Откриване на неоткриваемото: Как CyberSense се бори с най-прикрития днес ransomware
Откуп броят на нападенията се увеличи с 41% в световен мащаб в последните месеци, с три групи, доминиращи ландшафта на заплахите: Килин, Акира, и Играй. Това, което прави тези варианти особено опасни, е тяхната разрушителна сила и усъвършенстваната им способност да повреждат данни, докато остават незабелязани от традиционните инструменти за сигурност.
Тези рансъмуер като услуга (RaaS) операциите са овладели изкуството на укриване, използвайки тактики, специално създадени, за да избегнат задействането на аларми за сигурност по време на най-критичната фаза на атака: повреждане на данни.
Активен от 2022 г., Qilin стана известен със своята хамелеоноподобна адаптивност. Тази крос-платформена заплаха цели среди с Windows и Linux/ESXi чрез фишинг кампании, открити RDP услуги, уязвимости във VPN и дори компрометиране на веригата за доставки.
Това, което отличава Qilin, е неговата персонализирана природа. Всеки пейлоуд е съобразен с всеки жертва, с уникални разширения на файловете, бележки за откуп и режими на криптиране, което прави базираното на подписи откриване почти невъзможно. Групата използва периодично криптиране, като криптира само избрани части от файловете, а не цели набори от данни. Този подход драстично намалява внезапните, мащабни промени, които обикновено алармират системите за сигурност.
Тяхната техническа сложност се простира още по-далеч: Qilin използва рефлективно DLL инжектиране, за да работи изцяло в паметта, оставяйки минимални следи по диска. Зловредният софтуер активно прекратява процеси по сигурността, изтрива дневниците на Windows Event, изтрива копия на сенки на томове и се премахва сам след изпълнение, методично заличавайки следите от своето присъствие.
Като се появи през 2023 г., Акира бързо се превърна в едно от най-разпространените семейства рансъмуер, насочено към предприятия, университети и критични услуги на множество платформи. Групата предпочита уязвимости във VPN на устройства Cisco, SonicWall и Fortinet, комбинирани с откраднати идентификационни данни и фишинг атаки.
Основната характеристика на Akira е нейната стратегия за частично криптиране. Използвайки команди от командния ред, нападателите контролират какъв процент от всеки файл се криптира — точно толкова, колкото е необходимо, за да стане данните неизползваеми, като същевременно избягват драстични системни промени, които задействат предупреждения. Техният хибриден модел за криптиране, комбиниращ ChaCha20 и RSA, осигурява светкавична скорост, намалявайки времето за откриване и реакция.
Групата също така се отличава с “живот от земята”, като използва законни инструменти като PowerShell, Rclone и WinSCP за странично движение и извличане на данни. Като превръща доверени приложения в оръжие, Akira смесва злонамерени дейности с нормални системни операции. Преди да започне криптирането, зловредният софтуер систематично спира процесите за сигурност и изтрива механизмите за архивиране, оставяйки жертвите беззащитни.
Работейки глобално от 2022 г., ransomware групата Play е насочила правителствени агенции, финансови институции и производствени гиганти в САЩ, Европа и Латинска Америка. Техните вектори на атака варират от компрометирани MSP, които позволяват последващи атаки, до експлоатиране на уязвимости в RDP, Microsoft Exchange и Fortinet системи, включително експлойти от нулев ден.
Характерната техника за избягване на Play е блоково-интермитентно криптиране, което криптира избирателни сегменти (например, всеки втори 0x100000 байта), вместо цели файлове. Това драстично намалява следата от модификациите на файловете, което прави откриването изключително трудно. Всяка атака използва уникално прекомпилиран бинарен файл с различни хеш подписи, побеждавайки инструментите за сигурност, базирани на подписи.
Групата умишлено избягва криптирането на системни файлове, което предотвратява сривове, които незабавно биха предупредили потребителите или биха задействали автоматични отговори. Данните се компресират и сегментират за извличане преди криптиране, а бележките за откуп се поставят стратегически на неуловими места, забавяйки по този начин откриването, докато не бъде нанесена максимална щета.
Въпреки различията си, и трите групи споделят обединена стратегия:
Традиционните инструменти за сигурност се затрудняват, защото са проектирани да улавят очевидни, мащабни аномалии. Тези варианти успяват точно защото са се научили да остават под тези прагове на откриване.
Реалността е сурова: не е въпросът дали вашата организация ще бъде атакувана, а кога. Защитите на мрежовия периметър, макар и съществени, не могат да гарантират предотвратяване. Това, от което организациите се нуждаят, е способността да откриват повреда на данните в момента, в който започне, независимо колко прикрита е атаката.
CyberSense адресира това предизвикателство чрез непрекъснато наблюдение на целостта на данните в критични файлове и бази данни. Вместо да разчита на поведенчески модели или сигнатури, които сложните видове рансъмуер са проектирани да избягват, CyberSense наблюдава действителната цялостност на самите ви данни.
Когато периодичното криптиране на Qilin започне да поврежда файлове, когато частичното криптиране на Akira модифицира дори малки проценти от данните, или когато блоковото криптиране на Play започне селективното си унищожаване, CyberSense открива тези промени в реално време. CyberSense Изследователска лаборатория потвърди способността на CyberSense да идентифицира атаки от всичките три варианта, както и от хиляди други семейства ransomware.
Тази способност за ранно откриване е критична. Колкото по-бързо идентифицирате повреда в данните, толкова по-малък е обхватът на поражението, толкова по-бързо е възстановяването и толкова по-ниско е общото въздействие. CyberSense осигурява увереността, че дори когато сложни нападатели пробият периметърните ви защити, ще знаете кога докосват вашите критични данни, давайки ви ценното време, необходимо за реакция, изолиране и възстановяване.
Тъй като групите за разработване на рансъмуер непрекъснато развиват своите техники за избягване, наблюдението на целостта на данните е много повече от допълнителен слой защита. То се превръща в съществената последна линия на защита.
