Слабое звено для вымогательства: в корпоративных сетях зафиксирован всплеск атак дистанционного шифрования

Специалисты в области безопасности из компании Sophos фиксируют новую тенденцию в действиях группировок, которые занимаются распространением вымогательского программного обеспечения.

Последние данные указывают на массовый переход хакеров к использованию так называемого «дистанционного шифрования данных» (Remote Encryption) в корпоративных сетях. Этот метод позволяет злоумышленникам зашифровать данные на всех устройствах в сети, используя лишь одно скомпрометированное в качестве входной точки.

Дистанционное шифрование, как следует из названия, происходит, когда скомпрометированная конечная точка используется для шифрования данных на других устройствах в той же сети. Как правило, это возможно при наличии общего локального доступа с правами записи между всеми компьютерами организации.

Вредоносное ПО развёртывается только на максимально уязвимом устройстве, и шифрование абсолютно всех общедоступных данных происходит именно на нём. В то же время, все остальные компьютеры в сети никак не отреагируют на этот процесс, ведь зашифрованные файлы не содержат никакого вредоносного кода. Пользователи лишь постфактум обнаружат, что доступ к данным больше невозможен.

Марк Ломан, вице-президент по исследованиям угроз в Sophos, подчёркивает серьёзность этой угрозы: «Достаточно всего одного незащищённого устройства в сети, чтобы зашифровать данные на всех остальных». Очевидное преимущество этого подхода в том, что он делает стандартные методы обнаружения инцидентов бессильными.

Компания Microsoft в октябре этого года сообщала, что около 60% атак с использованием вымогательского ПО теперь включают в себя методику дистанционного шифрования данных. Более того, более 80% всех компрометаций происходит через неуправляемые устройства, которые просто имеют доступ к общему хранилищу файлов.

Среди известных семейств вымогательских программ, использующих дистанционное шифрование, — Akira, ALPHV/BlackCat, BlackMatter, LockBit и Royal. Этот метод применяется уже давно: ещё в 2013 году CryptoLocker атаковал сетевые ресурсы таким образом. Однако резкий всплеск подобных атак фиксируется именно в последние месяцы.

В своём отчёте эксперты Sophos также выделяют сложные взаимоотношения между вымогательскими группировками и средствами массовой информации. Преступники используют СМИ не только для привлечения внимания, но и для контроля над нарративом, опровергая, по их мнению, неточные сообщения.

Также они публикуют часто задаваемые вопросы и пресс-релизы на своих сайтах утечек данных, включая прямые цитаты операторов и корректировки ошибок журналистов. Использование запоминающихся названий и привлекательной графики свидетельствует об эволюции и профессионализации киберпреступности.

Группа RansomHouse, например, предоставляет журналистам всю актуальную информацию по атакам на своём PR Telegram-канале, причём ещё до её официальной публикации. А такие группы, как Conti и Pysa, например, известны применением организационной иерархии, включая верхушку руководства, системных администраторов, разработчиков, рекрутёров, HR и юридические отделы. Некоторые группы даже ищут англоязычных редакторов и ораторов для грамотного освещения атак на киберпреступных форумах.

«Взаимодействие с медиа даёт группам, которые занимаются распространением вымогательского ПО, как тактические, так и стратегические преимущества. Это позволяет им оказывать давление на своих жертв и формировать нарратив, увеличивая свою известность и мифологизируя самих себя», — отмечают в Sophos.