Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей

ШИФРОВАЛЬЩИКИ

Oleg 
Skulkin
INCIDENT 
RESPONSE
TECHNIQUES FOR
RANSOMWARE
ATTACKS
Understand modern ransomware 
attacks and build an incident 
response strategy to work 
through them

Олег 
Скулкин
ШИФРОВАЛЬЩИКИ
Как реагировать 
на атаки 
с использованием 
программ-вымогателей
Москва
2023

УДК 004.89
ББК 32.973.4:16.8
 
С46
Переводчик Анна Власюк
Научный редактор Александр Алексеев
Редактор Камилл Ахметов
Скулкин О.
С46 
 
Шифровальщики :  
Как реагировать на атаки с использованием программвымогателей / Олег Скулкин. — М. : Альпина ПРО, 202 
3. — 205 с.
ISBN  
978-5-206-00080-1
Шифровальщики — это программы, которые находят уязвимости в сетях предприяти 
я, чтобы потом с помощью этих уязвимостей внедриться в сет 
и, завладеть 
ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
В последние годы  
растет число кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию 
: количество таких атак 
только за 2021 г. выросло более чем в три раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, 
выдающегося эксперта не только в российской, но и в международной цифровой 
криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — 
от истории атак до цифровых улик.  
Внутри его повествования вполне естественно 
выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
По мнению автора (а  
оно основано на более чем десятилетнем опыте работы 
в сфере информационной безопасности), сети и деньги предприятия можно уберечь, 
если понимать жизненный цикл атак программ-вымогателей 
. Об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, 
которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни  
обладали.
УДК 004.89
ББК 32.973.4:16.8
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме 
и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного 
использования, без письменного разрешения владельца 
авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу 
: mylib@alpina.ru
Copyright © 2022 Packt Publishing
© Перевод, о 
формление 
. ООО «Альпина ПРО», 
2022
ISBN  
978-5-206-00080-1 (рус.)
ISBN  
978-1-80324-044-2 (англ.)

Я хотел бы поблагодарить команду Group- 
IB, а также других коллег 
из различных компаний, занимающихся кибербезопасностью, чьи выдающиеся исследования всегда вдохновляют меня. Также я благо 
дарен 
команде Packt за предоставленную 
возможность и оказанную помощь. 
Я крайне признателен своему техническому рецензенту Рикоху Даниельсону за его ценнейшие отзывы.

СОДЕРЖАНИЕ
Предисловие 
9
Введение 
11
01
 
Знакомство с современными атаками
с использованием программ-вымогателей 
16
 
Глава 1.  
 
История современных атак с использованием
 
программ-вымогателей  ____________________________________  18
Глава 2.  
 
Жизненный цикл современной атаки с использованием
 
программы-вымогателя  ____________________________________  28
Глава 3. Процесс реагирования на инциденты  
_________________________  42 
02
Врага нужно знать в лицо: 
как действуют банды операторов 
программ-вымогателей 
54
Глава 4.  
Киберразведка и программы-вымогатели  _____________________  56 
Глава 5.  
Тактики, техники и процедуры групп, занимающихся
 
распространением программ-вымогателей  ____________________  66 
Глава 6.  Сбор данных о киберугрозах, 
 
связанных с программами-вымогателями  _____________________  92
03
Практика реагирования на инциденты 
106
Глава 7. Цифровые криминалистические  
артефакты
 
и их основные источники  __________________________________  108
Глава 8.  Методы первоначального доступа  __________________________  128
Глава 9.  Методы постэксплуатации  _________________________________  144
Глава 10.  Методы кражи данных  ____________________________________  162
Глава 11.  Методы развертывания программ-вымогателей  _______________  176
Глава 12.   
 
Унифицированный жизненный цикл атак
 
с использованием программ-вымогателей  ___________________  192

ПРЕДИСЛОВИЕ
Группа хакеров атакует правительственные сервера, шифрует и выкачивает терабайт важных данных у трех десятков министерств, экономика 
в ступоре, силовики бессильны, народ выходит на улицы с требованием 
отставки правительства, в стране вводится чрезвычайное положение… 
Это не сценарий сериала для Netflix, а реальные события, которые произошли весной 2022 г 
., когда группировка вымогателей Conti атаковала 
целое государство —  
Коста- 
Рику.
Вот уже четвертый год подряд атаки программ- 
вымогателей становятся 
одной из самых серьезных и разрушительных киберугроз. Даже киберугрозой № 1. Жертвой шифровальщиков может оказаться как гигантская международная корпорация типа концерна Toshiba или трубопровода 
Colonial Pipeline, так и небольшой частный бизнес. Одна-единственная 
успешная атака способна полностью парализовать производство и оставить 
компанию без денег (суммы выкупа достигают сотен миллионов долларов!) 
и чувствительных данных, которые злоумышленники могут предварительно выгрузить и выставить на продажу, чтобы жертва была сговорчивее. 
И хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско- 
Тихоокеанском регионе, 
последние пару лет и Россия перестала считаться тихой гаванью. По данным Group- 
IB, только в 2021 г 
. количество атак программ- 
вымогателей 
на российские компании увеличилось более чем на 200%. В первом полугодии 2022 года в мире это количество выросло в четыре раза по сравнению 
с  
I кварталом 2021 г 
. Когда случаются (нечасто) аресты, вымогатели уходят 
на дно (ненадолго) и заметают следы, проводя ребрендинг. Но говорить 
о закате шифровальщиков пока очень и очень рано. Команда Лаборатории 
компьютерной криминалистики Group- 
IB начала следить за шифровальщиками, когда еще мало кто видел в них серьезную угрозу. Автор книги 
Олег Скулкин —  знаковая фигура не только в российской, но и в международной цифровой криминалистике. Он более десяти лет работает 
в сфере информационной безопасности, написал и выступил соавтором 
пяти книг по форензике и расследованию инцидентов. Олег —  постоянный автор исследований, вебинаров и технических блогов о развитии 
империи шифровальщиков и наиболее активных преступных групп: 
Conti, OldGremline, LockBit, Hive, REvil. Читатель в подробностях узнает 
9

ПРЕДИСЛОВИЕ
об истории программ- 
вымогателей, тактиках и техниках, используемых 
операторами шифровальщиков, и о том, как расследовать такие атаки. 
Издание будет незаменимым для специалистов по цифровой криминалистике, реагированию на инциденты, проактивному поиску угроз, киберразведке, а также для профессионалов из смежных областей.
Group- 
IB