Кибератаки с использованием программ-вымогателей (ransomware) начинаются не с шифрования файлов. Они начинаются с разведки. Именно крупную операцию по сбору разведывательных данных мы наблюдали в рождественские праздники. С 25 по 28 декабря один оператор систематически сканировал интернет на наличие уязвимых систем, тестируя более 240 различных эксплойтов и фиксируя каждое успешное попадание. Эти данные - свежий каталог подтверждённых уязвимостей - с высокой вероятностью будут использованы для целевых атак на протяжении всего 2026 года.
Описание
Эта модель разделения труда отражает современную экономику программ-вымогателей. Брокеры начального доступа (Initial Access Brokers, IAB) действуют как авангард. Они не шифруют данные и не требуют выкуп. Их специализация - поиск и проверка точек входа в корпоративные сети. Затем они продают этот доступ группам, которые занимаются непосредственно монетизацией атак, на криминальных форумах. То, что произошло на Рождество, было активным пополнением «складских запасов» со стороны предложения этого чёрного рынка.
Операция велась с двух IP-адресов хостинг-провайдера CTG Server Limited (AS152194): 134.122.136[.]119 и 134.122.136[.]96. Запросы отправлялись каждые 1-5 секунд, причём каждая цель получала 11 различных типов пробных атак. Для подтверждения успешной эксплуатации уязвимости злоумышленник использовал технологию Out-of-Band Application Security Testing (OAST). Когда система оказывалась скомпрометирована, она совершала исходящий запрос на управляемый атакующим сервер обратных вызовов.
Было идентифицировано более 57 000 уникальных OAST-поддоменов, связанных с платформой Interactsh от ProjectDiscovery. Используемый инструментарий соответствует масштабному применению открытого сканера уязвимостей Nuclei. Аналитики GreyNoise смогли декодировать данные из поддоменов, используя методики, представленные в 2024 году. Кампания прошла в две волны: первая использовала оба IP-адреса в рождественские дни, а вторая, через 12 часов, добавила ещё 13 шаблонов атак. Сетевые отпечатки JA4 и общий идентификатор машины в 98% попыток подтверждают, что это был один оператор, а не скоординированная группа.
Выбор времени не был случайным. Праздничные периоды часто означают минимальную укомплектованность штата службы безопасности, задержки в реагировании на оповещения и сокращённый анализ логов. Сканирование, которое в рабочие дни было бы быстро обнаружено и заблокировано, могло беспрепятственно продолжаться в течение четырёх дней. Собранные за это время данные об уязвимостях не теряют актуальности с окончанием кампании - они превращаются в каталог для будущих операций.
Инфраструктура также вызывает вопросы. Хостинг-провайдер CTG Server Limited, зарегистрированный в Гонконге, несмотря на молодой возраст, контролирует около 201 000 IPv4-адресов. Ранее исследовательская компания Silent Push идентифицировала эту автономную систему как ведущую для фишинговых доменов в определённой инфраструктуре CDN. Сеть также анонсирует так называемые bogus-маршруты, что является признаком плохой сетевой гигиены, а многие её IP-адреса уже находятся в чёрных списках. Такой профиль предполагает, что провайдер применяет минимальные меры по противодействию злоупотреблениям, что делает его привлекательным для злоумышленников.
Компаниям рекомендуется проверить логи серверов и сетевого оборудования за период с 25 по 28 декабря на наличие обращений с указанных IP-адресов. Также необходимо изучить DNS-логи на предмет запросов к OAST-доменам, таким как oast[.]pro, oast[.]site, oast[.]me и другим. Обнаружение таких совпадений означает, что злоумышленник подтвердил наличие уязвимости в вашей среде. Следовательно, у него теперь есть данные о том, как получить доступ, и эти данные, возможно, уже выставлены на продажу.
Хотя нет доказательств связи этой кампании с государственными группами, высококачественные разведывательные данные об уязвимостях редко остаются в узком кругу. Исторически подобная информация приобреталась или собиралась группами, связанными с государствами, для достижения долгосрочных целей, таких как доступ к критической инфраструктуре или шпионаж. Таким образом, непосредственная угроза исходит от программ-вымогателей, но в долгосрочной перспективе эти же пути доступа могут быть использованы для саботажа или подготовки к будущим конфликтам.
Массовое сканирование во время праздников - не новость, но масштаб и систематичность этой кампании выделяются. Атакующие и дальше будут использовать предсказуемые периоды, когда защита ослаблена. Этот факт необходимо закладывать в планирование мер безопасности. Наличие персонала в праздничные дни, правила обнаружения OAST-запросов - всё это имеет критическое значение. Если же эта кампания затронула вашу инфраструктуру, следует исходить из того, что кто-то уже точно знает, где находятся ваши уязвимости.
