании от шифровальщиков.

Полный отчет с детальным анализом каждой техники и примерами ее использования можно найти в документе Common TTPs of modern ransomware groups. Материал предназначен в первую очередь для аналитиков центров мониторинга (SOC), экспертов в сферах Threat Hunting и Threat Intelligence, а также специалистов по реагированию на инциденты и их расследованию.

В нем можно найти и правила детектирования вредоносных техник в формате SIGMA. А расширенная версия отчета с увеличенным набором SIGMA-правил доступна на Kaspersky Threat Intelligence Portal по подписке на отчеты APT, Crimeware или ICS Intelligence.

Помимо описаний техник, в отчете также имеется набор рекомендаций по защите сети организации и её данных от атак шифровальщиков и смягчению их последствий. Они собраны как из результатов собственных исследований, так и из советов таких организаций, как NIST, NCSC, CISA, SANS и др., и отражают соответствующие стадии атак:

  • Предотвращение вторжений — набор рекомендаций по предотвращению первичного проникновения атакующих в сеть организации.
  • Предотвращение исполнения вредоносного кода — рекомендации, с одной стороны затрудняющие возможности атакующих по запуску своих инструментов и вредоносных программ на хостах в сети вашей организации, а с другой стороны — облегчающие защитникам задачу обнаружения таких инструментов и вредоносного программного обеспечения.
  • Защита от горизонтального перемещения — группа мер, цель которых состоит в том, чтобы максимально затруднить атакующим заражение соседних хостов в сети и получение контроля над доменом, а также обеспечить обнаружение попыток таких действий.
  • Защита от потери данных — советы по организации резервного копирования и других мер по снижению ущерба от потери важных данных в случае атаки.

Дополнительно представлены рекомендации по подготовке к возможным инцидентам: от определения ключевых ресурсов (assets), которые могут стать целью атак, до создания плана действий на случай инцидента и требуемого законодательством взаимодействия с регуляторами.

Необходимо помнить, что не бывает 100% защиты от атак. Но ценность данного исследования в том, что, зная техники атакующих, вы сможете детально настроить системы защиты и меры противодействия. Это поможет подготовиться к возможным атакам и максимально защитить от них вашу организацию, а в крайнем случае — минимизировать ущерб и возможные последствия. Ибо предупрежден — значит вооружен.

Советы