Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1486 - Шифрование данных

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1486

Злоумышленники могут шифровать данные на целевых системах или на большом количестве систем в сети, чтобы прервать доступ к системным и сетевым ресурсам. Они могут попытаться сделать хранящиеся данные недоступными, зашифровав файлы или данные на локальных и удаленных дисках и закрыв доступ к ключу дешифрования. Это может быть сделано с целью получения денежной компенсации от жертвы в обмен на дешифровку или ключ дешифровки (ransomware) или для того, чтобы сделать данные навсегда недоступными в случаях, когда ключ не сохранен или не передан.(Цитата: US-CERT Ransomware 2016) (Цитата: FireEye WannaCry 2017) (Цитата: US-CERT NotPetya 2017) (Цитата: US-CERT SamSam 2018)

В случае с ransomware обычно шифруются (и часто переименовываются и/или помечаются специальными маркерами) обычные пользовательские файлы, такие как документы Office, PDF, изображения, видео, аудио, текст и файлы исходного кода. Чтобы разблокировать и/или получить доступ к работе с этими файлами, злоумышленникам может потребоваться сначала применить другие способы поведения, такие как Изменение разрешений на файлы и каталоги или Выключение/перезагрузка системы.(Цит. по: CarbonBlack Conti July 2020) В некоторых случаях злоумышленники могут шифровать критически важные системные файлы, разделы диска и MBR. (Цит. по: US-CERT NotPetya 2017)

Для максимального воздействия на целевую организацию вредоносное ПО, предназначенное для шифрования данных, может иметь червеобразные функции для распространения по сети с использованием других методов атаки, например Valid Accounts, OS Credential Dumping и SMB/Windows Admin Shares.(Цитата: FireEye WannaCry 2017)(Цитата: US-CERT NotPetya 2017) Вредоносное ПО для шифрования может также использовать Internal Defacement, например менять обои жертвы, или запугивать жертв, отправляя записки с выкупом или другие сообщения на подключенные принтеры (так называемый "print bombing").(Цитата: NHS Digital Egregor Nov 2020)

В облачных средах объекты хранения в скомпрометированных учетных записях также могут быть зашифрованы.(Цитата: Rhino S3 Ransomware Part 1)

https://attack.mitre.org/techniques/T1486

← Назад

Визуализация смежных техник для T1486

Отрасль:
 с подтехниками
Техника

Закрыть