С течением времени киберпреступники все больше обращают внимание на средства удалённого доступа, включая такие инструменты, как AnyDesk, UltraViewer, RustDesk, Splashtop и TightVNC, чтобы усилить свои атаки на корпоративные сети. Современные ransomware-группировки, используя легитимные
Злоумышленники нередко стартуют свой путь с кражи учетных данных, повторного использования уже известных паролей или простого подбора их через RDP/SMB. Далее, они либо подменяют уже установленные средства удалённого доступа, такие как RATs, для получения несанкционированного доступа, либо устанавливают их скрытно. Это позволяет им обеспечить постоянный доступ, производить передачу файлов и управлять рабочими столами сотрудников.
Техники обеспечения устойчивости
Enhancing cybersecurity through remote access tools
Для усиления своей позиции зловреды используют ключи реестра Run, скрытые задачи, а также изменяют конфигурации системы. Путем эскалации привилегий до уровня SYSTEM, удалению антивирусов и очистке логов они создают благоприятные условия для своих дальнейших действий. Важную роль играет и латеральное перемещение, достигаемое через удаленные сервисы и использование существующей инфраструктуры, что создает дополнительные возможности для распространения угрозы.
Часто недобросовестные действия становятся возможными благодаря неосознанным пользователем RAT-каналам, с помощью которых происходит доставка ransomware-прайсей во время активных сессий, обходя таким образом системы обнаружения.
Меры защиты и противодействия
Для защиты от подобных угроз требуется многоуровневая защита. Организации должны применять строгие методы контроля приложений, фильтровать непроверенные средства удалённого доступа и вводить антивирусы с самозащитой. Поведенческое обнаружение и защита от ransomware, которые блокируют несанкционированное шифрование, становятся ключевыми компонентами в борьбе с кибератаками.
Ключевым аспектом также является строгое управление доступом, постоянный мониторинг в реальном времени и оперативное реагирование на инциденты, что позволяет своевременно выявить и предотвратить угрозы. Не менее важен анализ текущих тенденций, таких как внедрение AI, средства доступа к облакам и сервиса как Ransomware-as-a-Service, для постоянного улучшения стратегии безопасности.
