Вредоносные программы для установки программ-вымогателей
Как только любой из этих штаммов вредоносных программ обнаружен, системные администраторы должны удалить все, подключить системы к сети, провести аудит и удалить вредоносные программы в качестве первоочередной задачи.
Прошли те времена, когда группы программ-вымогателей запускали массовые кампании по рассылке спама по электронной почте в надежде заразить случайных пользователей в интернете.
Сегодня операторы программ-вымогателей превратились из ниши неуклюжих банд вредоносных программ в серию сложных картелей киберпреступлений с навыками, инструментами и бюджетами спонсируемых государством хакерских групп.
В настоящее время банды вымогателей полагаются на многоуровневое партнерство с другими операциями по борьбе с киберпреступностью. Называемые «брокерами первичного доступа», эти группы действуют как цепочка поставок преступного подполья, предоставляя бандам вымогателей (и другим) доступ к большим коллекциям скомпрометированных систем.
Эти системы, состоящие из взломанных конечных точек RDP, сетевых устройств с бэкдором и компьютеров, зараженных вредоносным ПО, позволяют бандам вымогателей легко получать доступ к корпоративным сетям, расширять свой доступ и шифровать файлы, требуя огромных выкупов.
Эти брокеры первичного доступа являются важной частью киберпреступности. Сегодня три типа брокеров выделяются как источники большинства атак с использованием программ-вымогателей:
- Продавцы скомпрометированных конечных точек RDP: банды киберпреступников в настоящее время проводят атаки методом грубой силы на рабочие станции или серверы, настроенные для удаленного доступа по RDP, которые также остались открытыми в интернете со слабыми учетными данными. Эти системы позже продаются в так называемых «магазинах RDP», откуда банды вымогателей часто выбирают системы, которые, по их мнению, могут быть расположены внутри сети важной цели.
- Продавцы взломанных сетевых устройств: банды киберпреступников также используют эксплойты для широко известных уязвимостей, чтобы получить контроль над сетевым оборудованием компании, таким как серверы VPN, межсетевые экраны или другие периферийные устройства. Доступ к этим устройствам и внутренним сетям, которые они защищают/подключаются, продается на хакерских форумах или напрямую бандам вымогателей.
- Продавцы компьютеров, уже зараженных вредоносным ПО: многие современные вредоносные бот-сети часто прочесывают зараженные компьютеры в поисках систем в корпоративных сетях, а затем продают доступ к этим ценным системам другим киберпреступникам, в том числе бандам вымогателей.
Защита от этих трех типов векторов начального доступа часто является самым простым способом избежать программ-вымогателей.
Однако, хотя защита от первых двух обычно включает в себя применение правильных политик паролей и обновление оборудования, от третьего вектора защитить труднее.
Это связано с тем, что операторы вредоносных ботнетов часто полагаются на социальную инженерию, чтобы заставить пользователей самостоятельно установить вредоносное ПО в свои системы, даже если на компьютерах установлено новейшее программное обеспечение.
Эта статья посвящена известным штаммам вредоносных программ, которые использовались в течение последних двух лет для установки программ-вымогателей.
Приведенный ниже список, составленный с помощью исследователей безопасности должен послужить «красным» кодом для любой организации.
Как только любой из этих штаммов вредоносных программ обнаружен, системные администраторы должны удалить все, подключить системы к сети, провести аудит и удалить вредоносные программы в качестве первоочередной задачи.
Emotet
Emotet считается крупнейшим вредоносным ботнетом на сегодняшний день.
Есть несколько случаев, когда Emotet имел дело с бандами вымогателей напрямую, но многие случаи заражения вымогателями восходят к первоначальным заражениям Emotet.
Обычно Emotet продавал доступ к своим зараженным системам другим бандам вредоносных программ, которые впоследствии продавали свой доступ бандам вымогателей.
Сегодня наиболее распространенная цепочка заражения программ-вымогателей, связанная с Emotet, такова: Emotet — Trickbot — Ryuk.
Trickbot
Trickbot — это вредоносный ботнет и киберпреступление, похожее на Emotet. Trickbot заражает своих собственных жертв, но, как известно, покупает доступ к системам, зараженным Emotet, чтобы увеличить свою численность.
За последние два года исследователи безопасности видели, как Trickbot продавал доступ к своим системам бандам киберпреступников, которые позже развернули Ryuk, а затем и программу-вымогатель Conti.
BazarLoader
BazarLoader в настоящее время считается модульным бэкдором, разработанным группой со ссылками или отделившейся от основной банды Trickbot. В любом случае, независимо от того, как они возникли, группа следует модели Trickbt’s и уже сотрудничает с бандами вымогателей, чтобы обеспечить доступ к системам, которые они заражают.
В настоящее время BazarLoader рассматривается как источник заражения вымогателем Ryuk [ 1 , 2 , 3 ].
QakBot
QakBot , Pinkslipbot, Qbot или Quakbot иногда упоминаются внутри сообщества информационных технологий как «более медленный» Emotet, потому что он обычно делает то же, что и Emotet, но несколько месяцев спустя.
Поскольку банда Emotet позволяет использовать свои системы для развертывания программ-вымогателей, QakBot также недавно стал партнером различных банд вымогателей. Сначала с MegaCortex, затем с ProLock, а в настоящее время с бандой вымогателей Egregor.
QakBot — MegaCortex
QakBot — ProLock
QakBot — Egregor
SDBBot
SDBBot — это вредоносная программа, управляемая киберпреступной группой TA505.
Это не распространенный штамм вредоносного ПО, но он рассматривается как источник инцидентов, связанных с развертыванием вымогателя Clop.
SDBBot — Clop
Dridex
Dridex — еще одна банда банковских троянцев , реорганизованная в «загрузчик вредоносных программ», следуя примеру Emotet и Trickbot в 2017 году.
В то время как в прошлом ботнет Dridex использовал спам-кампании для распространения вымогателя Locky среди случайных пользователей в интернете, в последние несколько лет они также используют зараженные компьютеры, чтобы сбрасывать штаммы вымогателей BitPaymer или DoppelPaymer для более целенаправленных атак.
Zloader
Zloader быстро догоняет и уже установил партнерские отношения с операторами штаммов вымогателей Egregor и Ryuk.
Если есть одна вредоносная операция, которая может расширяться и имеет связи, то это она.
Zloader—Egregor
Zloader—Ryuk
Buer Loader
Buer или Buer Loader — это вредоносная программа, которая была запущена в конце прошлого года, но уже завоевала репутацию и связи в подполье киберпреступников, чтобы сотрудничать с группами вымогателей.
Согласно Sophos, некоторые инциденты, в которых была обнаружена программа-вымогатель Ryuk, были связаны с заражением Buer несколькими днями ранее.
Phorpiex
Phorpiex или Trik — один из небольших вредоносных ботнетов, но не менее опасная.
Заражения с помощью программы-вымогателя Avaddon, обнаруженные ранее в этом году, были связаны с Phorpiex. Хотя ни Avaddon, ни Phorpiex не являются общими именами, к ним следует относиться с таким же уровнем внимания, как к Emotet, Trickbot и другим.
CobaltStrike
CobaltStrike не является вредоносным ботнетом. На самом деле это инструмент тестирования на проникновение, разработанный для исследователей кибербезопасности, которым также часто злоупотребляют банды вредоносных программ.
Компании не «заражаются» CobaltStrike. Однако многие банды вымогателей развертывают компоненты CobaltStrike как часть своих вторжений.
Инструмент часто используется как способ управления несколькими системами внутри внутренней сети и как предвестник реальной атаки вымогателей.
Многие из перечисленных выше цепочек заражения на самом деле являются [MalwareBotnet] —CobaltStrike— [Ransomware] , причем CobaltStrike обычно выступает в качестве наиболее распространенного промежуточного звена между ними.
Мы включили CobaltStrike в наш список по просьбе наших источников, которые считают его опасным, как де-факто штамм вредоносного ПО. Если вы видите это в своей сети и не проводите тест на проникновение, остановите все, что вы делаете, отключите системы и проведите аудит всего на предмет точки входа для атаки.
