Чаще всего шифровальщики-вымогатели попадают в корпоративную сеть из почты, через уязвимости в ПО или через незащищенные удаленные соединения. Вариант с намеренной активацией вредоноса инсайдером маловероятен. Однако, как показывает практика, некоторые злоумышленники считают такой метод доставки шифровальщика вполне рабочим.
Инновационная схема доставки
Звучит, конечно, достаточно нелепо, но некие люди ищут соучастников через спам-рассылки. В письме прямым текстом предлагают «40% миллиона долларов в биткойнах» людям, которые могут установить и запустить шифровальщик Demonware на основном windows-сервере своей компании.
Исследователи притворились заинтересованными и получили ссылку на архив вместе с инструкцией по запуску вредоноса. Однако, по всей видимости, автор рассылки был достаточно неопытным киберпреступником, поскольку исследователи из Abnormal Security без труда разговорили его и выяснили все детали схемы. Автор представился молодым человеком из Нигерии, пытающимся собрать средства для запуска собственного бизнеса. Адреса, по которым он рассылал свои письма, преступник добыл при помощи платформы LinkedIn, причем целился он в топ-менеджмент компаний. Сначала планировал использовать традиционную рассылку вредоноса в письме, но отказался от этой идеи из-за высокой эффективности защитных решений.
В чем подвох
Одним из аргументов, при помощи которых злоумышленник пытался убедить собеседников в безопасности участия в проекте, было утверждение, что шифровальщик уничтожит все следы, включая возможные записи с камер. Кроме того, он советовал удалить исполняемый файл, чтобы не оставлять зацепок. Можно было бы предположить, что он планирует обмануть собеседника, — ведь по большому счету после того, как сервер будет зашифрован, организатору будет все равно, что случится с исполнителем. Однако, по всей видимости, он действительно не понимает, как проходит цифровое расследование.
О его неопытности также говорит и то, что он использует Demonware. Хотя этот шифровальщик и применяется злоумышленниками в реальных атаках, на самом деле это достаточно несложный вредонос, исходники которого доступны на GitHub. Сделан он якобы для демонстрации того, как легко написать шифровальщик.
Как оставаться в безопасности
Хотя данный пример скорее анекдотичен, на самом деле участие инсайдеров в атаке шифровальщика может быть вполне реальным. Разумеется, запускать вредонос в сети никто не будет, более вероятен сценарий продажи доступа к информационным системам компании.
Рынок доступа в корпоративную сеть существует в даркнете уже достаточно давно, и вымогатели нередко покупают его у других преступников, так называемых брокеров первоначального доступа (Initial Access Brokers). И вот они как раз могут быть заинтересованы в покупке данных для удаленного доступа к сети или облачным серверам компании. Объявления о такой покупке, рассчитанные на недовольных или уволенных сотрудников, действительно можно встретить в даркнете.
Чтобы ваша компания не стала жертвой атаки шифровальщика через слитый доступ, мы рекомендуем:
- Придерживаться стратегии минимальных привилегий;
- Вести строгий учет доступов к сети и серверам компании, отзывая права и меняя пароли при увольнении сотрудников;
- Устанавливать на всех серверах защитные решения, способные справиться с современными вредоносами;
- Использовать решения класса Managed Detection and Response, которые позволят выявить подозрительную активность в вашей сети до того, как злоумышленники успеют нанести реальный ущерб.