Хакеры стали работать быстрее вашей техподдержки. На полный захват сети у них теперь уходит меньше суток
Даже минутная задержка теперь приводит к непоправимым последствиям.
Киберпреступники всё чаще играют на опережение — используют уязвимости раньше, чем компании успевают закрыть дыры. Новая кампания, которую разобрала команда Microsoft, показывает, насколько стремительными стали атаки с вымогательским ПО и как быстро злоумышленники превращают единичный сбой в масштабный инцидент.
Группа, известная как Storm-1175, строит атаки вокруг недавно раскрытых уязвимостей во внешних сервисах. Речь идёт о веб-доступных системах, которые часто остаются без обновлений в первые дни после публикации проблем. За этот короткий промежуток злоумышленники успевают проникнуть в инфраструктуру. В отдельных случаях атака начинается уже через сутки после раскрытия уязвимости, а иногда эксплойты применяются ещё до официального анонса проблемы.
После получения доступа группа действует быстро. На закрепление в системе уходит минимум времени — создаются новые учётные записи с правами администратора, разворачиваются инструменты удалённого управления и начинается перемещение по сети. Для этого используют как встроенные средства Windows вроде PowerShell и PsExec, так и легитимные сервисы администрирования, включая Atera, AnyDesk и ConnectWise. Такие инструменты помогают маскировать активность под обычную работу IT-служб.
Следующий этап — сбор учётных данных. Злоумышленники извлекают пароли из памяти процессов, используют утилиты вроде Mimikatz и получают доступ к контроллерам домена. Это даёт полный контроль над сетью и открывает путь к распространению вредоносного кода на другие системы. Параллельно отключаются или ослабляются защитные механизмы, включая антивирус, чтобы ничто не мешало финальной стадии атаки.
Перед шифрованием данных Storm-1175 обычно копирует файлы и отправляет их на внешние серверы. Для этого применяются архиваторы и инструменты синхронизации, способные незаметно передавать большие объёмы информации. Затем запускается вымогатель Medusa — он блокирует доступ к данным и сопровождается угрозой публикации украденной информации.
Аналитики отмечают высокую скорость операций. Иногда от первого проникновения до развёртывания шифровальщика проходит менее суток, чаще — несколько дней. Такой темп делает традиционные меры реагирования менее эффективными и требует постоянного контроля внешней поверхности атаки.
Активность Storm-1175 затронула организации в сфере здравоохранения, образования, финансов и профессиональных услуг в США, Великобритании и Австралии. Основной вывод отчёта — даже известные уязвимости остаются критическим фактором риска, если обновления откладываются. Быстрое закрытие уязвимостей и контроль доступа к внешним сервисам остаются ключевыми мерами защиты.