Cisco Talos: хакеры-вымогатели стараются максимально задерживаться в сетях жертв

Специалисты по информационной безопасности Cisco Talos сообщили, что хакерские группировки, использующие в своих атаках вымогательское программное обеспечение, начали уделять всё больше внимания стратегиям обхода защиты для увеличения времени пребывания в скомпрометированных сетях целевых организаций. В новом отчете эксперты Cisco Talos проанализировали тактики, методы и процедуры (TTP) 14 наиболее активных группировок программ-вымогателей в период с 2023 по 2024 год.

По словам специалистов, данная тенденция является результатом постепенного перехода хакеров-вымогателей к модели двойного вымогательства. В ходе реализации этой модели киберпреступники не только крадут конфиденциальные данные у целевых организаций и угрожают опубликовать их в свободном доступе, но и блокируют доступ к файлам в системах жертв.

Исследователи отмечают, что хакерам, занимающимся вымогательским ПО, необходимо получить постоянный доступ, чтобы понять структуру сети, найти ресурсы, которые могут поддержать атаку, и определить ценные данные, которые можно украсть.

В новом отчете Cisco описывается ряд приемов, используемых злоумышленниками для уклонения от обнаружения и расширения своего присутствия в сети после первоначального доступа. Наиболее известные группы хакеров быстро сосредотачиваются на методах уклонения от защиты, среди которых стоит выделить:

1. Отключение и модификация программного обеспечения безопасности, такого как антивирусные программы, решения по обнаружению конечных точек или функции безопасности в операционной системе, для предотвращения обнаружения вредоносного ПО-вымогателя.
2. Сокрытие вредоносного ПО путем упаковки и сжатия кода, который в конечном итоге распаковывается в памяти при выполнении.
3. Изменение системного реестра для отключения оповещений безопасности.
4. Настройка программного обеспечения для запуска.
5. Блокировка определённых вариантов восстановления для пользователей.

Получив постоянный доступ, злоумышленники попытаются продвинуться по сети, найти и извлечь конфиденциальные данные, прежде чем запустить вредоносное ПО.