T1486: Шифрование данных
Злоумышленники могут зашифровывать данные (как на отдельных системах в сети, так и массово) с целью нарушения доступа к системным и сетевым ресурсам. Они могут зашифровать файлы или данные, сохраненные на локальных и удаленных дисках, чтобы лишить пользователей доступа к ним; при этом ключ расшифровки остается у них. Эта техника может применяться с целью получения от жертвы денежной компенсации в обмен на расшифрованные данные или ключ расшифровки (программы, реализующие такую атаку, известны как вымогатели). Если злоумышленники не сохранили ключ расшифровки или отказываются передать его, организация может навсегда потерять доступ к данным.
Программы-вымогатели обычно зашифровывают распространенные пользовательские файлы, такие как документы Office, PDF-файлы, изображения, видео- и аудиофайлы, текстовые файлы или файлы с исходным кодом. Эти файлы часто переименовываются и (или) маркируются особыми метками. Для получения доступа к этим файлам с целью дальнейшей манипуляции ими злоумышленникам могут понадобиться другие техники, такие как Изменение разрешений для файлов и каталогов или Завершение работы или перезагрузка системы. В некоторых случаях злоумышленники могут зашифровать критические системные файлы, разделы диска или MBR.
Чтобы причинить целевой организации максимальный ущерб, злоумышленники могут добавить во вредоносное ПО для шифрования данных аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows. Вредоносные программы-шифровальщики также могут использовать технику Дефейс внутренних систем, например изменять обои на устройстве жертвы или запугивать ее, отправляя требования выкупа или другие сообщения на подключенные принтеры (атака "print bombing").
Объекты хранилища в скомпрометированных облачных учетных записях также могут быть зашифрованы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_impact: PT-CR-1996: Creation_of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, хранящихся в пользовательских каталогах. |
---|
ID | DS0010 | Источник и компонент данных | Облачное хранилище: Изменения в облачном хранилище | Описание | Отслеживайте новые события в облачных средах, которые могут указывать на аномальные изменения объектов хранилища. |
---|
ID | DS0033 | Источник и компонент данных | Сетевая папка: Доступ к сетевой папке | Описание | Отслеживайте неожиданные обращения к сетевым папкам на целевых системах или на большом количестве систем. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для уничтожения данных, таких как |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов в пользовательских каталогах. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для уничтожения данных, таких как vssadmin, wbadmin и bcdedit. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 включите облачную защиту и правила Attack Surface Reduction (ASR), чтобы блокировать выполнение файлов, похожих на программы-вымогатели . |
---|
ID | M1053 | Название | Создание резервной копии данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания и тестирования резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления. По возможности включите версионность в облачных средах для сохранения резервных копий объектов хранения. |
---|