Шифровальщики : Как реагировать на атаки с использованием программ-вымогателей

ШИФРО-
ВАЛЬ-
ЩИКИ

Oleg 
Skulkin

INCIDENT 
RESPONSE
TECHNIQUES FOR
RANSOMWARE
ATTACKS

Understand modern ransomware 
attacks and build an incident 
response strategy to work 
through them

Москва
2023

Олег 
Скулкин

ШИФРО-
ВАЛЬ-
ЩИКИ

Как реагировать 
на атаки 
с использованием 
программ-вымогателей

УДК 004.89
ББК 32.973.4:16.8
 
С46

Скулкин О.
С46 
 
Шифровальщики :  Как реагировать на атаки с использованием программ-
вымогателей / Олег Скулкин. — М. : Альпина ПРО, 202 3. — 205 с.

ISBN  978-5-206-00080-1

Шифровальщики — это программы, которые находят уязвимости в сетях пред-
прияти я, чтобы потом с помощью этих уязвимостей внедриться в сет и, завладеть 
ценной для предприятия информацией и далее вымогать деньги из руководства компании. 
Разумеется, программы эти создаются людьми, которые могут как объединяться 
в преступные группы, так и действовать поодиночке.
В последние годы  растет число кибератак именно с помощью программ-шифровальщиков. 
К сожалению, этот тренд не обошел и Россию : количество таких атак 
только за 2021 г. выросло более чем в три раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, 
выдающегося эксперта не только в российской, но и в международной цифровой 
криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — 
от истории атак до цифровых улик.  Внутри его повествования вполне естественно 
выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
По мнению автора (а  оно основано на более чем десятилетнем опыте работы 
в сфере информационной безопасности), сети и деньги предприятия можно уберечь, 
если понимать жизненный цикл атак программ-вымогателей . Об этом цикле подробно 
рассказывается во второй главе книги, а также в последней главе, где автор помогает 
читателям научиться реконструировать универсальный жизненный цикл атаки, 
которому подчиняются все шифровальщики, какими бы индивидуальными особенностями 
они ни  обладали.

УДК 004.89
ББК 32.973.4:16.8

ISBN  978-5-206-00080-1 (рус.)
ISBN  978-1-80324-044-2 (англ.)

Copyright © 2022 Packt Publishing
© Перевод, о формление . ООО «Альпина ПРО», 
2022

Все права защищены. Никакая часть этой книги не может 
быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами, включая размещение 
в сети Интернет и в корпоративных сетях, а также 
запись в память ЭВМ для частного или публичного 
использования, без письменного разрешения владельца 
авторских прав. По вопросу организации доступа к электронной 
библиотеке издательства обращайтесь по адресу : 
mylib@alpina.ru

Переводчик Анна Власюк
Научный редактор Александр Алексеев
Редактор Камилл Ахметов

Я хотел бы поблагодарить команду 
Group- IB, а также других коллег 
из различных компаний, занимающихся 
кибербезопасностью, чьи выдающиеся 
исследования всегда вдохновляют 
меня. Также я благо дарен 
команде Packt за предоставленную 
возможность и оказанную помощь. 
Я крайне признателен своему техническому 
рецензенту Рикоху Даниель-
сону за его ценнейшие отзывы.

Предисловие 
9
Введение 
11

01
 Знакомство с современными атаками
с использованием программ-вымогателей 
16
 
Глава 1.   История современных атак с использованием
 
программ-вымогателей  ____________________________________  18
Глава 2.   Жизненный цикл современной атаки с использованием
 
программы-вымогателя  ____________________________________  28
Глава 3. Процесс реагирования на инциденты  _________________________  42 

02
Врага нужно знать в лицо: 
как действуют банды операторов 
программ-вымогателей 
54

Глава 4.  Киберразведка и программы-вымогатели  _____________________  56 
Глава 5.  Тактики, техники и процедуры групп, занимающихся
 
распространением программ-вымогателей  ____________________  66 
Глава 6.  Сбор данных о киберугрозах, 
 
связанных с программами-вымогателями  _____________________  92

03
Практика реагирования на инциденты 
106

Глава 7. Цифровые криминалистические  артефакты
 
и их основные источники  __________________________________  108
Глава 8.  Методы первоначального доступа  __________________________  128
Глава 9.  Методы постэксплуатации  _________________________________  144
Глава 10.  Методы кражи данных  ____________________________________  162
Глава 11.  Методы развертывания программ-вымогателей  _______________  176
Глава 12.    Унифицированный жизненный цикл атак
 
с использованием программ-вымогателей  ___________________  192

СОДЕРЖАНИЕ

ПРЕДИСЛОВИЕ

Группа хакеров атакует правительственные сервера, шифрует и выкачивает 
терабайт важных данных у трех десятков министерств, экономика 
в ступоре, силовики бессильны, народ выходит на улицы с требованием 
отставки правительства, в стране вводится чрезвычайное положение… 
Это не сценарий сериала для Netflix, а реальные события, которые произошли 
весной 2022 г ., когда группировка вымогателей Conti атаковала 
целое государство —  Коста- Рику.
Вот уже четвертый год подряд атаки программ- вымогателей становятся 
одной из самых серьезных и разрушительных киберугроз. Даже кибер-
угрозой № 1. Жертвой шифровальщиков может оказаться как гигантская 
международная корпорация типа концерна Toshiba или трубопровода 
Colonial Pipeline, так и небольшой частный бизнес. Одна-единственная 
успешная атака способна полностью парализовать производство и оставить 
компанию без денег (суммы выкупа достигают сотен миллионов долларов!) 
и чувствительных данных, которые злоумышленники могут предварительно 
выгрузить и выставить на продажу, чтобы жертва была сговорчивее. 
И хотя основные цели вымогателей по-прежнему располагаются в Северной 
и Латинской Америке, Европе, Азиатско- Тихоокеанском регионе, 
последние пару лет и Россия перестала считаться тихой гаванью. По данным 
Group- IB, только в 2021 г . количество атак программ- вымогателей 
на российские компании увеличилось более чем на 200%. В первом полугодии 
2022 года в мире это количество выросло в четыре раза по сравнению 
с  I кварталом 2021 г . Когда случаются (нечасто) аресты, вымогатели уходят 
на дно (ненадолго) и заметают следы, проводя ребрендинг. Но говорить 
о закате шифровальщиков пока очень и очень рано. Команда Лаборатории 
компьютерной криминалистики Group- IB начала следить за шифровальщиками, 
когда еще мало кто видел в них серьезную угрозу. Автор книги 
Олег Скулкин —  знаковая фигура не только в российской, но и в международной 
цифровой криминалистике. Он более десяти лет работает 
в сфере информационной безопасности, написал и выступил соавтором 
пяти книг по форензике и расследованию инцидентов. Олег —  постоянный 
автор исследований, вебинаров и технических блогов о развитии 
империи шифровальщиков и наиболее активных преступных групп: 
Conti, OldGremline, LockBit, Hive, REvil. Читатель в подробностях узнает 

ПРЕДИСЛОВИЕ

об истории программ- вымогателей, тактиках и техниках, используемых 
операторами шифровальщиков, и о том, как расследовать такие атаки. 
Издание будет незаменимым для специалистов по цифровой криминалистике, 
реагированию на инциденты, проактивному поиску угроз, кибер-
разведке, а также для профессионалов из смежных областей.
Group- IB

ВВЕДЕНИЕ

Атаки программ- вымогателей под управлением человека кардинально 
изменили всю современную картину угроз и стали главной опасностью 
для многих организаций —  вот почему организации всех размеров повышают 
бдительность и готовятся реагировать на подобные инциденты.
Эта книга познакомит вас с миром современных атак программ- 
вымогателей. Особое внимание в ней уделено упреждающему, основанному 
на анализе данных об угрозах подходу к защите от инцидентов, связанных 
с такими атаками, и реагированию на них.

Для кого предназначена эта книга?
Эта книга заинтересует широкий круг технических специалистов —  
от студентов, изучающих кибербезопасность, до системных и сетевых 
администраторов малых и средних предприятий и даже специалистов 
по реагированию на инциденты и аналитиков киберугроз, которые 
хотели бы больше узнать об атаках программ- вымогателей, управляемых 
человеком.

О чем эта книга?
Глава 1 «История современных атак с использованием программ- вымогателей» 
рассказывает о мире управляемых человеком атак программ- 
шантажистов и их истории.

Глава 2 «Жизненный цикл современной атаки с использованием программы- 
вымо га теля» представляет собой краткое описание того, как современные 
злоумышленники действуют в ходе атаки с использованием программы- 
вымогателя.

Глава 3 «Процесс реагирования на инциденты» описывает процесс реагирования 
на инциденты, связанные с атаками с использованием программ- 
вымога те лей.

В главе 4 «Киберразведка и программы- вымогатели» представлены общие 
сведения о киберразведке с акцентом на атаки с использование м программ- 
вымогателей.