Многие результативные атаки ransomware контролируются хакерами вручную

Microsoft в новом обзоре разобрала тактику и методы некоторых наиболее опасных атак ramsomware за последние годы, управление которыми осуществлялось не автоматически, а операторами-людьми с клавиатуры.

Она предупреждает , что некоторые группы вымогателей в настоящее время используют те же навыки, что и хакеры, спонсируемые государствами, демонстрируя «обширные знания системного администрирования и распространённых ошибок в настройках безопасности сети», проводят долгую и тщательную разведку и затем атакуют разрушительными «полезными» нагрузками ransomware.

Согласно исследованиям Microsoft, такие преступные группы как REvil, Samas или SamSam, Doppelpaymer, Bitpaymer и Ryuk продемонстрировали способность беспрепятственно работать в сети и мало заботятся о скрытности своих действий.

Средний размер выкупа, требуемого Revil, составляет 260 тыс. долл., а строительная компания EMCOR Group на прошлой неделе сообщила, что атака Ryuk и последовавшие убытки от простоя ИТ ухудшили её финансовые результаты в IV квартале.

Группа Parinacota, отслеживавшаяся Microsoft на протяжении 18 месяцев, имеет более скромные запросы. Она выставляет счёт от 0,5 до 2 Bitcoins ($4500 — $18268) за компьютер, в зависимости от предполагаемой хакерами важности этой машины и её данных.

Команда Microsoft Threat Protection Intelligence Team рассказала в блоге о необычной тактике, используемой Parinacota для горизонтального распространения в скомпрометированных сетях. После проникновения в такую сеть, атакующие запускают в захваченной машине тесты на системную производительность и пропускную способность подключения к Интернету.

«Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения удалённых (RDP) атак перебором паролей против других целей. Эта тактика, не встречавшаяся у других операторов ransomware, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована», — говорится в блоге.

Некоторые компании играют на руку взломщикам, сознательно ослабляя свою внутреннюю защиту. Microsoft заявила, что ряд успешных вымогательских кампаний с человеческим участием велись против серверов, на которых антивирусное программное обеспечение и другие средства безопасности были намеренно отключены администраторами, возможно, для повышения производительности.

«Те же сервера часто не защищены брандмауэром и мультифакторной аутентификацией, имеют слабые доменные идентификаторы и нерандомизированные пароли для локального администрирования», — утверждает компания.

Своим обзором Microsoft пытается обосновать сотрудникам отделов кибербезопасности необходимость активации функций Windows Defender ATP, таких как защита от несанкционированного доступа, а также автоматических обновлений безопасности и облачного антивируса Microsoft.