Исследование

Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков

Практическое руководство на примерах самых популярных вымогателей

Сегодня деятельность программ-вымогателей широко освещается в коммерческих и общедоступных отчетах, поставщики защитных решений ежегодно выпускают множество материалов на эту тему. В этих публикациях анализируется поведение конкретных семейств вредоносного ПО или новых образцов, описывается работа той или иной киберпреступной группы, даются общие рекомендации по предотвращению атак шифровальщиков и так далее. Аналитики вредоносного ПО и специалисты по кибербезопасности могут узнать много интересного из таких материалов, однако далеко не все публикации имеют практическую ценность. При подготовке отчета Common TTPs of modern ransomware аналитики Threat Intelligence Team «Лаборатории Касперского» придерживались другого подхода. Нашей целью было рассказать о разных стадиях атак вымогателей, о том, какие инструменты киберпреступники используют на каждой из них и чего они в итоге хотят добиться. Отчет также содержит конкретные рекомендации по защите от целевых атак с использованием шифровальщиков (на примерах наиболее активных группировок) и разработанные нами правила обнаружения SIGMA.

О каких группировках идет речь?

Для отчета мы выбрали восемь наиболее известных группировок вымогателей:

  1. Conti/Ryuk
  2. Pysa
  3. Clop (TA505)
  4. Hive
  5. Lockbit2.0
  6. RagnarLocker
  7. BlackByte
  8. BlackCat

Мы подробно проанализировали их атаки и, используя базу данных MITRE ATT&CK, выявили множество общих тактик, техник и процедур. Отслеживая деятельность этих преступных групп, мы заметили, что ключевые техники остаются неизменными на протяжении всех этапов Сyber Kill Chain. Их выбор не случаен — для выполнения атак класса ransomware злоумышленники должны пройти определенные этапы, такие как взлом корпоративной сети, доставка вредоносного ПО, дальнейшая разведка, взлом учетной записи, удаление теневых и резервных копий и, наконец, достижение цели.
Мы составили Сyber Kill Chain, который наглядно отображает общие TTPs, использованные разными операторами шифровальщиков.

Получив данные об очередном инциденте, связанном с упомянутыми группировками вымогателей, мы можем выявить характерные для них TTPs, чтобы затем добавить их к общей последовательности кибератаки. Стрелки на схеме демонстрируют порядок выполнения конкретных техник, а цветовая маркировка указывает на конкретные группы, которые их использовали.

Для кого предназначен этот отчет?

В первую очередь отчёт будет интересен аналитикам SOC, Threat Hunting командам, Сyber Threat Intelligence аналитикам, Digital Forensics and Incident Response специалистам.
Этот отчет можно использовать как базу знаний по основным TTPs популярных групп шифровальщиков, для разработки правил активного поиска угроз и анализа работы защитных решений.

Отчет содержит

  • Описание тактик, методов и процедур (TTP) восьми современных группировок вымогателей: Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat.
  • Объяснение, почему более половины компонентов, TTPs являются общими для разных групп, а основные этапы атаки — неизменными для всех.
  • Схему последовательности кибератаки, которая наглядно отображает точки пересечения и общие характеристики упомянутых группировок вымогателей и помогает предсказать следующие шаги злоумышленников.
  • Подробный анализ всех TTPs с примерами их использования разными группировками, а также полный список мер по их нейтрализации.
  • Правила SIGMA, созданные на основе описанных TTPs и применимые к SIEM-решениям.

Заполните форму ниже, чтобы загрузить полную версию отчета Common TTPs of modern ransomware (PDF, английский).

Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков

Ваш e-mail не будет опубликован.

 

  1. Даниэль

    Прошу направить для информации.

    1. Securelist

      Даниэль, добый день!

      Чтобы загрузить отчет, надо заполнить другую форму. Если вы ее не видите, добавьте эту страницу в исключения в настройках приватности в браузере и блокировщике рекламы, если вы его используете.

  2. Денис

    А как же русская версия отчета?)

  3. arkadiy

    отправьте

    1. Securelist

      Аркадий, добый день!

      Чтобы загрузить отчет, надо заполнить другую форму. Если вы ее не видите, добавьте эту страницу в исключения в настройках приватности в браузере и блокировщике рекламы, если вы его используете.

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике