Исследование

Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков

Практическое руководство на примерах самых популярных вымогателей

Сегодня деятельность программ-вымогателей широко освещается в коммерческих и общедоступных отчетах, поставщики защитных решений ежегодно выпускают множество материалов на эту тему. В этих публикациях анализируется поведение конкретных семейств вредоносного ПО или новых образцов, описывается работа той или иной киберпреступной группы, даются общие рекомендации по предотвращению атак шифровальщиков и так далее. Аналитики вредоносного ПО и специалисты по кибербезопасности могут узнать много интересного из таких материалов, однако далеко не все публикации имеют практическую ценность. При подготовке отчета Common TTPs of modern ransomware аналитики Threat Intelligence Team «Лаборатории Касперского» придерживались другого подхода. Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA.

О каких группировках идет речь?

Для отчета мы выбрали восемь наиболее известных группировок вымогателей:

  1. Conti/Ryuk
  2. Pysa
  3. Clop (TA505)
  4. Hive
  5. Lockbit2.0
  6. RagnarLocker
  7. BlackByte
  8. BlackCat

Мы подробно проанализировали их атаки и, используя базу данных MITRE ATT&CK, выявили множество общих тактик, техник и процедур. Отслеживая деятельность этих преступных групп, мы заметили, что ключевые техники остаются неизменными на протяжении всех этапов Сyber Kill Chain. Их выбор не случаен — для выполнения атак класса ransomware злоумышленники должны пройти определенные этапы, такие как взлом корпоративной сети, доставка вредоносного ПО, дальнейшая разведка, взлом учетной записи, удаление теневых и резервных копий и, наконец, достижение цели.
Мы составили Сyber Kill Chain, который наглядно отображает общие TTPs, использованные разными операторами шифровальщиков.

Получив данные об очередном инциденте, связанном с упомянутыми группировками вымогателей, мы можем выявить характерные для них TTPs, чтобы затем добавить их к общей последовательности кибератаки. Стрелки на схеме демонстрируют порядок выполнения конкретных техник, а цветовая маркировка указывает на конкретные группы, которые их использовали.

Для кого предназначен этот отчет?

В первую очередь отчёт будет интересен аналитикам SOC, Threat Hunting командам, Сyber Threat Intelligence аналитикам, Digital Forensics and Incident Response специалистам.
Этот отчет можно использовать как базу знаний по основным TTPs популярных групп шифровальщиков, для разработки правил активного поиска угроз и анализа работы защитных решений.

Отчет содержит

  • Описание тактик, методов и процедур (TTP) восьми современных группировок вымогателей: Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat.
  • Объяснение, почему более половины компонентов, TTPs являются общими для разных групп, а основные этапы атаки — неизменными для всех.
  • Схему последовательности кибератаки, которая наглядно отображает точки пересечения и общие характеристики упомянутых группировок вымогателей и помогает предсказать следующие шаги злоумышленников.
  • Подробный анализ всех TTPs с примерами их использования разными группировками, а также полный список мер по их нейтрализации.
  • Правила SIGMA, созданные на основе описанных TTPs и применимые к SIEM-решениям.

Полная версия отчета «Тактики, техники и процедуры современных группировок вымогателей» (PDF, русский)

Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Даниэль

    Прошу направить для информации.

    1. Securelist

      Даниэль, добый день!

      Чтобы загрузить отчет, надо заполнить другую форму. Если вы ее не видите, добавьте эту страницу в исключения в настройках приватности в браузере и блокировщике рекламы, если вы его используете.

  2. Денис

    А как же русская версия отчета?)

  3. arkadiy

    отправьте

    1. Securelist

      Аркадий, добый день!

      Чтобы загрузить отчет, надо заполнить другую форму. Если вы ее не видите, добавьте эту страницу в исключения в настройках приватности в браузере и блокировщике рекламы, если вы его используете.

  4. Андрей Приходченко

    пришлите отчет плиз

    1. Securelist

      Андрей, добрый день!

      Вы можете скачать отчет по ссылке в посте.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике