В главе 12 «Унифицированный жизненный цикл атак с использованием программ-вымогателей» описана концепция уникального жизненного цикла, реализуемого в рамках атак, и использование программ-вымогателей.
Загрузите цветные изображения
PDF-файл с цветными изображениями снимков экрана и диаграмм, используемых в этой книге, можно получить по ссылке https://static.packt-cdn.com/downloads/9781803240442_ColorImages.pdf (https://static.packt-cdn.com/downloads/9781803240442_ColorImages.pdf).
Используемые обозначения
В этой книге используется ряд текстовых обозначений.
Код в тексте указывает на участки кода в тексте, имена таблиц базы данных, имена папок, имена файлов, расширения файлов, пути, URL-адреса, пользовательский ввод и псевдонимы Twitter, например: «Создан новый объект с GUID {E97EFF8F-1C38–433C-9715–4F53424B4887}. Кроме того, подозрительный файл 586A97.exe находится в папке C: \Windows\SYSVOL\domain\scripts».
Блок кода выглядит так.
Чтобы привлечь внимание читателя к определенной части блока кода, соответствующие строки или элементы выделяются полужирным шрифтом.
Любой ввод или вывод командной строки записывается следующим образом.
Полужирным шрифтом выделены новые термины, важные слова или слова, которые появляются на экране, – в частности, команды меню или диалоговых окон, например: «Как правило, вам нужно искать события с идентификаторами 21 (Успешный вход в сеанс) и 25 (Успешное возобновление сеанса)».
Свяжитесь с нами
Мы всегда рады читательским отзывам.
Общие вопросы. Если у вас есть любые вопросы об этой книге, напишите нам по адресу customercare@packtpub.com (mailto:customercare@packtpub.com), указав в теме сообщения название книги.
Исправления. Мы приложили все усилия, чтобы обеспечить точность текста и данных, но ошибки случаются. Если вы нашли в книге ошибку, мы будем признательны, если вы сообщите нам об этом. Пожалуйста, заполните форму по ссылке https://www.packtpub.com/support/errata (https://www.packtpub.com/support/errata).
Пиратство. Если вы столкнетесь с любыми незаконными копиями наших работ в интернете, мы просим вас сообщить нам адрес или название веб-сайта по адресу copyright@packt.com (mailto:copyright@packt.com).
Будущим авторам. Если вы разбираетесь в той или иной теме и хотите посвятить ей книгу, пожалуйста, посетите страницу authors.packtpub.com (http://authors.packtpub.com/).
Отказ от ответственности
Информацией, приводимой в этой книге, можно пользоваться, только соблюдая этические нормы. Не используйте никакую информацию из книги, если у вас нет письменного разрешения от владельца оборудования. Если вы совершите незаконные действия, вас арестуют и привлекут к ответственности по всей строгости закона. Издательство не несет никакой ответственности за неправильное использование информации, содержащейся в книге. Информация, представленная в этой книге, предназначена только для демонстрации, в зависимости от конкретного случая использования она может требовать изменений. Приведенной здесь информацией можно пользоваться только в целях тестирования с надлежащим письменным разрешением от соответствующих ответственных лиц.
Поделитесь вашим мнением
Мы будем рады узнать ваше мнение о книге. Посетите страницу https://www.amazon.com/Incident-Response-Techniques-Ransomware-Attacks/dp/180324044X (https://www.amazon.com/Incident-Response-Techniques-Ransomware-Attacks/dp/180324044X) и поделитесь своим мнением.
Ваш отзыв важен для нас и для технического сообщества, он поможет делать наш контент лучше.
01. Знакомство с современными атаками с использованием программ-вымогателей
Глава 1
История современных атак с использованием программ-вымогателей
Атаки с использованием программ-вымогателей стали второй после COVID-19 пандемией 2020 г. – и она, к сожалению, продолжает развиваться. Некоторые злоумышленники прекратили свою деятельность, но их место быстро занимает следующее поколение киберпреступников.
Сейчас эти атаки у всех на слуху, но начались они еще до известных вспышек распространения программ-вымогателей, таких как WannaCry и NotPetya. В отличие от неконтролируемых программ-вымогателей, ими управляют различные операторы и их сообщники. Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ-вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте.
Существует много ярких примеров штаммов программ-вымогателей, используемых в атаках. В этой главе мы сосредоточимся на самых важных с исторической точки зрения примерах, включая угрозу, наиболее характерную для современного ИТ-ландшафта, – программы-вымогатели как услуга.
Мы рассмотрим следующие примеры:
? 2016 г.: программа-вымогатель SamSam.
? 2017 г.: программа-вымогатель BitPaymer.
? 2018 г.: программа-вымогатель Ryuk.
? 2019 г. – настоящее время: программы-вымогатели как услуга.
2016 г. – программа-вымогатель SamSam
Операторы SamSam появились в начале 2016 г. и коренным образом изменили картину угроз, связанную с программами-вымогателями. Их целью были не обычные пользователи и отдельные устройства – используя ручное управление, они атаковали различные компании, осуществляя продвижение по сети и шифруя как можно больше устройств, в том числе тех, которые содержали наиболее важные данные.
Атакам подверглись самые разные цели, включая предприятия сферы здравоохранения и образования – и даже целые города. Ярким примером стал город Атланта (штат Джорджия), который пострадал в марте 2018 г. Восстановление инфраструктуры, пострадавшей в результате атаки, обошлось городу примерно в $2,7 млн.
Как правило, злоумышленники эксплуатировали уязвимости в общедоступных приложениях, например системах JBOSS, или просто подбирали пароли к RDP-серверам, чтобы установить первоначальный доступ к целевой сети. Чтобы получить расширенные права доступа, они использовали ряд распространенных хакерских инструментов и эксплойтов, в том числе пресловутый Mimikatz, позволяющий завладеть учетными данными администратора домена. После этого операторы SamSam просто сканировали сеть, чтобы добыть информацию о доступных хостах, на каждый из которых они копировали программу-вымогатель и запускали ее с помощью другого широко распространенного инструмента двойного назначения – PsExec.
Злоумышленники пользовались платежным сайтом в даркнете. Жертва получала сообщение с требованием выкупа и информацией о расшифровке файлов, сгенерированное программой-вымогателем (рис. 1.1).
По данным Sophos, в 2016–2018 гг. злоумышленники заработали около $6 млн (источник: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf (https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)).
Рис. 1.1. Пример сообщения SamSam с требованием выкупа[1 - #Что случилось с вашими файлами?Все ваши файлы зашифрованы с помощью алгоритма RSA-2048 – см. «RSA-шифрование» в поиске Google.#Как восстановить файлы?RSA – это асимметричный криптографический алгоритм. Вам нужен один ключ для зашифровки и другой ключ для расшифровки.Это значит, что для восстановления файлов вам нужен закрытый ключ.Без закрытого ключа восстановить файлы невозможно.#Как получить закрытый ключ?Чтобы получить закрытый ключ, выполните три простых шага.Шаг 1: отправьте нам 1,7 биткойна за каждый пораженный компьютер или 28 биткойнов за все пораженные компьютеры.Шаг 2: после того как вы отправите нам 1,7 биткойна, оставьте на нашем сайте комментарий с вашим именем хоста.* Ваш хост …Шаг 3: в ответ мы вышлем вам программу дешифрования. Вам нужно будет запустить ее на пораженном компьютере, и все зашифрованные файлы будут восстановлены.Наш сайт: …Наш биткойн-кошелек: …(Если вы отправите нам 28 биткойнов за все пораженные компьютеры, оставьте на сайте комментарий «За все пораженные компьютеры».)(Также вы можете отправить нам 14 биткойнов, получить 14 ключей (случайным образом), а после проверки доплатить, чтобы получить оставшиеся ключи.)Как попасть на наш сайт?Чтобы зайти на наш сайт, вы должны установить браузер TOR и ввести в нем адрес нашего сайта.Загрузить браузер TOR можно по ссылке …См. также в Google «Как открывать onion-сайты».#Тестовое дешифрованиеВы можете скачать с нашего сайта два зашифрованных файла, и мы расшифруем их для вас.#Где купить биткойнМы советуем покупать биткойны за наличные или через Western Union у …, потому что они не требуют проверки и высылают биткойны быстро.#Крайний срокЕсли в течение семи дней вы не отправите нам биткойны, мы удалим ваши закрытые ключи и файлы будет невозможно восстановить.]
Кто стоит за программой-вымогателем SamSam?
28 ноября 2018 г. ФБР обнародовало акт, обвиняющий в международном распространении программы-вымогателя SamSam Фарамарза Шахи Саванди и Мохаммада Мехди Шаха Мансури.
Рис. 1.2. Фрагмент плаката ФБР о розыске
Оба подозреваемых из Ирана. После публикации обвинительного акта злоумышленникам удалось завершить свою криминальную деятельность – по крайней мере под именем SamSam.
Поскольку пример этих преступников показал, что атаки программ-вымогателей на корпорации могут быть очень прибыльными, стали появляться новые подобные группы. Одним из примеров стала программа-вымогатель BitPaymer.
2017 г. – программа-вымогатель BitPaymer
Программа-вымогатель BitPaymer связана с Evil Corp – киберпреступной группировкой, которая, как считается, имеет российское происхождение. С этим штаммом программы-вымогателя появилась еще одна тенденция атак, управляемых человеком, – охота на крупную дичь.
Все началось в августе 2017 г., когда операторы BitPaymer успешно атаковали несколько больниц управления NHS Lanarkshire и потребовали астрономическую сумму выкупа в размере $230 000, или 53 биткойнов.
Чтобы получить начальный доступ к целевой сети, группа использовала свой давний инструмент – троян Dridex. Троян позволял злоумышленникам загружать PowerShell Empire – популярный фреймворк постэксплуатации, – чтобы перемещаться по сети и получать расширенные права доступа, в том числе с использованием Mimikatz, как делали операторы SamSam.
Преступники развертывали программу-вымогатель в масштабах предприятия, используя модификацию групповой политики, которая позволяла им отправлять на каждый хост скрипт для запуска экземпляра программы-вымогателя.
Злоумышленники общались с жертвами как по электронной почте, так и в онлайн-чатах.
