Kaspersky опубликовала руководство по TTPs операторов шифровальщиков

Екатерина Быстрова 23 Июня 2022 - 20:57

Домашние пользователи

Корпорации

Лаборатория Касперского

Программы-вымогатели

Программы-шифровальщики

...

Kaspersky опубликовала руководство по TTPs операторов шифровальщиков

«Лаборатория Касперского» провела анализ самых популярных тактик, техник и процедур (TTPs) восьми самых активных групп, распространяющих программы-вымогатели. Исследование показало, что различные семейства таких вредоносов совпадают более чем на половину в своих TTPs на протяжении всех этапов цепочки атак.

В отчёте представлены данные об активности Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Эти группы ведут свою деятельность по всему миру, втом числе в США, Великобритании, Германии. Смарта 2021-го по март 2022 года операторы этих групп пытались атаковать более 500 организаций вразных отраслях, среди которых промышленность, разработка софта, строительство.

Исследование рассказывает обо всех этапах атаки, излюбленных TTPs злоумышленников и преследуемых ими целях, а также о методах защиты от целевых атак операторов шифровальщиков. Также он включает правила обнаружения SIGMA, которые могут использовать специалисты SOC.

Проанализировав, какие техники и тактики, собранные в MITRE ATT&CK, применяют известные группы, эксперты нашли много сходства среди TTPs на протяжении всех этапов цепочки Cyber Kill Chain. Сходство между атаками прослеживается в следующем:

активно используется партнёрская модель Ransomware-as-a-Service (RaaS), когда создатели шифровальщика несами доставляют вредоносное ПО на устройство, а только предоставляют сервисы шифрования данных. Многие атакующие используют готовые шаблоны или инструменты автоматизации;
повторно используются старые и похожие инструменты. Это сокращает время подготовки к атаке;
повторно используются распространённые тактики, техники и процедуры, что облегчает процесс взлома. Детектировать эти техники возможно, но сделать это превентивно по всем возможным векторам угроз гораздо сложнее;
компании недостаточно оперативно устанавливают обновления и патчи, что облегчает атакующим доступ к их инфраструктуре.

«В последние годы программы-вымогатели — главный кошмар всей отрасли кибербезопасности. Операторы вредоносного ПО постоянно совершенствуют свои инструменты, и изучать все группы шифровальщиков, эволюцию их деятельности — трудоёмкий и сложный процесс даже для опытных аналитиков. Мы с гордостью представляем результаты большой аналитической работы, основанной на тщательном наблюдении за наиболее активными группами. Наш отчёт даёт подробную картину этого вида угроз и, надеемся, сможет облегчить работу всех специалистов по кибербезопасности», — комментирует Никита Назаров, руководитель группы сервисов Threat Intelligence.

В первую очередь отчёт будет интересен аналитикам SOC, командам по активному поиску угроз (Threat Hunting), аналитикам киберугроз (Сyber Threat Intelligence), специалистам по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response).

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Мая 2026 - 11:40

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники используют атаки БПЛА для продвижения фейковых телеграм-каналов

На фоне массовой атаки БПЛА на Москву и Московскую область 17 мая специалисты «Эфшесть/F6» зафиксировали распространение ссылок на сомнительные телеграм-каналы с якобы оповещениями об атаках. Ссылки кидают в открытые домовые и районные чаты от лица соседей, которые просто делятся полезным каналом.

Но, по данным «Эфшесть/F6», многие такие «соседи» — фейковые аккаунты. Злоумышленники заранее заходят в открытые чаты по доступным ссылкам-приглашениям, сидят там в спящем режиме, обрастают аватарками и фотографиями, а в нужный момент начинают раздавать ссылки. Иногда используются и угнанные учётные записи.

Каналы маскируются под сервисы оповещения: в названиях встречаются слова «Радар» и «Москва», на аватарках могут использоваться элементы официальной символики столицы. Выглядит тревожно и срочно — ровно так, как нужно, чтобы человек на нервах нажал куда не надо.

Проблема в том, что такие каналы могут использоваться не только для распространения неподтверждённой информации, но и для угона аккаунтов, мошенничества и доставки фишинговых ссылок. В одном из каналов, изученных «Эфшесть/F6», каждое сообщение сопровождалось предложением воспользоваться телеграм-ботом с названием «Обход белых списков». Формулировку потом могут поменять, но схема от этого добрее не станет.

При обращении бот предлагает средство обхода блокировок и просит внести небольшой разовый платёж. Ранее «Эфшесть/F6» уже выявляла похожие схемы с платежом всего 1 рубль, где реальной целью был не рубль, а данные банковской карты и деньги на счёте.

Есть и отдельный риск с самими ботами. Подключаясь к телеграм-боту, пользователь передаёт владельцу бота данные о своём аккаунте. А потом такой уже знакомый бот может прислать фишинговую ссылку или вредоносный файл. Сначала вас заманивают тревожными оповещениями, потом предлагают полезный инструмент, а дальше всё по классике.

Во второй половине 17 мая эксперты также обнаружили синхронные публикации сообщений об угрозах новых атак в нескольких телеграм-каналах со словами «Радар» и «Москва» в названии. Такие сообщения размещались без пояснений и комментариев, а аудитория отдельных каналов, по данным «Эфшесть/F6», заявлена от 4 тыс. до 300 тыс. подписчиков.

«Эфшесть/F6» рекомендует не подписываться на каналы с оповещениями по ссылкам из непроверенных источников. А модераторам домовых, районных и других территориальных чатов стоит отключить добавление пользователей по общедоступным ссылкам-приглашениям.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!