Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей

Как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», программой-вымогателем как услугой может управлять как группа лиц, так и ряд отдельных злоумышленников. Что это значит? Тактики, техники и процедуры могут сильно различаться, но жизненный цикл атаки в большинстве случаев будет примерно одинаковым, поскольку злоумышленники обычно преследуют две основные цели – украсть конфиденциальную информацию из целевой сети и развернуть копию программы-вымогателя в масштабах предприятия.

В этой главе мы кратко обсудим различные этапы атак программ-вымогателей, управляемых человеком, чтобы сформировать ясное представление о жизненном цикле этих атак и подготовиться к погружению в технические детали.

● Начальные векторы атаки.

● Постэксплуатация.

● Кража данных.

● Развертывание программ-вымогателей.

Любая атака начинается с получения первоначального доступа. Это можно сделать через подключенный к внутренней сети VPN, доставленный с помощью целевого фишинга троян, развернутый с помощью взлома общедоступного приложения веб-интерфейс и даже с помощью атаки на цепочку поставок (другой термин – атака через третью сторону).