Согласно новому исследованию Cisco Talos, злоупотребление программным обеспечением и службами удалённого доступа является наиболее распространённым индикатором «пред-вымогательства» (pre-ransomware).
Эксперты отметили, что злоумышленники часто используют легитимные службы удалённого доступа — например, RDP, PsExec и PowerShell, и эксплуатируют соответствующее ПО: AnyDesk, Atera и Microsoft Quick Assist. Cisco определила эти тактики, методы и процедуры (TTP) как часть усилий киберпреступников по получению прав администратора домена корпоративного уровня в скомпрометированных системах.
Пред-вымогательством называется этап атаки, на котором хакеры выполняют такие предваряющие полномасштабное шифрование действия, как повышение привилегий, сбор учётных данных и развёртывание удалённого доступа. В качестве мер противодействия безопасники предлагают разрешать запуск только проверенных приложений, использовать многофакторную аутентификацию (MFA) для всех критически важных служб, а также инструменты вроде «Системного монитора» в Windows — для отслеживания и ведения журналов конечных точек.
Другими тактиками, применяемыми до начала акции вымогателей, названы сброс учётных данных операционной системы и обнаружение сетевых служб с использованием netscan, nltest и netview. По мнению исследователей, «приоритетное ограничение использования служб и ПО удалённого доступа может помочь ограничить большинство злоумышленников, задействованных в этих предаварийных атаках».
Аналитики Cisco Talos считают быстрое реагирование критически важным для предотвращения серьёзных кейсов, связанных с вымогательским софтом. Так, при активации службы реагирования Talos в течение одного-двух дней с момента первого обнаружения атаки, запуск программ-вымогателей был пресечён в 32% случаев. Оповещение EDR/MDR, которое приводило к локализации атаки службами безопасности в течение двух часов, было выявлено как фактор, способствовавший предупреждению ещё 32% инцидентов. Положительную роль сыграли и уведомления от госструктур.
Усам Оздемиров
