Современная ransomware-атака эволюционировала далеко за пределы простого шифрования файлов. Самые разрушительные инциденты сегодня следуют модели двойного шантажа, когда злоумышленники не только блокируют данные, но и похищают их, угрожая опубликовать или продать, если выкуп не будет уплачен. Группа Talos Intelligence компании Cisco тщательно проанализировала эту тенденцию, выявив распространенную и тревожную тактику: использование повсеместных, легитимных инструментов системного администрирования для осуществления эксфильтрации данных. Этот подход «жизни за счет земли» позволяет субъектам угроз смешивать вредоносную активность с обычным сетевым трафиком, что значительно усложняет обнаружение для защитников. Методика больше не полагается исключительно на специализированное вредоносное ПО, а все чаще выполняется с помощью доверенных исполняемых файлов, уже присутствующих в сети.
Фаза эксфильтрации критически важна для успеха кампаний ransomware с двойным шантажом. Противники, после получения доступа и повышения привилегий, систематически идентифицируют и собирают конфиденциальные данные — финансовые отчеты, интеллектуальную собственность и персональные данные (PII). Исследователи Talos наблюдали устойчивую модель, при которой злоумышленники используют встроенные командные инструменты и распространенные утилиты для этой кражи. Такие инструменты, как `Rclone`, `WinRAR`, `7-Zip` и даже сценарии PowerShell, перепрофилируются для сжатия, упаковки и передачи похищенных данных в облачное хранилище или на серверы, контролируемые злоумышленниками. Использование этих «повседневных инструментов» обеспечивает определенную маскировку, поскольку их присутствие и активность с меньшей вероятностью вызовут срабатывание сигналов безопасности по сравнению с неизвестными исполняемыми файлами.
Этот сдвиг в тактике представляет собой серьезную проблему для традиционных мер безопасности. Обнаружение на основе сигнатур и простые списки разрешений/запретов неэффективны, когда используемые инструменты по своей сути доверяются операционной системой и необходимы для легитимных бизнес-функций. Следовательно, командам безопасности необходимо применять более тонкий, ориентированный на поведение подход. Эффективная защита требует глубокой видимости сетевого трафика и процессов на конечных точках для выявления аномального использования этих утилит — например, запуск инструмента системного администратора, такого как `Rclone`, из необычного местоположения, в нестандартное время или общение с подозрительным внешним IP-адресом. Надежное ведение журналов, сегментация сети и строгие политики контроля приложений необходимы для ограничения инструментов, доступных злоумышленнику, и создания механизмов обнаружения на основе поведенческих аномалий.
В конечном счете, снижение рисков, связанных с этой методикой эксфильтрации, требует фундаментального изменения подхода к безопасности. Организации должны исходить из того, что целеустремленные противники в конечном итоге получат доступ, и действовать по принципу «нулевого доверия», постоянно проверяя доступ и отслеживая аномальное поведение. Проактивные меры включают всестороннее обучение сотрудников распознаванию фишинговых попыток, тщательное управление исправлениями для закрытия первоначальных векторов доступа и внедрение надежных решений по предотвращению утечек данных (DLP). Понимая, что злоумышленники превращают в оружие сами инструменты, используемые для управления ИТ-средой, защитники могут совершенствовать свои стратегии для обнаружения не только вредоносного программного обеспечения, но и вредоносного *поведения*, тем самым повышая устойчивость к этим исключительным преступлениям, совершаемым с помощью повседневных инструментов.
