MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1486: Шифрование данных

Злоумышленники могут зашифровывать данные (как на отдельных системах в сети, так и массово) с целью нарушения доступа к системным и сетевым ресурсам. Они могут зашифровать файлы или данные, сохраненные на локальных и удаленных дисках, чтобы лишить пользователей доступа к ним; при этом ключ расшифровки остается у них. Эта техника может применяться с целью получения от жертвы денежной компенсации в обмен на расшифрованные данные или ключ расшифровки (программы, реализующие такую атаку, известны как вымогатели). Если злоумышленники не сохранили ключ расшифровки или отказываются передать его, организация может навсегда потерять доступ к данным.

Программы-вымогатели обычно зашифровывают распространенные пользовательские файлы, такие как документы Office, PDF-файлы, изображения, видео- и аудиофайлы, текстовые файлы или файлы с исходным кодом. Эти файлы часто переименовываются и (или) маркируются особыми метками. Для получения доступа к этим файлам с целью дальнейшей манипуляции ими злоумышленникам могут понадобиться другие техники, такие как Изменение разрешений для файлов и каталогов или Завершение работы или перезагрузка системы. В некоторых случаях злоумышленники могут зашифровать критические системные файлы, разделы диска или MBR.

Чтобы причинить целевой организации максимальный ущерб, злоумышленники могут добавить во вредоносное ПО для шифрования данных аналогичную червям функциональность для распространения по сети с использованием таких техник, как Существующие учетные записи, Получение дампа учетных данных и Общие SMB- и административные ресурсы Windows. Вредоносные программы-шифровальщики также могут использовать технику Дефейс внутренних систем, например изменять обои на устройстве жертвы или запугивать ее, отправляя требования выкупа или другие сообщения на подключенные принтеры (атака "print bombing").

Объекты хранилища в скомпрометированных облачных учетных записях также могут быть зашифрованы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-1996: Creation_of_Many_Identical_Files: Создание большого количества файлов (более 200) с одинаковым именем в разных каталогах за короткий промежуток времени. Это может косвенно свидетельствовать об активности криптолокеров, которые, шифруя файлы, оставляют в каждом из зашифрованных каталогов файлы с одинаковыми именами, содержащие требования злоумышленников

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, хранящихся в пользовательских каталогах.

IDDS0010Источник и компонент данныхОблачное хранилище: Изменения в облачном хранилищеОписание

Отслеживайте новые события в облачных средах, которые могут указывать на аномальные изменения объектов хранилища.

IDDS0033Источник и компонент данныхСетевая папка: Доступ к сетевой папкеОписание

Отслеживайте неожиданные обращения к сетевым папкам на целевых системах или на большом количестве систем.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для уничтожения данных, таких как vssadmin, wbadmin и bcdedit.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов в пользовательских каталогах.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) выполнение командных строк, которые могут использоваться для уничтожения данных, таких как vssadmin, wbadmin и bcdedit.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 включите облачную защиту и правила Attack Surface Reduction (ASR), чтобы блокировать выполнение файлов, похожих на программы-вымогатели .

IDM1053НазваниеСоздание резервной копии данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания и тестирования резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать с целью получения доступа и уничтожения резервных копий для предотвращения восстановления. По возможности включите версионность в облачных средах для сохранения резервных копий объектов хранения.