Шифровальщики | 15 января 2026

Анатомия атаки шифровальщика: От фишинга до записки с выкупом. Глубокий разбор по матрице MITRE ATT&CK

Анатомия атаки шифровальщика: От фишинга до записки с выкупом. Глубокий разбор по матрице MITRE ATT&CK

Смена парадигмы угрозы

Еще десять лет назад вирус-шифровальщик представлял собой примитивный скрипт: пользователь открывал вложение, и на экране тут же появлялся череп с костями. Сегодняшняя реальность кардинально иная. Современная атака шифровальщика — это не «волшебная кнопка», запускающая хаос. Это длительная, спланированная операция, управляемая живым человеком-оператором. По своей сложности и структуре она ближе к войсковой спецоперации, чем к хулиганству скрипт-кидди.

Шифрование данных — это лишь «последний выстрел», финальный аккорд в пьесе, которая разыгрывалась в вашей инфраструктуре недели, а иногда и месяцы. Основная работа проделывается задолго до появления файла README.txt на рабочем столе: это скрытное проникновение, закрепление в системе, глубокая разведка, эскалация привилегий и кража конфиденциальной информации.

Чтобы понять, как защищаться, мы должны мыслить как атакующие. Для этого идеально подходит матрица MITRE ATT&CK, деконструирующая действия хакеров на тактики и техники: Initial Access, Persistence, Privilege Escalation, Discovery, Lateral Movement, Exfiltration, Impact.

В этой статье мы разберем «боевой» сценарий современной атаки (Human-Operated Ransomware), опираясь на реальные кейсы 2020–2025 годов и практику эшелонированной защиты, соответствующую требованиям ОАЦ Республики Беларусь. Мы отойдем от устаревших историй уровня WannaCry и посмотрим, как действуют группировки прямо сейчас.

Для наглядности мы будем использовать три бытовые аналогии:

  • Квартира и домофон (для объяснения первоначального доступа).
  • Грабители в ТЦ ночью (для иллюстрации закрепления и перемещения).
  • Офисный архив и ксерокс (для понимания двойного вымогательства).

Этап 1. Первоначальный доступ (Initial Access): Как они заходят в «подъезд»

В терминах MITRE ATT&CK это тактика TA0001: Initial Access. Несмотря на многообразие инструментов, векторы входа для «человек-управляемых» шифровальщиков остаются на удивление стабильными. Доминируют три основных пути:

  • Фишинг и социальная инженерия.
  • Эксплуатация уязвимостей на периметре (VPN, почтовые шлюзы, роутеры).
  • Компрометация RDP и других служб удаленного доступа.

Аналогия №1: Домофон и связка ключей

Представьте вашу инфраструктуру как многоэтажный жилой дом с домофоном.

  • Фишинг — это звонок по домофону: «Добрый день, это из управляющей компании, нам нужно срочно проверить счетчики, откройте, пожалуйста».
  • Уязвимый VPN — это старый домофон, код от которого («1234») написан маркером на стене, или к которому злоумышленники подобрали «универсальный ключ-магнит».
  • Skomprometirovannye RDP — это украденная у жильца связка ключей, позволяющая войти и в подъезд, и в конкретную квартиру.

Цель злоумышленника на этом этапе проста — попасть внутрь периметра. Ему не обязательно сразу вламываться в пентхаус (контроллер домена), достаточно просто оказаться в «холле».

1.1. Фишинг: Эволюция от «письма с вложением» к гибридным атакам

Классический фишинг (T1566) мутировал. Теперь это не просто письмо с вредоносным .doc файлом. Атакующие используют комбинацию каналов: корпоративная почта, мессенджеры, звонки в Zoom/Teams.

Реальный кейс (Sophos MDR, 2024–2025):
Атакующие начали диалог с сотрудниками в Microsoft Teams, используя аккаунт, визуально похожий на техническую поддержку. В ходе переписки, а затем и звонка, они убеждали жертву установить Microsoft Quick Assist якобы для решения проблемы, фактически передавая удаленный контроль над машиной.

Получив доступ (T1204 User Execution), операторы действовали вручную:

  • Загружали JAR-файлы и Python-бэкдоры.
  • Настраивали службы для автозапуска.
  • Использовали PowerShell для локальной разведки.

Этот пример доказывает: фишинг перестал быть массовой спам-рассылкой. Это точечная работа оператора, который строит плацдарм для вторжения.

1.2. Уязвимый VPN и периметр: «Дырявый домофон»

Эксплуатация публично доступных приложений (T1190) — излюбленный метод группировок, работающих с шифровальщиками Akira, LockBit и др.

Кейс Akira и VPN-устройства:
Аналитика Veeam и Coveware показывает волну инцидентов, где точкой входа стали уязвимости в VPN-апплаенсах. Проблема усугубляется тем, что даже после установки патча организации остаются уязвимыми. Почему?

  • Старые локальные админ-учетки переносятся при обновлении прошивок.
  • Отсутствует мультифакторная аутентификация (MFA) для сервисных аккаунтов.
  • Cred Reuse: пароли от VPN совпадают с паролями во внутренних системах.

Результат: эксплойт дает первичный доступ, а украденные в процессе валидные учетные данные позволяют злоумышленнику позже заходить через VPN как легитимный пользователь.

Кампания UNC5221 и Ivanti Connect Secure (CVE‑2025‑22457):
Актор эксплуатирует критическую уязвимость, разворачивая бэкдор DRYHOOK внутри самой логики аутентификации. Это позволяет перехватывать логины и пароли всех подключающихся пользователей (включая администраторов) в реальном времени. Далее, используя скомпрометированный шлюз, атакующие проводят DNS-разведку и эксфильтрацию данных прямо через легитимный HTTPS-трафик, оставаясь невидимыми для многих IDS.

Кейс DrayTek и Ragnar Locker:
Группировка специализируется на поиске уязвимых роутеров DrayTek на границе сети. Они извлекают и расшифровывают учетные данные, чтобы затем продать этот доступ «боевым» операторам шифровальщиков. Периметр — это не одна «дырка», а целый класс целей.

1.3. RDP: Ворота в офис через слабый пароль

Открытый порт 3389 (T1133 External Remote Services) в сочетании с перебором паролей (T1110 Brute Force) — классика жанра.

Кейс Dharma/CRYSIS:
Злоумышленники сканируют интернет, находят открытый RDP, подбирают пароль и заходят на сервер. Их действия стандартизированы:

  • Загрузка инструментов (Process Hacker, сканеры сети).
  • Удаление теневых копий командой:
    vssadmin delete shadows /all /quiet
  • Отключение антивирусной защиты.
  • Запуск шифровальщика.

Кейс RansomHub (2025):
Атака началась с Password Spraying (перебор популярных паролей по списку пользователей) на RDP-шлюзе. Атака длилась несколько часов, но из-за мягких политик блокировки (отсутствие локаута после N попыток) алерты не сработали. Получив доступ, оператор за 118 часов прошел путь до полного развертывания RansomHub, предварительно выкачав данные утилитой Rclone.

Важно: Часто RDP-брутфорсом занимаются не сами операторы шифровальщиков, а специализированные брокеры (Initial Access Brokers), которые затем перепродают готовый доступ в DarkWeb.

Этап 2. Закрепление и повышение привилегий (Persistence & Privilege Escalation)

Проникнув внутрь, оператор не спешит шифровать. В этот момент он уязвим и имеет мало прав. Ему нужно решить две задачи:

  • Persistence (TA0003): Гарантировать, что доступ сохранится после перезагрузки или смены паролей.
  • Privilege Escalation (TA0004): Поднять права от обычного пользователя до локального или доменного администратора.

Аналогия №2: Грабители в торговом центре ночью

Представьте, что злоумышленник спрятался в туалете торгового центра перед закрытием. Ночью он не бежит сразу громить кассу ближайшего магазина.
Сначала он:

  • Делает дубликаты ключей и оставляет «закладки» (открытые окна) в других помещениях на случай, если его обнаружат в первом.
  • Изучает график обхода охраны.
  • Ищет кабинет директора, где лежит ключ от сейфа (права администратора).
  • Строит маршрут, чтобы передвигаться быстро и бесшумно.

2.1. Персистентность: Чтобы дверь не захлопнулась

Атакующие используют системные механизмы для выживания: планировщики заданий (T1053), ключи реестра (T1060/T1547), создание служб (T1543).

В уже упомянутом кейсе Sophos, после доступа через Quick Assist, атакующий создал службу Windows, которая запускала легитимный файл OneDriveStandaloneUpdater.exe. Однако рядом с ним была положена поддельная библиотека winhttp.dll (техника DLL Side-Loading). При запуске легального процесса подгружался вредоносный код бэкдора.

В кампаниях BlackByte и Ryuk персистентность часто обеспечивается через модификацию групповых политик (GPO). Вредоносный скрипт прописывается в сценарии входа (Logon Scripts), гарантируя заражение любой машины, к которой подключается пользователь.

2.2. Повышение привилегий: Охота за Domain Admin

Цель — получить полный контроль над Active Directory или хотя бы права локального администратора на критических серверах (бэкапы, базы данных).

Инструментарий:

  • Mimikatz (T1003 Credential Dumping) — извлечение паролей и хешей из памяти (LSASS).
  • Эксплуатация уязвимостей (ZeroLogon, PrintNightmare и др.) для повышения прав до SYSTEM.

Кейс BlackByte 2.0 (Microsoft IR):
После входа через уязвимость ProxyShell в Exchange Server, актор имперсонировал права доменного администратора, создал веб-шеллы и получил права SYSTEM. Далее был развернут Cobalt Strike Beacon — профессиональный инструмент для эмуляции угроз, который в руках злоумышленников становится мощнейшим оружием для управления захваченной сетью.

Этап 3. Разведка и горизонтальное перемещение (Discovery & Lateral Movement)

Имея права и надежный доступ, оператор начинает изучать свои владения.

Аналогия №3: Карта офисного здания

Взломщик рисует карту офиса: где бухгалтерия, где серверная, где архив. Он отмечает, какие ключи подходят к каким дверям. Его цель — найти кратчайший путь к «сердцу» организации (контроллеру домена) и к «памяти» организации (серверам резервного копирования).

3.1. Разведка (Discovery): BloodHound как оружие

Злоумышленники используют те же инструменты, что и профессиональные пентестеры (Red Team). Стандартом де-факто стал BloodHound (и его коллектор SharpHound).

Как это работает:

  • SharpHound сканирует Active Directory: членство в группах, сессии пользователей, локальных админов, доверительные отношения.
  • BloodHound визуализирует эти данные в виде графов, строя Attack Paths (пути атаки).

Программа буквально показывает хакеру: «У пользователя X есть права на компьютер Y, где залогинен админ Z. Захвати X, перейди на Y, укради хеш Z — и ты Доменный Администратор». Группировка Maze одной из первых начала массово применять BloodHound для автоматизации поиска пути к полному контролю.

3.2. Латеральное перемещение (Lateral Movement)

Для прыжков между хостами (TA0008) используются штатные протоколы Windows, что затрудняет детектирование (техника "Living off the Land"):

  • RDP (Remote Desktop).
  • SMB (копирование файлов).
  • WinRM и WMI.
  • PsExec.

В кейсах Zscaler по группировке Dharma видно, как после первичного RDP-доступа атакующие загружают сетевой сканер (ns.exe), сканируют SMB-ресурсы в поиске общих папок и серверов, чтобы распространить полезную нагрузку дальше.

3.3. Охота за резервными копиями

Для шифровальщика критически важно лишить жертву возможности восстановиться без выкупа. Поэтому приоритетная цель — системы бэкапа (Veeam, Acronis, Arcserve, NAS-устройства).
Атакующие ищут хосты по маскам *backup*, *nas*, сканируют специфические порты. Найдя сервер резервного копирования, они:

  • Удаляют старые копии.
  • Шифруют хранилища.
  • Или просто форматируют диски.

Этап 4. Двойное вымогательство: Кража + Шифрование (Impact & Exfiltration)

С 2020 года стандартом стала модель Double Extortion. Данные сначала воруются, и только потом шифруются.

Хронология катастрофы

  • Exfiltration (TA0010): На этапах разведки хакер находит «короны» бизнеса: финансовые отчеты, базы клиентов, переписку топ-менеджмента.
  • Выгрузка: Используются легальные утилиты — Rclone, rsync, MegaSync. Трафик часто маскируется под HTTPS. В инцидентах RansomHub объемы украденных данных достигали сотен гигабайт.
  • Impact (TA0040) — Шифрование: Только после того, как данные надежно скопированы на сервера злоумышленников, запускается процесс шифрования.
    • Распространение бинарного файла (шифровальщика) через GPO или PsExec.
    • Остановка служб баз данных (SQL, Exchange), чтобы освободить файлы для записи.
    • Собственно шифрование и разбрасывание HOW_TO_DECRYPT.txt.

Жертва попадает под двойной пресс: «Не заплатите за расшифровку — данные останутся недоступны. Восстановите из бэкапа? Мы опубликуем ваши данные в паблике или сольем конкурентам». По статистике, в 96% крупных инцидентов имеет место именно хищение данных.

Связь с требованиями ОАЦ и стратегии защиты

Проанализировав анатомию атаки, становится очевидно: шифровальщик — это результат провала эшелонированной защиты. Белорусское законодательство (Приказы ОАЦ по ТиКЗИ, требования к КВО, защите ПДн) предписывает меры, которые разрывают эту цепочку (Kill Chain) на каждом этапе.

Как сломать атаку?

1. Разрыв на этапе Initial Access

  • ОАЦ: Требования к защищенным каналам связи и управлению доступом.
  • Практика:
    • MFA (Многофакторная аутентификация): Обязательна для всех внешних подключений (VPN, почта, RDP). Это делает кражу пароля бесполезной.
    • Управление уязвимостями: Регулярный патч-менеджмент периметра (VPN-шлюзов) закрывает «дырявый домофон».
    • RDP: Полный запрет прямого доступа из интернета.

2. Разрыв на этапе Persistence & PrivEsc

  • ОАЦ: Принцип наименьших привилегий, аудит действий администраторов, использование СКЗИ.
  • Практика:
    • Tiering Model: Разделение админов. Доменный админ никогда не должен логиниться на рабочей станции секретаря.
    • Контроль автозагрузки: Мониторинг появления новых служб и задач.
    • Защита LSASS: Включение Credential Guard в Windows.

3. Разрыв на этапе Discovery & Lateral Movement

  • ОАЦ: Сегментация сети (межсетевое экранирование) и контроль потоков данных.
  • Практика:
    • Сегментация: Серверы, рабочие станции и системы бэкапа должны жить в разных VLAN с жесткой фильтрацией трафика. Рабочая станция не должна «видеть» порт RDP сервера бэкапов.
    • Honeytokens: Ловушки в AD, которые детектируют запуск BloodHound или сетевое сканирование.

4. Защита от Exfiltration & Impact

  • ОАЦ: Регламенты резервного копирования, хранение копий, физическое разделение.
  • Практика:
    • Правило 3-2-1 с неизменяемой копией (Immutable Backup): Одна копия данных должна быть физически отключена от сети или защищена от перезаписи (WORM), чтобы доменный админ (или хакер с его правами) не мог ее удалить.
    • DLP и мониторинг трафика: Выявление аномальной выгрузки больших объемов данных (upload) во внешние сети.

Современный шифровальщик побеждается не антивирусом, установленным в последний момент, а архитектурой сети и процессами. Требования регуляторов и мировые best practices (MITRE, CIS Controls) направлены на одно: сделать движение злоумышленника внутри сети настолько сложным, шумным и медленным, чтобы команда защитников (Blue Team) успела обнаружить его до того, как начнется шифрование.

Помните: если вы боретесь с шифровальщиком в момент появления записки с требованием выкупа — вы уже проиграли. Битву нужно вести на этапах входа, закрепления и разведки.

Вредоносное ПО Программы-вымогатели APT-атаки Криптография

Как вам статья?

По теме
Охота за «Золотым ключом»: Криптография шифровальщиков и извлечение ключей дешифровки из оперативной памяти
Анализ инцидента: Ищем иголку в стоге сена с помощью Volatility (Часть 3)
«НЕ ДЫШАТЬ!»: Почему оперативная память — главное место преступления при атаке Ransomware
Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Не дать шанса вымогателю: строим эшелонированную защиту от шифровальщиков по методикам ОАЦ и мировым практикам

Эшелонированная защита от вирусов-шифровальщиков: методика 3-2-1-1-0, настройки RDP/VPN, сегментация сети и требования ОАЦ. Руководство по кибербезопасности

16 января 2026