От детекта до recovery: пошаговый гайд по реагированию на ransomware-атаки. Часть первая: актуальные угрозы и основы реагирования
От финансово мотивированных кибератак, прежде всего ransomware, не застрахованы ни производственные предприятия, ни IT-аутсорсеры, ни любые другие компании. Руководитель отдела реагирования на инциденты Бастион Семён Рогачёв рассказывает о том, как современные российские компании реагируют на подобные атаки.
Актуальность ransomware-угрозы: статистика и громкие случаи 2024–2025
По данным крупных мировых вендоров, число атак с применением вирусов-шифровальщиков в 2024 году выросло на 35%. Среди громких случаев — атаки на больницы в Европе, крупную IT-аутсорсинговую компанию в России и логистическую сеть в Азии. Потери бизнеса в связи с такими происшествиями составили десятки миллионов долларов.
Раньше многие компании успокаивали себя тем, что у них нет данных, интересных хакерам. Сегодня ситуация изменилась: злоумышленников все чаще интересует не столько информация, сколько деньги. Чем быстрее хакеру удастся взломать и зашифровать систему, тем выше шанс получить выкуп.
Как сообщает Positive Technologies и другие источники, в прошлом году количество успешных атак в России выросло почти вдвое по сравнению с 2023 годом. Информзащита фиксирует, что 17 % всех атак ransomware приходится на промышленные предприятия, 10 % — на здравоохранение и строительство. Отчет «Кода Безопасности» показывает, что в 2024 году почти 29 % кибератак пришлось на финансовый сектор, 28 % — на госучреждения.
При этом публичных признаний ransomware-атак немного:
1. Росэлторг. В ночь на 9 января 2025 известная электронная торговая площадка признала атаку с использованием шифровальщика. Было заявлено об утрате около 550 ТБ информации, включая резервные копии, почтовые базы и серверные данные. Инцидент вызвал остановку торговых операций. В конечном итоге компания смогла восстановить инфраструктуру, а сроки торгов были продлены.
2. WSS-Consulting. В июне 2024 г. российский разработчик СЭД сообщил о компрометации серверов злоумышленниками и шифровании данных. После инцидента компания провела полную переустановку ОС и устранила уязвимости в течение примерно 10 дней.
3. Stoli Group. В августе 2024 года производитель «Столичной» водки заявил о ransomware-атаке на свою инфраструктуру. Злоумышленники парализовали ERP-систему, из-за чего бизнес-процессы пришлось временно перевести в ручной режим. Потери бизнеса были оценены в $78 млн, и к концу года компания подала заявление о банкротстве.
Перечень российских TI-отчетов и аналитики:
| Отчет / Источник | Основные выводы |
| Solar JSOC (II квартал 2024) | 381 000 инцидентов (+17 %), 44 % — кибернаемники |
| Qrator Labs / Curator(2024) | +53 % DDoS-атак, рекорд — 1,14 Тбит/с; FinTech лидирует в атаках |
| InfoWatch EAC (2023–2024) | Россия — 2-е место по числу утечек (8,5 % мировых) |
| Kaspersky Cyber Threat Intel | 51,86 % пользователей и компаний пострадали в 1 кв. 2024 |
| Известия / Бастион | Рост кибератак на 60 %; рост утечек на 50 % |
| Газета.Ru / StormWall | Телеком — 28 % DDoS-атак в 2024 г. |
Реальные цифры, вероятно, гораздо выше: многие инциденты остаются нераскрытыми или замалчиваются самими пострадавшими компаниями, которые не желают портить себе репутацию. Притом почти половина атак ransomware в России — дело рук кибернаемников.
Бороться нельзя реагировать (,): ransomware и противостояние таким атакам
Теперь оставим статистику и рассмотрим, что же представляют из себя атаки ransomware в общих чертах и как с ними бороться. Впрочем, «борьба» — не самое корректное слово в этом случае. Но не будем забегать вперед.
Непосредственно вымогательство — лишь видимая верхушка айсберга. Любая такая атака — это многоходовка из целого ряда этапов и подэтапов:
- получение первоначального доступа;
- внутренняя разведка;
- повышение привилегий;
- закрепление;
- перемещение по сети (lateralmovement);
- шифрование данных и вымогательство (то, ради чего все затевалось).
Подход Unified KillChain, объединяющий модели MITRE и Lockheed Martin KillChain, представляет атаку как циклический процесс, включающий этапы in (внедрение), through (перемещение) и out (эксфильтрация, воздействие на инфраструктуру). Таким образом, ransomware — это не отдельная угроза, а один из возможных финалов атаки.
Таких злоумышленников часто определяют по TTPs — тактикам и процедурам. Но даже это не дает стопроцентного понимания целей атакующих.
Зачастую все указывает на группировку, которая обычно использует программы-вымогатели. Но на сей раз мотивация злоумышленников может быть совершенно другой, например, просто похищение данных.
Провести четкую границу между ransomware-группировками и прочими хакерскими объединениями особенно сложно в случае с проукраинскими киберактивистами, применяющими широкий спектр инструментов и методов атаки.
Возвращаясь к «борьбе с ransomware» — это скорее эффектная фраза, чем реальность. Все-таки борьба подразумевает стратегическую инициативу, системное противостояние и возможность победить. В реальности противодействие хакерам-вымогателям всегда сводится к реакции. Безопасникам приходится безвылазно «отстреливаться из окопов», так и не переходя в контратаку.
Задача безопасника — минимизировать ущерб от уже свершившейся атаки. Притом, если в сети детектируется шифровальщик, то вы, скорее всего, уже проиграли. Атакующий крайне редко запускает программы-вымогатели, не имея доступа с привилегиями доменного администратора. С этим надо бороться на более ранних этапах.
Если атакующий просто выкачивает базу данных, он может остаться незамеченным, а если в конце запускается шифровальщик, то все становится очевидно. Но логика атаки, инструментарий и способы проникновения в обоих случаях часто ничем не отличаются. Государственные APT-группировки, возможно, используют более продвинутые инструменты — zero-day эксплойты, уникальные бэкдоры. Но и здесь нет четкой границы.
Ransomware — это скорее способ монетизации доступа к инфраструктуре наряду с продажей данных или вымогательством через DDoS.
Сегодня атакующие часто комбинируют техники: сначала сливают данные, потом шифруют и угрожают опубликовать.
Поэтому говорить о «борьбе с ransomware» — не только неточно, но и вредно с точки зрения стратегического планирования защиты. Гораздо корректнее говорить о реагировании на инциденты, противодействии вторжению в инфраструктуру и снижении рисков от киберугроз в целом. Как же можно снизить эти риски?
Косвенные индикаторы зрелости
Можно выделить три основных индикатора зрелости.
Покрытие инфраструктуры СЗИ и централизованный мониторинг. Нельзя встретить хакера-вымогателя во всеоружии, не контролируя всей инфраструктуры. Основа основ — это телеметрия: сбор и агрегация логов, наличие SIEM-системы, EDR-решений и других инструментов, позволяющих видеть картину в реальном времени. Без этого команда ИБ будет реагировать на последствия, не понимая первопричин и масштаба поражения.
Нередко инцидент обнаруживается не в момент атаки, а уже постфактум, когда данные украдены и зашифрованы. Это значит, что все линии защиты и мониторинга не сработали или их вовсе не было.
Качество сетевой архитектуры и разделение ролей. Даже самая быстрая команда не сможет эффективно сдерживать атаку, если инфраструктура построена хаотично. Сегментированная сеть, разграниченные права доступа, отдельные среды для пользователей и сервисов — все это значительно усложняет работу злоумышленника и замедляет распространение атаки. Если же внутренняя сеть представляет собой «плоское болото», где любой сотрудник способен получить доступ к критичным сервисам, то успешный фишинг или компрометация учетки может стать катастрофой. В организации со зрелым кибербезом все понимают, кто за что отвечает, где расположены сервисы и где проходит граница допустимого доступа.
Asset management и инвентаризация. Нельзя защитить то, о чем не знаешь. Это касается не только серверов и рабочих станций, но и теневых IT-ресурсов: забытых сервисов, старых тестовых сред, отдельных облачных аккаунтов. Инвентаризация должна включать все уровни инфраструктуры: от корпоративных облаков до ноутбуков филиалов и серверов в подвале. Особенно важно наличие актуального списка ответственных за каждый компонент. В случае инцидента дорога каждая минута, а отсутствие контакта с нужным администратором выливается в немалые потери.
Практические тесты
Без регулярных проверок механизмов защиты на практике организация рискует перейтик «реагированию по бумажке». Это не самый лучший подход в условиях реальной атаки.
«Тест выходного дня»: проверка возможности экстренного реагированияКак известно, хакеры работают без выходных и праздников. Активность злоумышленников лишь возрастает, когда бизнес и штатные безопасники отдыхают. Только представьте: в ночь с субботы на воскресенье отключается сегмент сети, блокируется доступ или происходит сбой в работе критичного сервиса. Сымитировав такое «неурочное» происшествие, ИБ-служба сможет ответить на ряд ключевых вопросов:
- кто отреагирует на инцидент в нерабочие часы;
- насколько оперативно подключится SOC;
- сколько времени займет реагирование;
- как быстро эскалируется проблема;
- есть ли у безопасников постоянный доступ к нужным инструментам;
- какой канал коммуникации использовать, если основной мессенджер недоступен;
- насколько эффективна коммуникация?
Такие проверки часто выявляют реальные узкие места: нет доступа к VPN, SOC «спит», решения принимаются слишком медленно. Зачастую всплывают излишняя зависимость ИБ от конкретных админов, отсутствие дежурных, неработающие процедуры эскалации и другие камни преткновения.
Purple team и пентестинг как проверка реальной готовности. Учения с участием red/purpleteam помогают адекватно оценить способность организации отразить реальные атаки.
Основой для таких сценариев выступает Threat Intelligence:
- актуальные TTP конкретных группировок;
- известные цепочки проникновения;
- уязвимости, эксплуатируемые в вашем секторе.
Важно, чтобы учения были по-настоящему боевыми: необходимо использовать реалистичные сценарии, максимально приближенные к возможной атаке на инфраструктуру компании.
Только тогда удастся понять, насколько хорошо работает защита и где остаются слепые зоны. К тому же учения без «чит-кода» позволяют оценить качество взаимодействия между командами: кто отвечает за containment, принимает решения и коммуницирует с бизнесом и пользователями. Все это сложно увидеть «на бумаге», но отлично проявляется на практике.
Не повредят и регулярные учения с привлечением внешних специалистов, ведь даже зрелые команды ИБ и SOC нуждаются в экспертном взгляде со стороны.
Привлечение внешних команд пентестеров, консультантов и forensic-специалистов позволяет:
- оценить blindspots, которые не видны изнутри;
- выявить расхождения между процедурами на бумаге и действиями в реальности;
- собрать ценный фидбэк по подготовке, скорости реакции и коммуникации.
Подобные учения с обязательным разбором ошибок и корректировкой сценариев следует проводить не реже одного-двух раз в год.
Сегодня ИБ-специалисты стараются «предсказывать» атаки, а не просто бороться с ними.Регулярные мониторинг, инвентаризация, тренировки и тесты — основа безопасности, указывающая на зрелость компании.Вирусы-шифровальщики лишь одна из потенциальных угроз, к которой ИБ-команда должна быть готова.
Автор: Руководитель отдела реагирования на инциденты Бастион Семён Рогачёв.
