Статья Threat Hunting на шифровальщиков до того, как они зашифруют всё: Поведенческие индикаторы

Ты привык думать, что ransomware - это когда бах, и все файлы стали .locked? Поздравляю, ты уже проиграл. К тому моменту, когда пользователь видит горящие глаза на экране и записку с требованием выкупа, шифровальщик уже сделал своё дело. Современные варики способны пережевать 100 тысяч файлов меньше чем за пять минут. Пять минут, Карл. Пока твоя СБ проснётся, пока нальёт кофе - всё уже ушло.

Поэтому единственный рабочий способ - не ловить момент шифрования, а выкуривать гадов на подходе. До того, как они запустили процесс. До того, как они грохнули тени. До того, как они легли на дно и начали ждать команды.

Атаки стали полностью автоматизированными. Индустрия перешла от "спрей-энд-плей" (mass spray-and-pray) к снайперским ударам с использованием AI. По данным Group-IB и других исследователей, новые поколения вредоносного ПО способны анализировать среду и адаптировать своё поведение в реальном времени. Это уже не просто скрипты - это агенты, которые сами решают, как обойти твою защиту. В сентябре 2025 года Anthropic обнаружил и нейтрализовал первую крупномасштабную атаку, оркестрованную AI, где злоумышленник манипулировал Claude Code для проникновения в ~30 глобальных организаций почти автономно.

Ransomware - это не вирус, который прилетел и сразу зашифровал. Это многоступенчатая операция, где сначала надо зайти, закрепиться, повысить привилегии, пошарить по сети, вырубить защиту и только потом уже запускать пэйлоад. И каждый из этих этапов оставляет следы. Нужно только уметь их читать.

Среднее время от первого проникновения до запуска шифровки у разных группировок варьируется. Black Basta и Clop укладываются в 4 часа. Netwalker однажды управился за час. Ryuk от GRIM SPIDER - 3-8 часов. Interlock, новый игрок 2026 года, использует цепочку ClickFix -> MintLoader -> NodeSnakeRAT и укладывается в ещё более сжатые сроки. Это не дни и не недели. Это смена, в которую ты должен успеть заметить аномалию и дёрнуть стоп-кран.

Современные методы детекции уходят на уровень гипервизора. Исследовательский проект HyperDtct (2026) предлагает мониторить системные вызовы не из гостевой ОС, а из гипервизора. Это даёт полную невидимость для атакующего и невозможность обойти защиту даже при компрометации ядра. Если раньше хакер мог вырубить EDR на хосте, то гипервизор ему не достать. Исследователи выделяют характерные паттерны системных вызовов при шифровании (интенсивность файлового ввода-вывода, соотношение чтения/записи), которые можно ловить на этом уровне.

Концепция простая: чем раньше ты заметил аномалию, тем дешевле тебе обойдётся инцидент. Ловить надо не запуск encrypt.exe, а подозрительный PowerShell, который стучится в интернет. Не шифрование файлов, а попытку отключить теневые копии через vssadmin. Не сам рэнсомвайр, а нехарактерный для сети RDP-зоопарк. По данным Verizon 2025, ransomware теперь присутствует в 44% всех утечек данных.

В этой статье разберём по костям поведенческие индикаторы, которые светятся задолго до того, как файлы начнут менять расширение. От первого фишингового письма до попытки вырубить антивирус. От подозрительного планировщика до RDP-расползания по сети. Систематизируем по этапам kill chain, привяжем к конкретным Event ID, Sysmon-событиям и сетевым аномалиям.

Если ты до сих пор надеешься, что антивирус спасёт - закрывай вкладку. Ты ещё не готов. А если хочешь научиться видеть шифровальщика до того, как он покажет морду - оставайся.

---

Почему нельзя ждать шифрования​

Современные EDR и антивирусы умеют ловить известные сигнатуры шифровальщиков. Но когда сигнатура сработала - процесс уже пошёл. Даже если EDR убьёт процесс через секунду, за эту секунду могут утечь критичные данные или лечь системные файлы. Кроме того, современные группы типа Kasseika, Akira, Osiris и новейший Interlock сначала вырубают защиту через Bring Your Own Vulnerable Driver (BYOVD) - грузят легитимный, но дырявый драйвер и мочат антивирусные процессы. После этого сигнатурный детект просто некому обрабатывать.

• По прогнозам экспертов на 2026, LLM-вредоносы способны генерировать полиморфные пэйлоады на лету. Они стирают грань между кодом и текстом, позволяя вредоносной логике генерироваться динамически, избегая традиционных сигнатур. Новые поколения ransomware incorporate learning capabilities that enable them to analyze the environments they infiltrate and adjust their behavior accordingly, выбирая системы для компрометации и адаптируя техники обхода под конкретную защиту.
  
  
• Чем раньше ты заметил аномалию, тем дешевле тебе обойдётся инцидент. Инструменты должны выявлять предшествующее поведение: разведку, кражу учётных данных, подготовку данных к выносу, а не ждать известных индикаторов компрометации.
  
  
• Сигнатуры умирают. Хакеры мутируют быстрее, чем вендоры обновляют базы. Но поведение человека или программы подделать сложно. Если из офисного компа в три часа ночи полез RDP-трафик на контроллер домена - это не админ баловался, это красный флаг. Если svchost.exe вдруг начал долбиться на IP в DigitalOcean - это не легитимный сервис. Поведенческие паттерны универсальны, и именно на них строится охота.
  
  
• Фреймворк R2BAR (Real-Time Behavioral Analysis and Response) интегрирует XGBoost для быстрого скрининга и LSTM для глубокого анализа последовательностей API-вызовов с точностью 98.1% и временем реакции 2.35 секунды. Мультимодальный multi-agent подход, использующий AutoGen, комбинирует статический, динамический и сетевой анализ через специализированных агентов с автоэнкодерами, достигая Macro-F1 0.936 для классификации семейств. SwiftRD от MTU комбинирует pattern matching с лёгкими LLM для захвата поведенческих паттернов I/O на уровне Flash Translation Layer и даёт 99.03% accuracy с FPR всего 1.0%.
  
  
• HyperDtct, представленный в 2026 году, использует гипервизор для мониторинга системных вызовов без вмешательства в гостевую ОС. Это платформенно-независимый метод, работающий на разных ОС и невидимый для атакующего. Исследователи выделяют характерные паттерны системных вызовов при шифровании (интенсивность файлового ввода-вывода, соотношение чтения/записи).
  
  
• Endpoint Detection & Response (EDR) - штука полезная, но её можно вырубить или обойти. Сеть вырубить нельзя. Пассивный мониторинг трафика (через порт-миррор или TAP) не виден атакующему и даёт объективную картину того, что реально происходит в инфраструктуре. ExtraHop Reveal(x) обеспечивает видимость на уровне сети, выявляя активность разведки и C2-коммуникации даже в зашифрованном трафике. Особенно это касается C2-каналов, латерального движения через RDP/SMB и попыток дампа данных.

---

Как выглядит подготовка к шифрованию​

Прежде чем искать, надо понимать, что ищешь. Разберём типовую цепочку, опираясь на реальные кейсы GRIM SPIDER, Kasseika, Crypto24, Interlock, Osiris, Reynolds, Black Basta и академические исследования.

Стадия 0: Initial Access (входные ворота)
Способы стары как мир, но до сих пор работают, эволюционируя с помощью AI:

• Фишинг с макросами - пользователь открывает Excel/Word, включает макросы, и они тянут PowerShell-загрузчик.
• ClickFix - социальная инженерия 2026 года. Interlock использует эту технику: жертве показывают поддельное сообщение об ошибке, и её заставляют выполнить вредоносный код под видом решения проблемы. Техника обходит технические защиты, эксплуатируя доверие пользователя к знакомым интерфейсам.
• RDP-перебор - открытый 3389 порт с паролем 123456 до сих пор встречается чаще, чем хочется думать.
• Drive-by download - заражение через легитимный сайт, который скомпрометировали. Interlock специализируется на этой технике, что редкость среди шифровальщиков.
• Infostealers как новый стандарт. По данным Flashpoint, 1.8 миллиарда учётных данных было украдено инфостилерами в первой половине 2025 года. Они собирают не только пароли, но и сессионные куки, токены доступа, метаданные хоста. Атакующий может просто войти в систему под видом легитимного пользователя, вообще без использования вредоносного ПО.
• AiTM-атаки (Adversary-in-the-Middle) - перехватывают не только учётные данные, но и валидные сессионные токены. В январе 2026 Microsoft задокументировал кампанию AiTM против энергетического сектора, где один скомпрометированный аккаунт использовался для рассылки 600+ фишинговых писем через SharePoint.
• AI-ассистированные фишинговые кампании - AI генерирует тысячи вариаций писем, персонализированных под конкретную жертву, что делает обнаружение традиционными фильтрами почти невозможным.

Стадия 1: Execution и Persistence (закрепление)
Хакер зашёл, но ему надо остаться в системе после перезагрузки. Используются:

• Планировщик задач (schtasks) - создание задач с безобидными именами типа "GoogleTask", "Sysnetsf" или "Microsoft Runtime Manager".
• Сервисы - TrickBot ставит себя как сервис ControlServiceA. Crypto24 создаёт сервисы для клюлоггера и самого шифровальщика через sc.exe.
• Скрипты в автозагрузке - реже, но тоже бывает. Crypto24 использует update.vbs и vm.bat в %ProgramData%\Update.
• JavaScript-импланты - Interlock использует NodeSnakeRAT после первичного заражения через ClickFix.
• Бэкдоры - Reynolds оставил на целевой сети подозрительный side-loaded loader за несколько недель до деплоя шифровальщика.

Стадия 2: Privilege Escalation и Credential Access (кража ключей)
Чтобы расползаться по сети, нужны админские пароли. Хакеры их активно тырят:

• LSASS-дамп - через procdump, comsvcs.dll, Mimikatz. Osiris использовал кастомный Mimikatz под именем kaz.exe.
• WDigest - включают хранение паролей в открытом виде через реестр (UseLogonCredential = 1).
• Создание учётных записей - Crypto24 создаёт кучу локальных аккаунтов и добавляет их в администраторы через net.exe.
• Session hijacking через AiTM - Adversary-in-the-Middle атаки перехватывают не только учётные данные, но и валидные сессионные токены. В 2026 такие атаки автоматизируются AI, что делает даже MFA бесполезным против них.
• OAuth-атаки - компрометация OAuth-токенов позволяет атакующему латерально перемещаться между приложениями SaaS без необходимости повторной аутентификации. В августе 2025 Salesloft Drift был скомпрометирован, что затронуло сотни Salesforce и Google Workspace аккаунтов.

Стадия 3: Discovery (разведка)
Атакующий оглядывается, чтобы понять, куда попал:

• Сетевые сканы - Advanced IP Scanner, или встроенные средства типа net view, nltest, ipconfig. Osiris использовал Netscan и Netexec.
• Поиск контроллера домена - основная цель для дальнейшего движения.
• Сбор информации через WMI/LDAP - кто где сидит, какие сервера. Crypto24 через WMIC собирает данные о дисках, памяти, системе.
• AI-агенты для разведки - по прогнозам на 2026, agentic AI способен автономно планировать и выполнять разведку, адаптируясь к защите в реальном времени.

Стадия 4: Lateral Movement (расползание)
С одной машины хакер переходит на другие, захватывая всё больше территории:

• PsExec - классика, подписан Microsoft, поэтому EDR часто молчат.
• RDP - если надыбали пароли, просто логинятся на другие машины. Crypto24 открывает RDP через реестр и netsh, если закрыто.
• WMI / WinRM - удалённое выполнение через встроенные средства.
• Кастомные RAT и бэкдоры - Crypto24 использует несколько видов бэкдоров. Osiris - модифицированный RustDesk под видом "WinZip Remote Desktop". AsyncRAT остаётся популярным выбором для долговременного доступа, используя порты 8808, 6606, 7707 и самоподписанные сертификаты с CN "AsyncRAT Server".

Стадия 5: Defense Evasion (вырубаем охрану)
Перед финальным аккордом надо отключить сигнализацию:

• BYOVD (Bring Your Own Vulnerable Driver) - тренд 2025-2026 годов. Группировки внедряют уязвимые драйверы прямо в пэйлоад шифровальщика. Reynolds использует NSecKrnl driver (CVE-2025-68947). Black Basta также встроила этот драйвер в свой рансомвайр. Osiris использует драйвер POORTRY (Abyssworker). Interlock использует Hotta Killer через GameDriverx64.sys (CVE-2025-61155).
• Отключение антивируса - через скрипты или BYOVD. Crypto24 использует кастомную версию RealBlindingEDR, которая мочит защиты 30+ вендоров.
• Деинсталляция легитимных средств защиты - Crypto24 через gpscript.exe (легитимная Group Policy утилита) запускает XBCUninstaller.exe (официальный деинсталлятор Trend Micro) с сетевой шары.
• Чистка логов - wevtutil cl и прочие радости.
• Удаление теневых копий - vssadmin delete shadows, чтобы нельзя было восстановиться.

Стадия 6: Exfiltration (кража данных)
Многие группировки перед шифрованием выносят данные для двойного шантажа:

• Rclone - Osiris использовал Rclone для загрузки в Wasabi cloud storage. Interlock использует AZcopy для эксфильтрации больших объёмов.
• Google Drive API - Crypto24 использовал Google Drive для эксфильтрации.
• Современные модели угроз 2026: вымогательство без шифрования. Доктор Энн Ирвин из Resilience отмечает тренд: злоумышленники всё чаще отказываются от шифрования в пользу прямого вымогательства за неразглашение украденных данных. Бэкапы становятся бесполезны.
• Cloud API атаки - по данным Palo Alto Networks, 41% рост атак на API в 2025 году. Злоумышленники нацеливаются на нативные облачные функции для удаления или перезаписи данных.

Стадия 7: Impact (шифрование)
И только теперь запускается сам шифровальщик. Обычно через тот же PsExec, раскидывая пэйлоад по всей сети разом. Время исполнения - считанные минуты.

• Шифрование VM - Interlock специализируется на шифровании виртуальных машин (и Windows, и Linux) в средах Nutanix.
• Атаки на цепочку поставок - по данным Resilience, группы больше не атакуют одну организацию, а компрометируют компанию, её дочерние структуры, поставщиков и клиентов одновременно.
• Вымогательство с подкупом инсайдеров - Recorded Future отмечает рост попыток вербовки сотрудников за деньги в обмен на доступ.

---

Индикаторы на стадии Initial Access​

Тут мы ловим момент, когда враг только просунул ногу в дверь.

Фишинг и макросы
Что смотреть:

• Office-процессы, рождающие детей. Если winword.exe или excel.exe запустили cmd.exe или powershell.exe - это почти всегда атака. Легитимные макросы встречаются редко, и если они есть - должны быть единичными и известными.
• PowerShell с закодированными командами. Event ID 4688 (процесс создан) с флагом -EncodedCommand или -WindowStyle Hidden.
• ScriptBlock Logging (Event ID 4104) - даже если команда закодирована, в логе может быть виден декодированный скрипт.
• Sysmon Event ID 1 - детальный лог процессов с командной строкой. С выходом Windows 11 Build 26300 Sysmon стал нативным компонентом системы, что упрощает его внедрение.

ClickFix и drive-by

• Browser в связке с PowerShell. Если браузер (chrome.exe, firefox.exe) запустил PowerShell - это подозрительно. Interlock использует эту технику через MintLoader.
• JavaScript-импланты - NodeSnakeRAT запускается через браузер. Ловить через создание подозрительных процессов из временных папок браузера.

Подозрительный RDP

• Event ID 1149 - успешный RDP-логин (в терминальных службах).
• Event ID 4624 с типом входа 10 - удалённый интерактивный логин.
• Необычная география. Если к тебе из Индонезии зашли по RDP, а у тебя там офиса нет - это флаг. Threat Intelligence платформы типа Recorded Future дают контекст по геолокации и репутации IP.
• Брутфорс - множество событий 4625 (неудачный логин) за короткое время.

Infostealer activity

• Необычные процессы, читающие браузерные базы данных (Login Data, Cookies).
• Доступ к файлам сессий браузеров.
• Внезапные соединения на нестандартные порты с малых процессов.

AiTM и OAuth атаки

• Необычные паттерны аутентификации - один аккаунт с разных геолокаций, подозрительные User-Agent.
• Внезапное появление новых OAuth-приложений с высокими привилегиями.
• Массовый фишинг через скомпрометированные SharePoint аккаунты.

---

Индикаторы на стадии Persistence​

Здесь мы ищем, где спрятался враг, чтобы вернуться.

Планировщик задач (Scheduled Tasks)
Ключевые Event ID:

• 4698 - задача создана
• 4700 - задача запущена
• 4702 - задача обновлена.
• 4699 - задача удалена (хакеры могут чистить следы).

Что искать:

• Задачи, созданные в нерабочее время.
• Задачи, запускающие подозрительные команды: powershell, mshta, certutil из необычных папок.
• Имена задач, маскирующиеся под легитимные: "WinDotNet", "GoogleTask", "Sysnetsf", "Updater", "Microsoft Runtime Manager".
• У Crypto24 задачи в %ProgramData%\Update\ выполняют update.vbs и vm.bat.
• Reynolds оставлял side-loaded loader за несколько недель до атаки.

Новые сервисы
Event ID 7045 - новый сервис установлен. Ищем:

• Имена типа "ControlServiceA", "Technoservice", "WinMainSvc", "MSRuntime".
• Пути к бинарникам в подозрительных местах: C:\Users\Public, %APPDATA%\Roaming, C:\Windows\Temp.
• Crypto24 создаёт сервис для клюлоггера через sc create WinMainSvc с бинарником scvhost.exe (опечатка в имени).
• Sysmon Event ID 6 - загрузка драйвера (для BYOVD). Interlock грузит UpdateCheckerX64.sys. Osiris грузит POORTRY.

Внезапное ПО для удалёнки
Если в системе появился AnyDesk, TeamViewer, Atera, RustDesk, MeshAgent, а вы их не ставили - это повод для паники.

• Osiris использовал кастомный RustDesk, замаскированный под WinZip Remote Desktop.
• AsyncRAT и его деривативы (DCRat, VenomRAT) часто используются для персистенса.
• Event ID 7045 для сервисов AnyDesk.
• Процессы с именем anydesk.exe, teamviewer.exe, rustdesk.exe, meshagent.exe в необычных контекстах.

---

Индикаторы на стадии Privilege Escalation / Credential Access​

Тут враг крадёт ключи от твоего дома.

Атаки на LSASS
LSASS (Local Security Authority Subsystem Service) - хранилище паролей в памяти.

• Event ID 4688 - запуск procdump.exe, comsvcs.dll, powershell с дампом процесса lsass.
• Microsoft ASR rules - можно включить правило, блокирующее кражу учётных данных из LSASS (Windows 10/11 build 1709+).
• Sysmon Event ID 10 (Process Access) - попытки открыть дескриптор LSASS с правами на чтение памяти.
• Sysmon Event ID 8 (CreateRemoteThread) - инжект кода в LSASS.
• Osiris использовал кастомный Mimikatz под именем kaz.exe.

Включение WDigest
TrickBot и другие любят включить хранение паролей в открытом виде. Изменение реестра:

HKLM\System\CurrentControlSet\Control\SecurityProviders\WDigest
Value: UseLogonCredential
Data: 1

Это событие можно ловить через Event ID 4657 (изменение реестра). Sysmon Event ID 13 также логирует изменения реестра.

Создание новых учётных записей
Crypto24 активно создаёт локальных пользователей и добавляет их в группы администраторов и RDP.

• Event ID 4720 - создание пользователя.
• Event ID 4732 - добавление пользователя в группу.
• Event ID 4738 - изменение пользователя (например, смена пароля).
• net.exe localgroup administrators /add - прямое выполнение.

runas и PsExec для повышения привилегий
Crypto24 использует runas.exe и PsExec для выполнения команд с повышенными правами:

• runas.exe /user:administrator cmd
• psexec64.exe -u <REDACTED> -p <REDACTED> cmd

AiTM-атаки и перехват сессий
Adversary-in-the-Middle (AiTM) атаки перехватывают валидные сессионные токены, обходя MFA. В 2026 Microsoft задокументировал кампанию против энергетического сектора. Детект через необычные паттерны аутентификации - один аккаунт с разных геолокаций, подозрительные User-Agent.

---

Индикаторы на стадии Discovery​

Враг смотрит по сторонам, чтобы понять, куда дальше идти.

Сетевые сканы

• Advanced IP Scanner - процесс advanced_ip_scanner.exe. Osiris использовал Netscan.
• Nmap - если вдруг на рабочей станции появился, хотя админы его не ставили.
• Встроенные утилиты - массовый запуск net.exe, nltest.exe, whoami.exe, ipconfig.exe за короткое время.
• Sysmon Event ID 3 (Network Connection) - соединения на необычные порты (сканирование).

WMI и WMIC-запросы
Crypto24 через WMIC собирает инфу:

• wmic partition get name,size,type
• wmic COMPUTERSYSTEM get TotalPhysicalMemory,caption
• WMI-активность (Event ID 5861) - если обычная рабочая станция вдруг начала слать WMI-запросы на контроллер домена.
• Event ID 5858 - ошибки WMI, которые могут указывать на попытки выполнения.

ADFind и сбор информации о домене

• Использование ADFind.exe для выгрузки информации об AD.
• PowerShell-скрипты с запросами к ADSI.

AI-агенты для разведки
В 2026 году agentic AI способен автономно планировать разведку. По прогнозам Armis, к середине 2026 как минимум одна глобальная компания падёт от атаки, значительно продвинутой полностью автономной agentic AI-системой.

---

Индикаторы на стадии Lateral Movement​

Враг расползается по твоей сети как таракан.

PsExec
Любимый инструмент.

• Event ID 7045 - создание сервиса PSEXESVC на целевой машине.
• Сетевые соединения на порт 445 и последующий запуск процессов от имени SYSTEM.
• Sysmon Event ID 3 - соединения с динамических портов на другие машины по RPC.
• Crypto64 активно использует PsExec.

RDP-латералка

• Event ID 4624 с типом входа 10 (RemoteInteractive) на нескольких машинах подряд.
• Event ID 1149 (успешный RDP) на серверах, где обычно RDP не используется.
• Crypto24 открывает RDP через реестр (fDenyTSConnections = 0) и netsh, если он закрыт.
• Event ID 4648 - попытка входа с явными учётными данными (особенно если используется runas).

WMI/WinRM

• WMI-активность (Event ID 5861) с удалённым выполнением.
• WinRM - Event ID 91, 168, 169, соединения на порт 5985/5986.
• PowerShell Remoting - логи сессий PSSession.

Кастомные RAT
Crypto24 использует несколько бэкдоров. Osiris - модифицированный RustDesk. Interlock - NodeSnakeRAT. AsyncRAT остаётся популярным выбором, с характерными портами 8808, 6606, 7707 и самоподписанными сертификатами.

---

Индикаторы на стадии Defense Evasion​

Враг пытается вырубить охрану, чтобы его не засекли до финала.

BYOVD (Bring Your Own Vulnerable Driver)
Злоумышленники всё чаще встраивают уязвимые драйверы прямо в пэйлоад шифровальщика.

• Sysmon Event ID 6 - загрузка драйвера. Особенно обращать внимание на легитимные имена драйверов, но с подозрительными путями или атрибутами.
• Event ID 7030 - ошибки служб, связанные с драйверами.
• Конкретные драйверы в чёрных списках:
  
  • NSecKrnl driver (CVE-2025-68947) - использовался Reynolds и Black Basta.
  • POORTRY (Abyssworker) - использовался Osiris.
  • GameDriverx64.sys (CVE-2025-61155) - использовался Interlock под именем UpdateCheckerX64.sys.
  • truesight.sys, amsdk.sys - использовались Silver Fox.

Отключение антивируса

• Event ID 4688 - запуск скриптов, останавливающих службы защиты.
• Сервисы защиты перестали отвечать - мониторинг доступности через RMM или EDR.
• Crypto24 использует кастомный RealBlindingEDR, который мочит 30+ вендоров.

Использование легитимных утилит для деинсталляции
Crypto24 через gpscript.exe (легитимная Group Policy утилита) запускает XBCUninstaller.exe (официальный деинсталлятор Trend Micro) с сетевой шары. Это классический living-off-the-land - используют твои же инструменты против тебя.

Чистка логов

• wevtutil cl - запуск этой команды должен быть красным флагом.
• Clear-EventLog в PowerShell.
• Внезапно пропавшие логи за определённый промежуток времени.
• Sysmon Event ID 23/26 (File Delete) - удаление файлов логов.

Отключение теневых копий

• vssadmin delete shadows /all /quiet.
• wmic shadowcopy delete.
• bcdedit для изменения параметров загрузки.
• PowerShell - Get-WmiObject Win32_Shadowcopy | Remove-WmiObject.

---

Индикаторы на стадии Exfiltration​

Современные шифровальщики сначала воруют данные, потом шифруют.

Rclone и AZcopy
Osiris использовал Rclone для загрузки в Wasabi cloud storage. Interlock использует AZcopy.

• Event ID 4688 - rclone.exe или azcopy.exe с подозрительными аргументами (remote, bucket names).
• Необычные исходящие соединения на облачные хранилища (Wasabi, AWS S3, Azure Blob).
• Sysmon Event ID 3 - соединения на API облачных провайдеров.

Google Drive API
Crypto24 использовал Google Drive для эксфильтрации.

• Соединения к
  Ссылка скрыта от гостей
  с необычной частотой.
• Процессы, использующие Google Drive API (не через браузер).
• Высокий объём исходящего трафика в непиковые часы.

Аномальные объёмы трафика

• Внезапный рост исходящего трафика в нерабочее время.
• Отправка архивов на внешние ресурсы.
• Соотношение входящего/исходящего трафика (больше наружу, чем внутрь).

DNS-туннелирование

• Длинные поддомены (признак туннелирования данных).
• Высокая энтропия в поддоменах.
• Частые запросы к редким доменам.

---

Индикаторы на стадии Impact (перед шифрованием и во время)​

Массовое переименование/изменение файлов

• Sysmon Event ID 11 (FileCreate) - массовое создание файлов с новыми расширениями.
• Sysmon Event ID 23 (FileDelete) - массовое удаление файлов.
• Sysmon Event ID 26 (FileDeleteDetected) - удаление файлов, пойманное в реальном времени.
• Высокая скорость модификации файлов на дисках - сотни событий в секунду.
• Hypervisor-based detection - HyperDtct ловит характерные паттерны системных вызовов при шифровании через гипервизор, что делает детекцию невидимой для атакующего.

Создание файлов записки

• Появление файлов с именами типа !README!.txt, README_FOR_DECRYPT.txt, DECRYPT_INSTRUCTIONS.html, Osiris-MESSAGE.txt.
• Sysmon Event ID 11 - создание таких файлов в корневых папках и на рабочем столе.

Шифрование VM
Interlock специализируется на шифровании виртуальных машин (и Windows, и Linux) в средах Nutanix.

• Необычные процессы, взаимодействующие с гипервизором.
• Команды управления виртуальными машинами.

API-вызовы, характерные для шифрования
Академические исследования показывают, что на этапе шифрования отслеживаются API-вызовы, связанные с криптографией (CryptEncrypt, BCryptEncrypt), чтением/записью файлов (ReadFile, WriteFile), ключами реестра. SwiftRD от MTU использует pattern matching с лёгкими LLM для захвата поведенческих паттернов I/O, достигая 99.03% accuracy.

Поведенческие ML-модели - когда правил недостаточно​

Если ты админишь сеть из 5000 машин, ты утонешь в количестве алертов. Ручные правила хороши, но они дают ложные срабатывания и пропускают неизвестное. Тут в игру вступает машинное обучение.

Современные ML-фреймворки 2025-2026

• R2BAR (Real-Time Behavioral Analysis and Response) - интегрирует XGBoost для быстрого скрининга и LSTM для глубокого анализа последовательностей API-вызовов. Точность 98.1%, время реакции 2.35 секунды.
• Мультимодальный multi-agent подход (AutoGen) - комбинирует статический, динамический и сетевой анализ через специализированных агентов с автоэнкодерами. Механизм обратной связи между агентами итеративно уточняет представления, подавляя низкодостоверную информацию. Достигает Macro-F1 0.936 для классификации семейств.
• SwiftRD - комбинирует pattern matching с лёгкими LLM для захвата поведенческих паттернов I/O на уровне Flash Translation Layer (FTL). 99.03% accuracy, FPR всего 1.0%.
• Reproducibility study 2026 - Merilehto воспроизвёл исследование по API-детекции и подтвердил: Unigram модель с частотным анализом API-вызовов достигает F1=0.8717 на 2500 вызовах. Это подтверждает, что даже простые методы работают при правильной настройке.

HyperDtct - гипервизорный подход
HyperDtct использует мониторинг системных вызовов через гипервизор, извлекая поведенческие фичи (интенсивность файлового доступа, соотношение чтения/записи). Машинное обучение на этих данных даёт высокую точность с низким уровнем ложных срабатываний, при этом будучи невидимым для атакующего.

Predictive ML для предсказания атак
Recorded Future и другие используют ML для предсказания атак до их начала, идентифицируя жертв за 30 дней до публичного вымогательства

• Обучение на нормальном поведении системы.
• Выявление отклонений (необычное использование PowerShell, повышение привилегий, массовый доступ к файлам).
• Корреляция событий с хостов, сети и identity-систем.
• Реальное время скоринга рисков.

Где применяется ML:

• Анализ поведения процессов - нейросети (LSTM, трансформеры) учатся отличать нормальную активность админа от подготовки к атаке.
• DNS-туннелирование - поиск C2-каналов.
• Сетевые аномалии - выявление RDP-латералки на основе временных рядов. ExtraHop Reveal(x) обеспечивает такую видимость.
• Обнаружение ранних признаков похитителей данных - поведенческие паттерны инфостилеров.

---

Инструментарий

Sysmon - твой глаз в каждый процесс​

С 2026 года Sysmon стал нативным компонентом Windows 11 (начиная с билда 26300). Это значит, что его не надо качать с сайта Сисинтерналс - он уже в системе. Включается через "Опциональные компоненты" и готов к работе.

Почему Sysmon, а не стандартные логи?

Стандартные логи Windows дают базовую картину. Sysmon дает телеметрию, которую разработчики Microsoft не посчитали нужной для обычного аудита: кто к кому подключился, какой процесс загрузил какую DLL, кто обратился к LSASS и с какими правами. Это та самая глубина, которая отличает профайлера от дилетанта.

Ключевые Event ID с практическими примерами

Давай разберем каждый важный Event ID не просто как строчку в таблице, а как инструмент для конкретных детектов.

Event ID 1 - Process Creation
Это база. Без него ты слеп. Логирует каждый запущенный процесс, включая командную строку. Именно командная строка важнее самого факта запуска.

• Что ищем: PowerShell с флагом -EncodedCommand, cmd.exe запускающий странные скрипты, необычные родительские процессы (word.exe рождает powershell.exe).
• Пример запроса в Elastic:
  
  event.code: 1 and process.name: "powershell.exe" and process.command_line: "* -Enc*"
• MITRE ATT&CK: T1059.001 (Command and Scripting Interpreter: PowerShell).

Event ID 3 - Network Connection
Логирует все сетевые соединения с указанием процесса-инициатора. Это ключ к поиску C2-каналов.

• Что ищем: Процессы из странных папок (Temp, AppData), стучащиеся на внешние IP. svchost.exe, который вдруг полез на порт 4444. Процессы с сетевыми соединениями, у которых нет легитимной причины выходить в интернет (notepad.exe).
• Пример запроса в Elastic:
  event.code: 3 and process.path: ("*\\AppData\\*" or "*\\Temp\\*") and destination.port: (80, 443, 8080, 4444)
• MITRE ATT&CK: T1071 (Application Layer Protocol).

Event ID 6 - Driver Loaded
Критически важный Event ID в эпоху BYOVD. Логирует загрузку драйверов.

• Что ищем: Драйверы с именами, ассоциированными с уязвимыми драйверами: viragt64.sys, POORTRY.sys, GameDriverx64.sys, NSecKrnl.sys, truesight.sys, amsdk.sys.
• Пример запроса в Elastic:
  
  event.code: 6 and file.name: ("viragt64.sys" or "POORTRY.sys" or "GameDriverx64.sys")
• MITRE ATT&CK: T1543 (Create or Modify System Process), T1068 (Exploitation for Privilege Escalation).

Event ID 7 - Image Loaded
Логирует загрузку DLL в процессы. Помогает детектить DLL-хайжекинг и инжекты.

• Что ищем: Загрузка неподписанных DLL из Temp или AppData в легитимные процессы. Загрузка подозрительных DLL в LSASS.
• Пример запроса:
  event.code: 7 and image_loaded.path: ("*\\Temp\\*" or "*\\AppData\\*") and not image_loaded.is_signed: true
• MITRE ATT&CK: T1574 (Hijack Execution Flow).

Event ID 8 - CreateRemoteThread
Логирует создание удаленных потоков - классический признак инжекта кода.

• Что ищем: Необычные пары процессов: explorer.exe создает поток в lsass.exe. Процессы из Temp, создающие потоки в системных процессах.
• Пример запроса:
  event.code: 8 and source.process.path: "*\\Temp\\*" and target.process.name: ("lsass.exe" or "winlogon.exe" or "svchost.exe")
• MITRE ATT&CK: T1055 (Process Injection).

Event ID 10 - Process Access
Логирует, когда один процесс открывает дескриптор другого. Главный инструмент для детекта дампа LSASS.

• Что ищем: Попытки открыть LSASS с правами на чтение памяти (GrantedAccess: 0x1410, 0x1010). Нелегитимные процессы, обращающиеся к LSASS.
• Пример запроса:
  event.code: 10 and target.process.name: "lsass.exe" and granted_access: ("0x1410" or "0x1010")
• MITRE ATT&CK: T1003 (OS Credential Dumping).

Event ID 11 - File Created
Логирует создание файлов. Неоценим для поиска дропов вредоносного ПО, создания файлов записки, массового переименования.

• Что ищем: Создание экзешников в Temp. Появление файлов с расширениями .locked, .enc, .crypted. Создание файлов с именами !README!.txt, DECRYPT_INSTRUCTIONS.html.
• Пример запроса:
  event.code: 11 and file.name: ("*.exe" or "*.dll" or "*.ps1") and file.path: ("*\\Temp\\*" or "*\\AppData\\*")
• MITRE ATT&CK: T1105 (Ingress Tool Transfer).

Event ID 13 - Registry Value Set
Логирует изменения в реестре. Ключ к поиску персистенса и изменений конфигурации безопасности.

• Что ищем: Изменения в ключах автозапуска (Run, RunOnce). Отключение защиты через реестр (DisableAntiSpyware). Включение WDigest (UseLogonCredential).
• Пример запроса:
  event.code: 13 and registry.path: "*\\CurrentVersion\\Run*"
• MITRE ATT&CK: T1547 (Boot or Logon Autostart Execution).

Event ID 17/18 - Named Pipe Events
Логируют создание и подключение к именованным каналам. Используется для IPC и латерального движения (например, PsExec создает канал PSEXESVC).

• Что ищем: Создание каналов с именами, ассоциированными с малварью. Подключения к каналам из необычных процессов.
• MITRE ATT&CK: T1550 (Use of Alternate Authentication Material).

Event ID 22 - DNS Query
Логирует DNS-запросы. Бесценен для поиска DNS-туннелирования и C2-коммуникаций.

• Что ищем: Длинные поддомены (более 50 символов). Высокая энтропия в именах поддоменов. Частые запросы к редким доменам. Запросы к доменам, зарегистрированным недавно.
• Пример запроса:
  event.code: 22 and dns.question.name: "*.??????????????????????.*" (и дальше смотреть длину)
• MITRE ATT&CK: T1071.004 (Application Layer Protocol: DNS).

Event ID 23/26 - File Deletion
Логируют удаление файлов. Помогают детектить чистку логов и подготовку к атаке.

• Что ищем: Массовое удаление файлов логов. Удаление файлов с расширениями .evtx. Удаление теневых копий.
• Пример запроса:
  event.code: 23 and file.name: "*.evtx"
• MITRE ATT&CK: T1070 (Indicator Removal on Host).

Event ID 25 - Process Tampering
Логирует попытки подмены образа процесса (process hollowing, herpaderping).

• Что ищем: Процессы, у которых образ на диске не соответствует тому, что выполняется.
• MITRE ATT&CK: T1055 (Process Injection).

Где брать хорошие конфиги

Самописный конфиг Sysmon - это путь к тому, чтобы утонуть в шуме или пропустить атаку. Бери готовые, проверенные:

• SwiftOnSecurity/sysmon-config - золотой стандарт для общего использования. Хороший баланс между видимостью и шумом.
• olafhartong/sysmon-modular - модульный подход для корпоративных сред. Позволяет включать только нужные правила.
• Neo23x0/sysmon-config - ориентирован на threat hunting, меньше шума, больше сигнала.

PowerShell Logs

PowerShell - главное оружие современного хакера. Без логов PowerShell ты слеп к половине атак.

• Event ID 4104 - ScriptBlock Logging. Самое важное. Логирует сам скрипт, даже если он обфусцирован. Включается через групповую политику: "Администрирование шаблонов" → "Компоненты Windows" → "Windows PowerShell" → "Включить ведение журнала блоков сценариев PowerShell".
• Event ID 4103 - Module Logging. Логирует вызовы командлетов, пайплайны, работу с переменными. Дополняет 4104.

System Log - железо и сервисы

• Event ID 7045 - New Service Installed. Появление нового сервиса. Многие бэкдоры ставят себя как сервисы.
• Event ID 7036 - Service State Change. Остановка или запуск службы. Может указывать на отключение защиты.

Terminal Services (RDP) Logs

• Event ID 1149 - RDP Logon. Успешный RDP-логин. Особенно важен на серверах, где RDP обычно не используют.

EDR / XDR платформы - когда самому копать лень​

Если Sysmon и Event Logs - это микроскоп и скальпель, то EDR - это уже готовая лаборатория с анализаторами и сигнализацией. Но даже самый крутой EDR не заменит охотника, он лишь дает ему инструменты.

CrowdStrike Falcon

Лидер рынка по поведенческому анализу. Что умеет:

• Профилирование атакующих - Falcon видит не просто "вредонос", а цепочку действий и сопоставляет с тактиками конкретных группировок.
• Indicators of Attack (IOA) - детектит не сигнатуры, а поведение. Например, не просто PowerShell, а PowerShell с дампом LSASS.
• Облачная архитектура - не нагружает эндпоинт, все вычисления в облаке.
• Overwatch - managed threat hunting, когда CrowdStrike сам ищет угрозы в твоей сети.

Microsoft Defender XDR

Единая платформа, объединяющая Defender for Endpoint, Defender for Identity, Defender for Office 365 и Defender for Cloud Apps.

• Интеграция с Identity - видит подозрительные действия с учетками, например, невозможные перемещения.
• Автоматическое расследование - может сам пройти по цепочке и дать готовый отчет.
• Kusto Query Language (KQL) - мощный язык запросов для охоты. Позволяет копать глубоко.
• Стоимость - часто включена в лицензии Microsoft, что делает ее доступной.

SentinelOne

Отличается autonomous AI, который не только детектит, но и может автоматически откатывать изменения.

• Storyline - группирует связанные события в одну историю, упрощая анализ.
• ActiveEDR - позволяет удаленно расследовать инциденты, собирать артефакты.
• Vectra AI - специализируется на сетевом детекте, но их агент тоже есть.

NDR и сетевые детекторы - смотрим на провода​

Endpoint - это важно, но его можно вырубить. Сеть вырубить нельзя. NDR (Network Detection and Response) дает взгляд со стороны, который не зависит от того, что творится на хосте.

Vectra AI

Специализируется на детекции атак в сетевом трафике.

• Detect - находит C2-каналы, латеральное движение, аномалии в поведении хостов.
• Attack Signal Intelligence - выделяет сигналы атак из шума, показывает приоритеты.
• XDR-интеграция - работает в паре с CrowdStrike, SentinelOne и другими.

ExtraHop Reveal(x)

Глубокий анализ пакетов, включая расшифровку и анализ зашифрованного трафика (через метаданные, не вскрывая шифр).

• Видит латеральное движение - RDP, SMB, PsExec.
• Детектит разведку - сканирование портов, перебор паролей.
• Облачные версии - может работать в AWS, Azure, GCP, анализируя трафик внутри облака.

Zeek (бывший Bro)

Open-source фреймворк для анализа сетевого трафика. Не детектит сам, а генерирует логи, которые уже можно отдавать в SIEM или Elastic.

• conn.log - все соединения (как netflow, но подробнее).
• dns.log - все DNS-запросы.
• http.log - HTTP-хидеры, методы, URL.
• ssl.log - сертификаты, SNI, версии TLS.
• Мы используем Zeek как основной источник сетевой телеметрии. Без него ты слеп к происходящему на проводах.

RITA (Real Intelligence Threat Analytics)

Open-source инструмент от Active Countermeasures для поиска C2-биконов в сетевом трафике.

• Beacon Score - анализирует временные ряды соединений и выдает оценку подозрительности.
• Blacklist checking - сверяет IP с известными блэклистами.
• На основе Zeek-логов - требует Zeek или аналогичный источник.

Suricata
High-performance IDS/IPS с открытым кодом.

• Правила на известные паттерны - похож на Snort, но быстрее и с поддержкой многопоточности.
• Lua-скрипты - для кастомной логики детекции.
• Может работать в режиме inline - не только детектить, но и блокировать.

NetFlow / IPFIX

Самый базовый уровень сетевой видимости. Не дает деталей (что внутри пакета), но дает метаданные: кто с кем общался, сколько байт, когда.

• Инструменты: nfdump, SiLK, Elastic с netflow-модулями.
• Что ищем: аномальные объемы трафика, соединения в нерабочее время, необычные пары "хост-порт".

Deception технологии - ловушки для хакеров​

Deception - это когда ты не ждешь, пока тебя сломают, а сам подсовываешь врагу приманку.

Illusive (Zscaler)
Один из лидеров deception-технологий.

• Honeypots - ловушки, которые имитируют реальные системы.
• Deception Tokens - фейковые учетные данные, файлы, сессии.
• Deception Everywhere - агенты на хостах создают локальные приманки.
• 100% алерт - если кто-то взаимодействует с приманкой, это точно атака (легитимные пользователи туда не ходят).

Thinkst Canary
Более простой и доступный вариант.

• Canary Tokens - маленькие приманки (файлы, URL, QR-коды), которые при активации шлют алерт.
• Canary в облаке - можно быстро развернуть honeypot в AWS/Azure.

Threat Intelligence платформы - знай врага в лицо​

Ты можешь иметь лучший EDR и самую крутую сетевую аналитику, но без знания того, кто на тебя нападает, ты будешь вечно гадать.

Recorded Future
Самый мощный TI-движок на рынке. Использует AI для анализа открытых источников, даркнета, технических индикаторов.

• Enrichment - обогащает твои алерты контекстом: этот IP принадлежит группировке X, она использует такие-то TTPs, у неё такие-то цели.
• Predictive Intelligence - предсказывает атаки до их начала, за 30 дней до публичного вымогательства.
• Risk Score - дает скоринг каждому индикатору, чтобы ты не копался в мусоре.
• Мы используем Recorded Future, чтобы не просто тушить пожары, а видеть лес за деревьями.

Flashpoint
Специализируется на мониторинге даркнета, закрытых форумов, чатов хакеров.

• Compromised Credentials - найдет твои учетки, если они утекли.
• Threat Actor Tracking - отслеживает активность группировок в реальном времени.
• В 2026 году они отслеживали геополитические сдвиги и рост хактивизма на фоне конфликтов.

Google Threat Intelligence (Mandiant)
Объединяет экспертизу Mandiant с мощью Google.

• Insights из реальных расследований - Mandiant расследует сотни инцидентов в год и делится данными.
• APT-трекинг - самые полные данные по APT-группировкам.
• Интеграция с Google SecOps - работает с Chronicle SIEM.

SIEM - сводим всё в кучу​

Без централизованного сбора ты будешь сидеть на 500 серверах и руками смотреть логи. SIEM (Security Information and Event Management) собирает всё в одно место, позволяет искать и коррелировать.

Elastic SIEM

Open-source основа, мощный язык запросов (KQL/Kibana Query Language).

• Схема ECS - единая нормализация событий.
• Machine Learning - встроенные ML-модели для поиска аномалий.
• Стоимость - бесплатно, если сам хостишь.
• Мы используем Elastic как основной SIEM - гибко, быстро, под любой бюджет.

Splunk Enterprise Security

Лидер рынка, дорогой, но мощный.

• Correlation Engine - сложные правила корреляции.
• Threat Intelligence Framework - встроенная работа с TI-фидами.
• Dashboard & Reporting - красивые и понятные дашборды для руководства.
• Splunk ES - требует лицензирования по объему данных, может быть очень дорого.

Microsoft Sentinel

Облачный SIEM от Microsoft, построенный на Azure и KQL.

• Бесплатный входной шлюз - платишь только за ингест данных.
• Готовая интеграция с Defender XDR - работает из коробки.
• SOAR-возможности - автоматическое реагирование.
• KQL - мощный язык запросов (но нужно учить).

QRadar (IBM)

Старый, проверенный, но тяжеловесный.

• Flow Inspector - анализ сетевых потоков.
• Offense-driven подход - группирует алерты в инциденты.
• Модульная архитектура - можно докупать анализаторы для разных протоколов.

Что выбрать?

• Нет денег, много мозгов - Elastic.
• Есть деньги, нужна поддержка - Splunk.
• Сидишь в Azure - Sentinel.
• Уже есть IBM - оставайся на QRadar.

---

​

Автоматизация охоты - как научить машину не спать​

Правила корреляции в SIEM

Примеры для Sysmon + Elastic (KQL):

# Подозрительный процесс из Temp стучится наружу
process.name: ("*.exe") and process.path: ("C:\\Users\\*\\AppData\\*" OR "C:\\Windows\\Temp\\*") and network.direction: egress

# Office порождает PowerShell
process.parent.name: ("winword.exe" OR "excel.exe" OR "outlook.exe") and process.name: "powershell.exe"

# Включение WDigest через реестр
registry.path: "*\\Control\\SecurityProviders\\WDigest" and registry.value: "UseLogonCredential" and registry.data: "1"

# PsExec сервис создан
event.code: 7045 and service_name: "PSEXESVC"

# vssadmin delete shadows
process.name: "vssadmin.exe" and process.command_line: "*delete shadows*"

Примеры Sigma-правил
Sigma-формат позволяет писать правила под любые SIEM.

Пример на отключение теневых копий:

title: VSSAdmin Delete Shadows
logsource:
    product: windows
    service: process_creation
detection:
    selection:
        Image|endswith: '\vssadmin.exe'
        CommandLine|contains: 'delete shadows'
    condition: selection

Пример на создание подозрительных сервисов:

title: Suspicious Service Creation via sc.exe
logsource:
    product: windows
    service: process_creation
detection:
    selection:
        Image|endswith: '\sc.exe'
        CommandLine|contains: 'create'
        CommandLine|contains:
            - 'WinMainSvc'
            - 'MSRuntime'
            - 'binPath='
    condition: selection

Интеграция с Threat Intelligence
Скармливай в SIEM хеши и IP известных группировок. Если в твоей системе появился файл с хешом TrickBot или кастомного RealBlindingEDR - это повод начать расследование. Recorded Future предоставляет фиды с индикаторами активных кампаний и инфраструктуры операторов.

Алгоритм скоринга подозрительности
Присваивай каждой сущности (хосту, пользователю) баллы за каждый сработавший индикатор. Если сумма превысила порог - алерт. Платформы типа Recorded Future дают готовые risk scores, комбинирующие множество факторов: распространённость индикатора, ассоциация с кампанией, соответствие TTPs.

Реальные кейсы​

Кейс GRIM SPIDER (Ryuk)
Группировка, стоящая за Ryuk. Их цепочка:

• Фишинг -> TrickBot -> Credential dumping (pwgrab64, реестр UseLogonCredential) -> Discovery (networkdll) -> Lateral movement через PsExec -> Ryuk на всю сеть за 3-8 часов.

Детекты: включение WDigest (Event ID 4657), создание сервисов PSEXESVC (7045), модули TrickBot в AppData.

Кейс Crypto24
Операторы действуют скоординированно, часто в нерабочее время:

• Создание локальных админов через net.exe.
• Кастомный RealBlindingEDR для отключения защит 30+ вендоров.
• Google Drive для эксфильтрации.
• PsExec и AnyDesk для удалёнки.
• Кейлоггеры для сбора данных.
• Сервисы WinMainSvc и MSRuntime.

Детекты: создание пользователей (4720), загрузка драйверов (Sysmon 6), необычные процессы scvhost.exe, gpscript.exe с сетевыми шариками.

Кейс Osiris
Новый шифровальщик конца 2025, атаковавший сеть оператора фаст-фуда в Юго-Восточной Азии :

• BYOVD с драйвером POORTRY (Abyssworker).
• Кастомный RustDesk под видом WinZip Remote Desktop.
• Rclone для выгрузки в Wasabi cloud.
• Кастомный Mimikatz (kaz.exe).
• Netscan, Netexec, MeshAgent.

Детекты: драйвер POORTRY, MeshAgent, кастомный RustDesk, Rclone, поведенческие сходства с INC.

Кейс Reynolds
Новое семейство ransomware, встраивающее BYOVD прямо в пэйлоад :

• Использование NSecKrnl driver (CVE-2025-68947).
• Side-loaded loader за несколько недель до атаки.
• GotoHTTP RAT для поддержания доступа.

Детекты: загрузка NSecKrnl драйвера, подозрительный loader, GotoHTTP.

Кейс Black Basta
Известная группировка также начала встраивать BYOVD в свой рансомвайр :

• Использование NSecKrnl driver.
• Первый случай для Black Basta.
• Частично успешная атака (симантек продолжал работать).

Детекты: NSecKrnl driver, необычные паттерны EDR-киллеров.

Кейс Interlock
Новый игрок, атакующий образование в США и Великобритании :

• ClickFix -> MintLoader -> NodeSnakeRAT.
• Hotta Killer через GameDriverx64.sys (CVE-2025-61155), переименованный в UpdateCheckerX64.sys.
• AZcopy в облачные хранилища.
• Шифрование Nutanix hypervisor.

Детекты: браузеры, порождающие PowerShell, драйвер UpdateCheckerX64.sys, AZcopy, команды для гипервизора.

Кейс с HyperDtct (академический)
Исследование 2026 года показало, что гипервизорный мониторинг системных вызовов даёт высокую точность детекции с минимальной нагрузкой на систему. Платформенная независимость позволяет использовать метод на разных ОС.

Кейс с AI-оркестрованной атакой
В сентябре 2025 Anthropic обнаружил и нейтрализовал первую крупномасштабную атаку, оркестрованную AI. Злоумышленник манипулировал Claude Code для проникновения в ~30 глобальных организаций почти автономно. Это демонстрирует, что угроза AI-управляемых атак уже не теоретическая.

Кейс с AsyncRAT
Censys отслеживает 57 активных хостов AsyncRAT, многие из которых используют дефолтный сертификат "AsyncRAT Server". Характерные порты 8808, 6606, 7707, концентрация у VPS-провайдеров. Используется для долговременного доступа, кражи данных и подготовки к деплою следующей стадии.

Что делать, когда увидел индикатор​

Нашёл подозрительную активность - не сиди сложа руки. Время идёт на минуты.

Шаг 1: Не паниковать и не дёргать
Если ты просто убьёшь процесс, хакер может вернуться через бэкдор. Или включить механизм самоуничтожения.

Шаг 2: Сбор контекста

• Это единичный случай или массовое заражение?
• Какие ещё хосты затронуты?
• Когда началось? (проверить логи за 30 дней)
• Какой процесс и откуда запущен?
• Threat Intelligence: есть ли этот индикатор в базах? Какая группировка его использует? Recorded Future позволяет обогатить алерт контекстом.

Шаг 3: Изоляция, но тихо

• Блокировка на фаерволе C2-каналов.
• Отключение сетевого порта на заражённой машине.
• Если нужно срочно - выдернуть патч-корд.
• Использование deception - перенаправить атакующего на honeypot.

Шаг 4: Глубокая форензика

• Дамп памяти.
• Сбор логов и артефактов.
• Анализ, как именно зашли, чтобы закрыть дыру.
• Sysmon logs - ключевой источник.
• Проверка на наличие BYOVD-драйверов.

Шаг 5: Уничтожение

• Переустановка системы.
• Смена всех паролей.
• Восстановление из бэкапов.

Шаг 6: Извлечение уроков

• Обновление правил детекции.
• Добавление новых индикаторов.
• Интеграция с Threat Intelligence для будущего.

---

Заключение​

Ransomware - это не неуязвимое чудовище. Это просто набор техник, большинство из которых шумные и оставляют следы. Отключение теневых копий, запуск PsExec, дамп LSASS, включение WDigest, BYOVD-драйвера, создание пользователей, кастомные RAT, OAuth-атаки, AiTM-перехваты - всё это можно и нужно мониторить.

Главное - сместить фокус с детекта самого шифрования на детект подготовки. Потому что когда файлы уже легли, поздно пить "Боржоми". Ты должен увидеть врага, когда он ещё разведывает местность, когда он только крадёт пароли, когда он только ставит свой первый бэкдор.

2026 год - время AI-атак и BYOVD. Злоумышленники уже используют agentic AI для автономного планирования и выполнения атак. LLM-вредоносы генерируют полиморфные пэйлоады на лету. BYOVD стал мейнстримом: Reynolds, Black Basta, Interlock, Osiris - все используют уязвимые драйверы, встроенные прямо в пэйлоад. Группировки вроде DragonForce предлагают white-label модели и сервисы аудита для аффилиатов. Количество атак без шифрования выросло на 23% до 6182 инцидентов.

Современные методы - поведенческий анализ, ML-модели типа R2BAR, SwiftRD и мультимодальных multi-agent систем , гипервизорный мониторинг HyperDtct , корреляция событий через SIEM с обогащением от Threat Intelligence , правильная настройка Sysmon и Event Logs - дают тебе оружие против этой эволюции.

Threat Intelligence становится ключевым компонентом. Платформы типа Recorded Future позволяют предсказывать атаки за 30 дней до публичного вымогательства, отслеживать инфраструктуру операторов, фокусироваться на реальных угрозах, а не на всех CVE подряд. NDR-решения типа ExtraHop Reveal(x) обеспечивают видимость сети, невидимую для атакующего.

Это требует работы. Это требует настройки логов, разбора инцидентов, обучения аналитиков. Но это единственный способ не проснуться однажды утром с письмом: "Ваши файлы зашифрованы, заплатите 50 биткоинов".