Gentlemen: продвинутая кампания вымогателей в критически важных отраслях
Источник: www.trendmicro.com
Группа вымогателей Gentlemen превратилась в изощрённую киберугрозу, использующую передовые тактики и адаптивные методы для компрометации корпоративных сред в ряде критически важных отраслей. По имеющимся данным, атаки затрагивают по меньшей мере 17 стран и наиболее активно направлены на производство, здравоохранение, строительство и страхование.
«Их кампания характеризуется использованием специализированных инструментов, предназначенных для обхода существующих средств защиты конечных точек предприятия и манипулирования механизмами безопасности».
Ключевые методы и тактики
Анализ показывает системный подход злоумышленников: от целенаправленной разведки до тонких манипуляций настройками безопасности в сетях жертв.
- Компрометация привилегированных учётных записей — злоумышленники добираются до учеток с расширенными правами и используют их для дальнейшего распространения по сети.
- Использование легитимных драйверов и пользовательских антивирусных утилит — приемы, позволяющие обходить средства защиты конечных точек.
- Адаптация методов «в середине кампании» — гибкая смена тактик в ответ на обнаружение и защитные меры.
- Изучение Active Directory и манипулирование Group Policy — целенаправленное изменение параметров групповой политики для развёртывания вредоносных конфигураций.
- Перемещение внутри сети — использование PsExec и других методов living-off-the-land для латерального перемещения и ухудшения протоколов безопасности посредством изменений в реестре.
- Эксфильтрация данных через легитимные средства — например, с помощью WinSCP злоумышленники надёжно и зашифрованно передают внутреннюю документацию.
- Развёртывание полезной нагрузки через NETLOGON — распространение программы-вымогателя через общий ресурс NETLOGON домена для массового воздействия.
- Финансовая мотивация — программа-вымогатель добавляет определённое расширение к файлам и оставляет записку с требованием выкупа.
Отрасли и география атаки
Наиболее часто отмечаемые цели кампании — производство, здравоохранение, строительство и страхование. Масштаб операции — как минимум 17 стран — говорит о целенаправленном и глобально организованном характере атак.
Почему атаки успешны
Успех кампании объясняется сочетанием технологической изощрённости и тактической гибкости: злоумышленники не ограничиваются «шаблонными» приёмами вымогателей, а проводят тщательную разведку и изменяют инструментарий в зависимости от защиты жертвы. Использование легитимных инструментов и механизмов управления инфраструктурой даёт им скрытность и устойчивость к стандартным средствам обнаружения.
Рекомендации по защите
Организациям рекомендуется срочно усилить меры кибербезопасности, опираясь на проверенные принципы и технологии:
- Внедрять принципы нулевого доверия (zero trust) — минимизация доверия по умолчанию и контроль доступа по принципу наименьших привилегий.
- Исключить неограниченный доступ к RDP — закрыть публичный доступ и ограничить использование RDP через защищённые каналы.
- Обеспечить многофакторную аутентификацию (MFA) — особенно для привилегированных учётных записей и удалённого доступа.
- Внедрить надёжную сегментацию сети — ограничить латеральное перемещение злоумышленников и минимизировать поверхность атаки.
- Усилить защиту конечных точек — учитывать специализированные тактики завершения процесса и включать функции защиты от несанкционированного доступа и самозащиты агентов в решениях endpoint security.
Применение этих мер повысит устойчивость организаций к методам, используемым группой Gentlemen, и поможет противостоять аналогичным продвинутым угрозам в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
