09.10.2025
2 хв
941
У статті пояснюється, як виявляти ранні ознаки підготовки атаки та зупиняти шифрувальників ще до запуску основного етапу. Матеріал показує типові дії зловмисників на початку вторгнення, розповідає про поширені прорахунки в захисті та підкреслює, які кроки безпеки реально допомагають запобігти інциденту. Ви дізнаєтеся, чому швидкість реагування та правильна конфігурація інструментів відіграють ключову роль у протидії ransomware.
Протягом останніх років фахівці з кіберзахисту все частіше стикаються з ситуаціями, коли зловмисники вже готують запуск програми-вимагача, але етап шифрування ще не настав. Саме цей проміжний період стає вирішальним для того, щоб вчасно зупинити атаку й не допустити її перетворення на масштабний інцидент.
Практика показує, що ключову роль у стримуванні загрози відіграють два чинники — швидке підключення команди реагування та оперативне опрацювання сповіщень систем безпеки, бажано протягом перших двох годин. Саме швидкість дій дозволяє розірвати ланцюг атаки до запуску шифрувальника.
Досвід також свідчить, що на початкових етапах нападники зазвичай використовують схожі прийоми й залишають характерні ознаки підготовки. Виявлення таких індикаторів допомагає зрозуміти, яка активність найчастіше передує серйознішій фазі атак. Окремо можна виділити типові помилки в захисті — ті самі слабкі місця, що дозволяють противнику просунутися далі.
Сукупність цих спостережень дає змогу сформувати практичні поради, які допомагають зміцнити оборону компаній і зупиняти атаки на самому початку, ще до активації шифрування.
Експерти з інцидент-респонсу пов’язують певні дії нападника з активністю, що зазвичай передує шифрувальникам. Коли зловмисники намагаються отримати доступ рівня доменного адміністратора, вони часто проходять через послідовність змін облікових записів, ескалацій привілеїв, розгортання інструментів командного контролю чи інших засобів віддаленого доступу, а також збір облікових даних або автоматизацію для внесення змін у систему. Попри те, що конкретні інструменти чи ланцюжки дій можуть відрізнятися залежно від групи, саме такі кроки роками спостерігаються у практиці фахівців. Сукупність подібних дій разом зі знайденими індикаторами компрометації та характерними тактиками й методами, притаманними операціям шифрувальників до початку власне шифрування, дає підстави класифікувати інцидент як такий, що передує атаці.
Водночас деякі з цих прийомів часто застосовують і брокери первинного доступу, які отримують контроль над системами, щоб продати його іншим зловмисникам. Через це певна частина подібних інцидентів могла бути пов’язана саме з IAB, а не з операторами шифрувальників. Проте, навіть коли кінцеву мету нападника складно встановити, експерти з високою впевненістю відзначають: тактика, що регулярно фіксується на цих етапах, майже завжди передує розгортанню програм-вимагачів. А якщо дії дійсно належали IAB, практика показує, що такі кампанії дуже часто завершуються подальшими атаками зі шифруванням після продажу доступу, що робить подібну активність однаково важливою для аналізу.
Фахівці з інцидент-респонсу проаналізували випадки за останні два з половиною роки, які були віднесені до категорії атак, що передували запуску програм-вимагачів. Метою було визначити, які дії та заходи захисту стали вирішальними для зупинення ланцюга атаки ще до етапу шифрування. Загальний огляд отриманих результатів представлений на відповідній схемі, після чого подано детальніший розбір кожної категорії, щоб показати, як саме окремі кроки допомогли зірвати плани зловмисників.
Оперативне підключення фахівців протягом одного-двох днів після перших ознак шкідливої активності (а найкраще — одразу) часто відіграє ключову роль у тому, щоб зупинити атаку ще до етапу шифрування. Щоб показати, чому це працює, варто розглянути основні переваги, які дає раннє реагування:
Передусім йдеться про такі критичні фактори:
Глибоке розуміння актуальних загроз. Аналітики можуть зіставити тактики й індикатори, помічені в інциденті, з уже відомими сценаріями атак, визначивши, чи є він частиною ширшої кампанії.
Оперативні рекомендації з ізоляції. У багатьох випадках організації, які швидко виконували інструкції, змогли уникнути серйозних наслідків і перервати підготовчі дії зловмисників.
Посилений моніторинг після стримування. Додаткові інструменти аналізу подій дозволяють переконатися, що загрозу повністю усунуто і вона не зможе повернутися.
Цей підхід не лише зупиняє розвиток атаки, а й дозволяє реагувати на неї на етапі, коли у зловмисника ще немає достатньої присутності в мережі.
Проте були й ситуації, коли затримка з реакцією давала нападникам можливість продовжити рух у ланцюжку атаки — викрадати дані, відключати захист або запускати шифрувальник. Такі випадки нерідко закінчувалися пошкодженням резервних копій, зупинкою EDR та серйозними збоями в роботі компанії.
Своєчасний моніторинг систем захисту та журналів подій дозволяє фахівцям реагувати одразу після появи перших ознак небезпеки, ізолювати активність нападника й не дати йому просунутися далі у своїй атаці. У багатьох випадках дії команди безпеки протягом двох годин від моменту отримання сповіщення з EDR або сервісів керованого виявлення й реагування давали змогу успішно стримати розвиток інциденту.
Щоб зрозуміти, як саме такі сигнали допомагають вчасно перехопити загрозу, варто звернути увагу на найбільш типові попереджувальні індикатори, які часто фіксуються на ранніх етапах:
Спроби доступу до заблокованих доменів.
Ознаки грубої сили.
Завантаження або запуск PowerShell.
Аномалії у звичній поведінці системи чи користувачів.
Створення нових облікових записів із правами доменного адміністратора.
Підключення до незнайомих публічних IP-адрес.
Команди розвідки, включно з доступом до оболонки та командами типу whoami.
Модифікація параметрів MFA для створення обхідних токенів.
Зміни в облікових записах, спрямовані на обходження вимог MFA.
Такі індикатори часто слугують раннім сигналом про розвиток шкідливої активності й дають можливість зупинити атаку ще до того, як вона перейде до критичної фази.
Майже у 15 відсотках випадків цільові організації змогли випередити загрозу своєму середовищу завдяки сповіщенням від партнерів уряду США (USG) та представників їхнього постачальника керованих послуг (MSP) про можливе розміщення програм-вимагачів у їхньому середовищі. Зокрема, Агентство з кібербезпеки та безпеки інфраструктури (CISA) Міністерства внутрішньої безпеки США започаткувало ініціативу щодо раннього попередження про потенційні атаки програм-вимагачів, метою якої є допомогти організаціям виявляти загрози та виселяти акторів до того, як буде завдано значної шкоди. Розвідувальні дані CISA переважно походять від їхніх партнерств із дослідницькою спільнотою кібербезпеки, постачальниками інфраструктури та компаніями, що займаються розвідкою кіберзагроз.
У частині випадків інцидентів саме системи захисту відігравали ключову роль, автоматично блокуючи або відправляючи в карантин шкідливі виконувані файли. Це одразу переривало ланцюг атаки й не дозволяло зловмисникам просуватися далі.
Щоб зрозуміти, чому така поведінка систем є настільки критичною, варто звернути увагу на те, що часто відбувається у менш захищених середовищах:
Захист кінцевих точок працює лише в режимі сповіщень. Продукт повідомляє про загрозу, але не блокує її.
Пасивні конфігурації дають змогу запускати шкідливе ПЗ. У таких умовах нападники можуть безперешкодно активувати свої інструменти, у тому числі шифрувальники.
Агресивніший режим істотно знижує ризики. Коли рішення безпеки налаштоване на автоматичне блокування, воно здатне зупинити атаку ще на початковій стадії.
Практика показує, що активні політики блокування значно ускладнюють рух нападників у мережі та нерідко стають вирішальним фактором, який не дозволяє атаці перейти до фази шифрування.
За результатами аналізу, жорсткі обмеження доступу в багатьох організаціях стали вирішальним фактором, що завадив розвитку атаки в дев’яти відсотках випадків. У одному з інцидентів зловмисникам вдалося скомпрометувати службовий обліковий запис, однак правильно налаштовані права доступу не дозволили їм пробитися до критичних систем, зокрема до контролерів домену, фактично зупинивши подальший рух атакувального ланцюга.
Також важливою виявилася наявність розгорнутого журналювання й системи централізованого збору подій. Організації, які мали ці інструменти, могли надати достатньо даних для точного відтворення послідовності дій зловмисника та визначення місць, де необхідні додаткові захисні механізми. У середовищах, де журналювання відсутнє або реалізоване частково, значно складніше встановити слабкі місця, що дозволили загрозі закріпитися.
Після зіставлення спостережуваних у цьому дослідженні тактик, технік і процедур зі структурою MITRE ATT&CK було визначено, що саме варіанти, подані на малюнку 2, траплялися під час інцидентів найчастіше.
Під час аналізу найпоширеніших технік атаки було виділено кілька напрямів, які зловмисники використовують найчастіше. Значну роль відіграють віддалені служби — зокрема RDP, PsExec та PowerShell, що регулярно застосовуються для доступу та переміщення всередині мережі. Також помітно поширеним є використання популярних інструментів віддаленого доступу на кшталт AnyDesk, Atera, Microsoft Quick Assist і Splashtop, які нападники застосовують для закріплення в середовищі.
Окрему категорію становлять прийоми, пов’язані з отриманням облікових даних операційної системи. Найчастіше спостерігаються дії, спрямовані на доступ до реєстру контролера домену, файлів SAM і NTDS.DIT, а також до процесу LSASS чи утиліт на кшталт AD Explorer. Інструменти для крадіжки паролів, зокрема Mimikatz, залишаються одними з найуживаніших.
Ще одним поширеним елементом є розвідка мережевих служб за допомогою команд та утиліт, таких як netscan, nltest і netview, що дозволяють виявити доступні ресурси та середовище для подальшого просування атаки.
Ці широко поширені техніки слугують важливим сигналом для команд безпеки: саме така активність найчастіше передує серйознішим фазам атак. Посилення контролю над використанням віддалених сервісів, захист інструментів віддаленого доступу та надійна охорона сховищ облікових даних здатні суттєво обмежити можливості більшості злочинців ще до переходу до шифрування.
Фахівці з інцидент-респонсу формують рекомендації для організацій після детального аналізу середовища та дій зловмисника, щоби допомогти усунути вразливості, які могли сприяти атаці. Найчастіше такі поради охоплюють кілька ключових напрямів:
Оновіть усі операційні системи та програмне забезпечення до актуальної версії.
Зберігайте резервні копії офлайн.
Налаштуйте рішення безпеки так, щоб дозволяти запуск лише перевірених безпечних програм і запобігати встановленню неочікуваного програмного забезпечення.
Вимагати багатофакторну автентифікацію (MFA) для всіх критично важливих служб, включаючи служби віддаленого доступу та керування доступом до ідентифікаційних даних (IAM), а також контролювати зловживання MFA.
Розгорніть Sysmon для покращеної видимості кінцевих точок та ведення журналу.
Впроваджуйте змістовні правила брандмауера як для вхідного, так і для вихідного трафіку, щоб блокувати небажані протоколи, які можуть використовувати зловмисники як частину їхніх дій з управління командами та збору даних або вилучення даних.
Впроваджуйте надійну сегментацію мережі, щоб мінімізувати горизонтальне переміщення та зменшити поверхню атаки, гарантуючи, що цінні активи, такі як контролери домену, не підключатимуться безпосередньо до Інтернету, окрім критично важливих функцій.
Запровадити або посилити навчання кінцевих користувачів з кібербезпеки щодо тактик соціальної інженерії, включаючи висвітлення нещодавно популярних атак, таких як атаки на виснаження багатофакторних аварій та фішингові атаки токенів «актор-посередник».
