Киберпреступники, стоящие за современными ransomware-атаками (программами-вымогателями), кардинально изменили тактику, перейдя от массового распространения вредоносного ПО к целенаправленным и скрытым операциям. Ключевым элементом этой новой стратегии стало активное использование легитимного программного обеспечения для удаленного доступа, что позволяет злоумышленникам обходить системы защиты и длительное время оставаться незамеченными в корпоративных сетях.
Использование легитимных инструментов удаленного доступа в атаках программами-вымогателями
Современные программы-вымогатели представляют собой одну из наиболее разрушительных киберугроз, шифруя критически важные данные организаций и требуя выплаты выкупа за их восстановление. В отличие от ранних кампаний, которые полагались на массовый фишинг или случайное распространение вредоносного ПО, современные операции стали высокоорганизованными и целевыми. Сегодня злоумышленники не только заражают компьютеры, но и перемещаются по сетям, собирают учетные данные, нейтрализуют системы защиты и сохраняют постоянный контроль - все это оставаясь скрытыми и уклоняясь от обнаружения.
Важно подчеркнуть, что обсуждаемые инструменты удаленного доступа являются легитимным программным обеспечением, разработанным для поддержки ИТ-администрирования и удаленной технической поддержки. Проблема заключается не в уязвимостях самих программ, а в том, как злоумышленники могут неправомерно использовать их в ransomware-кампаниях при неправильной конфигурации, слабом управлении или отсутствии мониторинга.
К числу наиболее часто используемых инструментов относятся AnyDesk, UltraViewer, AppAnywhere, RustDesk, CloneDesk, Splashtop и TightVNC. Изначально созданные для легитимных целей, многие из этих инструментов предлагают бесплатные или свободно доступные версии, что привлекает злоумышленников благодаря простоте развертывания, широкому доверию и частому включению в белые списки корпоративных сред. Эти инструменты предоставляют злоумышленникам такие возможности, как доступ без участия пользователя, передача файлов, интерактивное управление рабочим столом и использование зашифрованных коммуникаций для уклонения от сетевого мониторинга.
Организации часто добавляют инструменты удаленного доступа в белые списки и доверяют их цифровым подписям, чем и пользуются атакующие, чтобы обходить средства контроля безопасности и сохранять скрытное присутствие. Понимание методов неправомерного использования этих инструментов становится критически важным для построения эффективной защиты от современных ransomware-угроз.
Цепочка атаки программы-вымогателя
Цепочка атаки программы-вымогателя описывает каждый этап - от первоначального доступа до финального воздействия. Когда злоумышленники leverage (используют) легитимные инструменты удаленного доступа, они получают скрытность, устойчивость и контроль, что значительно усложняет обнаружение и устранение угрозы.
Первый этап, «Первоначальный доступ», обычно связан с компрометацией учетных данных. Атакующие получают легитимный доступ, используя украденные или подобранные с помощью brute-force (перебора) учетные данные, обходя защитные системы и маскируясь под доверенных пользователей. Особенно часто целью становятся учетные записи администраторов, что обеспечивает максимальный контроль и позволяет выполнять последующие этапы, такие как развертывание инструментов удаленного доступа и латеральное перемещение. К индикаторам компрометации на этом этапе относятся множественные неудачные попытки входа в систему, за которыми сразу следует успешный вход, а также RDP-подключения в нерабочее время или с неожиданных геолокаций.
На этапе «Неправомерное использование инструментов удаленного доступа» злоумышленники фокусируются на их развертывании для скрытного сохранения доступа. Они могут либо захватить уже установленный инструмент, чтобы избежать обнаружения, либо выполнить тихую установку с использованием подписанных инсталляторов с минимальным следом. Тихая установка часто использует известные командные флаги, документацию поставщиков или методы обратной разработки для поиска параметров развертывания. Например, для установки AnyDesk может использоваться команда "anydesk.exe -install C:\ProgramData\AnyDesk-silent -start-with-win", а для UltraViewer - "UltraViewer_Setup.exe /VERYSILENT /NORESTART".
Третий этап, «Устойчивость и консолидация привилегий», включает использование ключей автозапуска в реестре, скрытых запланированных задач и модификаций конфигурационных файлов для поддержания присутствия в системе. Эскалация привилегий достигается с помощью таких инструментов, как PowerRun, что позволяет запускать инструменты удаленного доступа с правами SYSTEM и обходить ограничения на уровне пользователя.
Четвертый этап, «Нейтрализация антивирусной защиты и противодействие компьютерной криминалистике», предполагает интерактивную остановку антивирусных служб, манипуляцию групповыми политиками и добавление каталогов с инструментами удаленного доступа в списки исключений. Критические журналы событий очищаются, а для удаления артефактов, представляющих интерес для расследования используются инструменты безопасного удаления файлов, что значительно затрудняет пост-инцидентный анализ.
На этапе «Развертывание и выполнение полезной нагрузки» злоумышленники останавливают антивирусные службы, модифицируют политики безопасности, отключают механизмы восстановления и используют Living-off-the-Land Binaries (LOLBins), такие как rundll32 или PowerShell, чтобы смешать вредоносные действия с легитимными процессами. Эти действия обеспечивают минимальную видимость для защитников и создают безопасную среду для выполнения программы-вымогателя.
Шестой этап, «Латеральное расширение», облегчается за счет повторного использования учетных данных, распространения инструментов удаленного доступа или эксплуатации их корпоративных развертываний. Индикаторами могут служить множественные подключения инструментов удаленного доступа с разных конечных точек, а также несанкционированные запланированные задачи или модификации реестра на различных компьютерах.
Финальный этап, «Воздействие - шифрование и блокировка», включает выполнение ransomware-полезной нагрузки, которое запускает шифрование данных, блокировку учетных записей или изменение учетных данных инструментов удаленного доступа для предотвращения восстановления. Такие кампании, как LockBit, Black Basta и другие варианты, наглядно демонстрируют этот завершающий этап в реальных атаках.
Реальные примеры кампаний и тактики злоумышленников
Анализ реальных инцидентов показывает четкую связь между конкретными инструментами удаленного доступа и ransomware-кампаниями. Например, AnyDesk активно используется в кампаниях TargetCompany, LockBit, Mallox и Phobos. UltraViewer ассоциируется с такими программами-вымогателями, как Beast, CERBER и LockBit 3.0. RustDesk и Splashtop также часто встречаются в арсенале современных киберпреступных групп.
Понимание тактик, техник и процедур (TTP), используемых противниками, имеет решающее значение для защиты от ransomware-кампаний, использующих инструменты удаленного доступа. Сопоставление этих активностей с фреймворком MITRE ATT&CK позволяет командам безопасности визуализировать, как атакующие получают доступ, развертывают инструменты, сохраняют устойчивость, повышают привилегии и в конечном итоге доставляют разрушительные полезные нагрузки.
В условиях растущей сложности кибератак организациям необходимо расставлять приоритеты в мониторинге легитимных инструментов удаленного доступа, уже присутствующих в их сетях, наравне с отслеживанием традиционных вредоносных угроз. Только комплексный подход, включающий строгий контроль доступа, регулярный аудит конфигураций и активный мониторинг сетевой активности, может эффективно противостоять этой развивающейся и опасной тенденции.
