Криминалистический стол с разобранным сетевым устройством на чёрном мате. Руки в перчатках держат щуп у повреждённой платы, на дисплее — текст об уязвимости.


Компания на 80 хостов. Бэкапы через Veeam каждую ночь, политика хранения - 14 дней. Понедельник, утро - бухгалтерия не может открыть базу 1С, расширения файлов на файловом сервере изменились. Через 40 минут картина ясна: шифровальщик прошёлся по файловому серверу, двум контроллерам домена и по NAS с репозиторием Veeam. Сервисная учётка бэкапа была доменной с правами локального администратора на хранилище - ransomware использовал её для lateral movement и зашифровал репозиторий вместе со всеми production-данными.

Восстановление заняло 11 дней. Стоимость простоя превысила сумму выкупа в четыре раза.

Это не крайний случай. Это типовой сценарий для SMB-инфраструктуры без сегментации и immutable-бэкапов. И я вижу его снова и снова.

Бизнес-логика атаки: почему малый бизнес - приоритетная цель ransomware​

По данным Verizon DBIR 2025, рост ransomware-инцидентов в сегменте SMB составил 18% год к году.

Логика атакующих проста до неприличия. Крупная компания - месяцы разведки, SOC с тремя сменами, юридический департамент, готовый к переговорам. SMB - RDP, торчащий в интернет, один сисадмин на полставки, бюджет на EDR отсутствует как класс. Медианный выкуп, по данным Verizon DBIR 2025, составляет $46 000 - сумма, которую SMB-жертва чаще готова заплатить, чем терпеть 21 день простоя (средний показатель downtime по Halcyon). Группы вроде Qilin, Akira, Play и DragonForce - все среди наиболее активных по данным ransomware.live - осознанно выбирают цели с оборотом, достаточным для выплаты выкупа, но недостаточным для нормальной эшелонированной защиты.

Для российского бизнеса финансовый контекст усиливается оборотными штрафами за утечки персональных данных. Если шифровальщик эксфильтровал клиентскую базу до шифрования (а значительная часть атак в 2025 году включает этап эксфильтрации - double extortion), компания получает двойной удар: простой бизнеса плюс штраф регулятора. Это не гипотетический риск, а оценка рисков кибербезопасности SMB, которую стоит переводить в конкретные рубли.

Векторы атак программ-вымогателей: kill chain от initial access до шифрования​

1782983267183.webp

Атака ransomware на SMB - не одно событие, а цепочка: initial access, lateral movement, exfiltration, Data Encrypted for Impact (T1486 по MITRE ATT&CK). Три основных вектора входа с привязкой к TTPs.

Скомпрометированные учётные данные и RDP​

По ряду отраслевых отчётов, скомпрометированные VPN-учётные данные входят в число ведущих причин ransomware-атак - нередко опережая фишинг и эксплуатацию уязвимостей.

Механика: злоумышленник покупает учётные данные VPN или RDP у Initial Access Broker (IAB) на теневом маркетплейсе. Дальше - вход через Valid Accounts (T1078, Initial Access). Если RDP открыт наружу без MFA и Network Level Authentication - дело пары минут. CMU SEI в разборе стратегий защиты от ransomware называет RDP первым по значимости вектором атаки.

В SMB на Windows Server 2016/2019 без современного EDR (CrowdStrike Falcon, SentinelOne, Elastic 8.x+) этот вектор остаётся доминирующим. Результат - валидные доменные учётные данные в руках атакующего, и дальше lateral movement через легитимные административные инструменты, которые не вызывают ни одного алерта. Потому что для SIEM это выглядит как обычная работа сисадмина.

Эксплуатация уязвимостей периметра​

Второй вектор - дыры в устройствах на периметре. Для SMB тут боль: цикл патч-менеджмента на периметральном оборудовании часто составляет месяцы.

Конкретные примеры из CISA KEV, помеченные как используемые в ransomware-кампаниях:
  • CVE-2024-40766 - SonicWall SonicOS, improper access control (CWE-284), CVSS 9.8 (CRITICAL). Вектор CVSS: AV:N/AC:L/PR:N/UI:N - атака по сети, без аутентификации, без действий пользователя. Затрагивает SonicWall Gen 5, Gen 6 и Gen 7 с SonicOS 7.0.1-5035 и ниже. CISA добавила в KEV 9 сентября 2024 года.
  • CVE-2025-5777 - Citrix NetScaler ADC/Gateway, out-of-bounds read (CWE-125, CWE-908, CWE-457), CVSS 9.3 (CRITICAL по CVSS 4.0). Эксплуатируется при конфигурации Gateway как VPN virtual server, ICA Proxy, CVPN, RDP Proxy или AAA virtual server. CISA KEV с пометкой ransomware, добавлена 10 июля 2025. Публичный PoC на Exploit-DB (EDB-52401).
Оба случая объединяет одно: SonicWall и Citrix NetScaler - стандартное оборудование SMB в России. И организации по-прежнему не патчат периметр вовремя. Ничего не изменилось.

Фишинг и скомпрометированные легитимные хосты

По данным Verizon DBIR 2025, фишинг остаётся вектором initial access в 36% инцидентов, а 68% утечек связаны с человеческим фактором. IBM X-Force фиксирует: генерация фишинговых писем с помощью GenAI стала быстрее в 11,4 раза при сопоставимом качестве. Для SMB с 50-200 сотрудниками без security awareness training одно правдоподобное письмо с .xlsm-вложением - вопрос дней.

Отдельная проблема - insider threat и скомпрометированные легитимные хосты. Сотрудник, чей ноутбук заражён infostealer, сам становится вектором: украденные cookie, сессии RDP, сохранённые пароли из браузера уходят атакующему. Дальше - T1078 Valid Accounts, и проникновение неотличимо от нормальной работы пользователя. Без поведенческого анализа (baseline аномалий) такие атаки не детектируются стандартным антивирусом. Он просто не понимает, что "легитимный пользователь" уже не тот.

Detection-чеклист: правила корреляции для ransomware в SMB-сети​

1782983295372.webp

Минимальный detection-стек для Blue Team малого бизнеса - Sysmon (конфигурация SwiftOnSecurity, SwiftOnSecurity/sysmon-config) + Wazuh-агенты (open-source SIEM). Что мониторить - ниже.

Что алертить через Sysmon и Wazuh​

Ключевые EventCode для ransomware detection:
  • Sysmon EventID 11 (FileCreate) - массовое создание файлов с нетипичными расширениями (.lockbit, .akira, .encrypted). Порог корреляции: более 50 событий за 60 секунд от одного ProcessId.
  • Sysmon EventID 1 (ProcessCreate) - запуск vssadmin.exe delete shadows /all /quiet или wmic shadowcopy delete. Удаление теневых копий - стандартный шаг перед шифрованием, T1490 (Inhibit System Recovery).
  • Windows Security EventID 4625/4624 - серия неудачных аутентификаций с последующим успешным входом. Порог: более 10 EventID 4625 за 5 минут с одного source IP, затем EventID 4624. Индикатор brute force RDP.
  • Sysmon EventID 3 (NetworkConnect) - исходящее соединение нетипичного процесса на порты 443/8443 к IP не из whitelist. Возможная C2-коммуникация или эксфильтрация перед шифрованием.
Пример правила Wazuh для алерта на удаление теневых копий (T1490):
XML:
<rule id="100510" level="14">
  <if_sid>61603</if_sid>
  <field name="win.eventdata.commandLine" type="pcre2">
    (?i)vssadmin.*delete.*shadows|wmic.*shadowcopy.*delete
  </field>
  <description>Ransomware indicator: shadow copy deletion</description>
  <group>ransomware,t1490,</group>
</rule>

Sigma-правила и canary-файлы​

В репозитории SigmaHQ (SigmaHQ/sigma) по тегу T1486 (Data Encrypted for Impact) доступно 17 правил. Три наиболее практичных для SMB:
  • file_rename_win_ransomware.yml - детектирует массовое переименование файлов с характерными для шифровальщиков паттернами расширений.
  • image_load_dll_rstrtmgr_suspicious_load.yml - отслеживает подозрительную загрузку rstrtmgr.dll. Ransomware использует Restart Manager API, чтобы снять блокировки с файлов перед шифрованием - этот IOC характерен для LockBit, BlackCat и их производных.
  • av_ransomware.yml - корреляция алертов антивируса с известными сигнатурами ransomware-семейств.
По тегу T1078 (Valid Accounts) доступно 116 правил, включая proc_creation_win_net_use_password_plaintext.yml - детектирует передачу пароля открытым текстом через net use, часто используемую при lateral movement.

Для валидации detection-правил - тесты Atomic Red Team (redcanaryco/atomic-red-team). По T1486 три теста: PureLocker Ransom Note, Data Encrypted with GPG4Win и Data Encrypt Using DiskCryptor - все запускаются на Windows.

Дополнительная мера с минимальными затратами - canary-файлы (D3-DF, Decoy File по MITRE D3FEND): на каждом сетевом ресурсе создайте файл-ловушку (например, _BUDGET_2025_final.xlsx) и настройте алерт на его изменение через Wazuh File Integrity Monitoring (D3-FIM). Шифровальщик обрабатывает файлы последовательно - canary-файл сработает раньше, чем зашифрована вся шара. Дёшево, сердито, работает.

Backup-стратегия от ransomware: immutable-репозиторий или ничего
1782983317919.webp

Правило 3-2-1 (три копии, два типа носителей, одна offsite) - минимум. Но для SMB, где Veeam - де-факто стандарт, критична одна конкретная конфигурация: immutable-репозиторий.

Требования к окружению​

  • ОС: Ubuntu 22.04 LTS или Debian 12 (поддерживаются Veeam Linux Hardened Repository)
  • RAM: минимум 4 ГБ для сервиса; объём хранилища - по потребностям бизнеса
  • Файловая система: XFS (обязательно для immutability в Veeam)
  • Сеть: изолированный VLAN, SSH-доступ только с jump host, отдельный список IP

Ключевые принципы​

  1. Linux Hardened Repository - репозиторий на GNU/Linux-хосте с immutability на уровне файловой системы. Учётная запись Veeam имеет ограниченные права и не может удалить immutable-бэкапы даже при компрометации домена.
  2. Не доменные учётные данные - учётка для бэкап-репозитория должна быть локальной на GNU/Linux-хосте, не входящей в AD. Это разрывает цепочку lateral movement.
  3. Сегментация - бэкап-сервер за pfSense/Mikrotik в отдельном VLAN.
Тестирование восстановления - ежеквартально. И не "проверили, что задание завершилось зелёным", а полный restore VM из immutable-копии с проверкой загрузки ОС и доступности данных. На практике компании обнаруживают проблемы с бэкапами именно во время инцидента - когда исправлять поздно.

Incident response план ransomware: первые 60 минут

Для SMB IR-план - не 40-страничный документ, а одностраничный playbook, распечатанный и лежащий рядом с консолью. Рамочная привязка - NIST SP 800-53 IR-1 (Incident Response Policy) и CP-1 (Contingency Planning).

0-10 минут: изоляция. Отключить заражённый хост от сети (disable port на свитче). Не выключать машину - оперативная память содержит артефакты. Заблокировать скомпрометированную учётку: Disable-ADAccount -Identity <username>. Если шифрование активно распространяется - drop-правило для межсегментного трафика на firewall.

10-30 минут: масштаб. Проверить Wazuh dashboard: какие хосты генерируют алерты (mass file rename, shadow copy deletion). На заражённом хосте через изолированную консоль: Get-Process | Where-Object {$_.CPU -gt 50} - найти процесс, жрущий CPU (шифрование ресурсоёмко). Проверить целостность immutable-репозитория: подключиться к GNU/Linux-хосту, убедиться, что immutable-флаги на месте.

30-60 минут: containment и уведомление. Сбор артефактов: Velociraptor для remote forensic triage - автоматический сбор Prefetch, Amcache, ShimCache, MFT, Windows Event Logs. Оценка для руководства: что зашифровано, есть ли признаки эксфильтрации (Sysmon EventID 3 - нетипичные объёмы исходящего трафика), состояние бэкапов. Если обнаружены признаки утечки персональных данных - запуск процедуры уведомления Роскомнадзора.

Hardening-чеклист: ransomware prevention для SMB-инфраструктуры​

Готовый чеклист для передачи сисадмину. Каждый пункт - конкретное действие с командой или настройкой.
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

За полтора года работы с постинцидентной аналитикой в SMB-сегменте я вижу одну и ту же картину: бэкапы есть, но бесполезны. Не потому что не создавались - потому что лежали в том же домене, под той же учёткой, без immutability. Защита от ransomware для малого бизнеса - это десять пунктов чеклиста выше, Sysmon, Wazuh и сегментация сети. Не двадцать vendor-решений за миллионы рублей.

Но парадокс в другом: в SMB некому это делать системно. Один сисадмин, который и 1С обновляет, и принтеры чинит, не будет разбирать Sigma-правила по воскресеньям. Мой прогноз: через год-два киберстрахование станет обязательным для SMB с оборотом выше определённого порога. И именно наличие detection-стека, immutable-бэкапа и документированного IR-плана будет определять стоимость полиса - или саму возможность его получить. Кто настроит раньше - заплатит меньше.

Если строите или корректируете detection-логику под ransomware TTP - на codeby.net в профильном треде коллеги делятся рабочими Sigma-правилами и конфигурациями Wazuh под конкретные группы.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab