По данным CrowdStrike Global Threat Report 2025, среднее время lateral movement после initial access в 2024 году - 62 минуты. Годом ранее было 84. Рекорд - 51 секунда от foothold до начала перемещения по сети. Пятьдесят одна секунда. Две группировки задают этот темп: Akira с playbook-атаками через VPN-устройства и Storm-1175 - оператор Medusa RaaS, который, по данным Microsoft Threat Intelligence, разворачивает шифрование менее чем за 24 часа, используя zero-day в web-приложениях. По данным ransomware.live, только за первую неделю июня 2026 года Akira опубликовала данные 9 новых жертв - от производственных компаний (T/CCI Manufacturing, NSPA) до финансовых сервисов и гостиничного бизнеса. Ниже - разбор kill chain обеих группировок с привязкой к верифицированным CVE и MITRE ATT&CK, конкретные Sigma-правила и чеклист, который имеет смысл при таком таймлайне.
Зачем ransomware-группировкам скорость атаки
Скорость для ransomware-оператора - прямой мультипликатор выручки. Чем короче время от initial access до impact (time-to-ransom), тем меньше шансов у SOC заметить аномалию и разорвать kill chain. По данным Verizon DBIR 2025, медианный выкуп - $46 000, максимальный зафиксированный - $75 млн.Три фактора двигают тренд ускорения:
- EDR/XDR-зрелость растёт - при длительном dwell time у защитников больше шансов на детект. Группировки вроде Storm-1175 сознательно сжимают окно до часов, проскакивая под порогом реагирования.
- Автоматизация post-exploitation - RMM-инструменты (AnyDesk, Atera, ConnectWise ScreenConnect), Cloudflare-туннели и скрипты для credential harvesting позволяют проходить этапы kill chain параллельно. Один оператор делает то, на что раньше нужна была команда.
- Двойное вымогательство - exfiltration происходит до шифрования. Даже если жертва восстановится из бэкапов, угроза публикации данных остаётся рычагом давления.
Kill chain Akira ransomware: от VPN до шифрования
По публичным DFIR-отчётам, Akira работает по playbook-подходу с чёткой последовательностью этапов. Группировка связана с экосистемой Conti (сходство кода payload, шаблонные TTPs). Модель - двойное вымогательство: exfiltration, шифрование, требование выкупа.
Initial access и privilege escalation
[Применимо: внешний пентест, legacy и modern инфраструктура с VPN без MFA]Основной вектор - SSL VPN-устройства без многофакторной аутентификации. Эволюция initial access за два года:
2023–2024: Cisco ASA. Две CVE в связке:
- CVE-2023-20269 (CVSS 5.0, Medium; CWE-288 Authentication Bypass, CWE-863 Incorrect Authorization) - позволяет неаутентифицированному атакующему проводить brute force учётных записей, а аутентифицированному - устанавливать неавторизованную clientless SSL VPN-сессию на Cisco ASA и Firepower Threat Defense. В CISA KEV с сентября 2023, помечена как используемая в ransomware-кампаниях.
- CVE-2020-3259 (CVSS 7.5, High; CWE-200 Information Disclosure) - раскрытие содержимого памяти через web-интерфейс Cisco ASA/FTD. Атакующий получает конфиденциальные данные, включая учётные записи, без аутентификации. EPSS 0.6973 (Top 5%). В CISA KEV с февраля 2024.
После получения VPN-доступа Akira лезет в Veeam для privilege escalation:
- CVE-2023-27532 (CVSS 7.5, High; CWE-306 Missing Authentication for Critical Function) - извлечение зашифрованных credentials из конфигурационной БД Veeam Backup & Replication. Эти данные часто включают учётки domain admin. EPSS 0.8381 (Top 1% - экстремально высокая вероятность эксплуатации). Скрипт
Veeam-Get-Creds.ps1дампит пароли в cleartext из SQL-базы. - CVE-2024-40711 (CVSS 9.8, Critical; CWE-502 Deserialization of Untrusted Data) - RCE через десериализацию без аутентификации в Veeam Backup & Replication. EPSS 0.7046 (Top 5%). CISA KEV с октября 2024.
Lateral movement, evasion и ransomware impact
[Применимо: внутренний пентест, инфраструктуры с Windows AD]Разведка: Netscan, Advanced Port Scanner, PowerShell-скрипты для сбора данных AD - основной набор по данным DFIR-отчётов. Реже - Powerview, Sharphound, Pingcastle.
Lateral movement - преимущественно RDP (T1021.001, Remote Desktop Protocol). Для ESXi и NAS - SSH. В отдельных случаях атакующие разворачивали собственную VM внутри сети, чтобы обойти endpoint-защиту (изящный ход, надо признать). Инструменты: NetExec, PsExec, Impacket
atexec.py.C2 - преимущественно AnyDesk и OpenSSH. Единичные случаи: Ligolo-ng, Cobalt Strike. Ставка на легитимные RMM создаёт ключевую проблему для детекта: AnyDesk от атакующего неотличим от AnyDesk IT-отдела. И это не баг - это фича их подхода.
Evasion (T1685, Disable or Modify Tools) - ручное отключение AV/EDR. Windows Defender часто гасится через
Set-MpPreference -DisableRealtimeMonitoring $true или модификацию реестра DisableAntiSpyware.Exfiltration (T1560.001, Archive via Utility) - преимущественно WinRAR, реже 7-Zip. Отправка: WinSCP, FileZilla, Rclone. Самый короткий зафиксированный случай exfiltration - менее трёх часов.
Impact (T1486, Data Encrypted for Impact; T1490, Inhibit System Recovery) - целенаправленное уничтожение бэкапов:
vssadmin delete shadows /all /quiet, форматирование дисков. Шифрование VMDK/VHDX на уровне гипервизора. Payload: w.exe, akira.exe, locker.exe. Расширение .akira. Ранние варианты (2023) содержали криптографическую ошибку - единый ключ ChaCha20/8 для всех файлов на хосте - что позволило Avast создать декриптор. В актуальных сэмплах эту ошибку, скорее всего, уже закрыли.Kill chain Storm-1175: zero-day и Medusa ransomware за 24 часа
По публикациям Microsoft Threat Intelligence, Storm-1175 - финансово мотивированная группировка, работающая как affiliate платформы Medusa RaaS. Storm-1175 - оператор, а не разработчик, но с ресурсами, нетипичными для обычного RaaS-аффилиата.
В январе–феврале 2025 заявлено более 40 жертв - почти вдвое больше аналогичного периода 2024.
Initial access через zero-day в web-приложениях
[Применимо: внешний пентест, организации с web-facing сервисами]С 2023 года Storm-1175 предположительно эксплуатировал уязвимости в ряде продуктов. Подтверждённые CVE связаны с GoAnywhere MFT и SmarterMail; по публикациям Microsoft Threat Intelligence, группировке также приписывается эксплуатация Exchange Server, PaperCut NG/MF, Ivanti Connect Secure и других продуктов, однако степень подтверждённости этих атрибуций различается.
Два подтверждённых zero-day:
- CVE-2025-10035 (GoAnywhere MFT, CVSS 10.0, Critical; CWE-77 Command Injection, CWE-502 Deserialization) - десериализация в License Servlet позволяет выполнить произвольную команду. По имеющимся данным, уязвимость эксплуатировалась как zero-day до публичного раскрытия Fortra; атрибуция Storm-1175 основана на публикациях Microsoft Threat Intelligence и требует независимого подтверждения. CISA KEV с 29 сентября 2025. EPSS 0.6224 (Top 5%).
- CVE-2026-23760 (SmarterMail, CVSS 9.3, Critical по CVSS:4.0; CWE-288 Authentication Bypass) - endpoint
force-reset-passwordпринимает анонимные запросы и не проверяет текущий пароль или reset-токен. Неаутентифицированный атакующий сбрасывает пароль системного admin и получает полный контроль. EPSS 0.8165 (Top 1%). CISA KEV с января 2026.
Post-compromise и время до шифрования
[Применимо: внутренний пентест, корпоративные инфраструктуры с AD]После initial access Storm-1175 действует по отработанной схеме:
- Persistence (T1078, Valid Accounts) - создание неавторизованных учёток, добавление в группу Administrators. Развёртывание web shell в скомпрометированных приложениях.
- C2 - целый зоопарк легитимных RMM: Atera, Level, N-able, DWAgent, MeshAgent, ConnectWise ScreenConnect, AnyDesk, SimpleHelp. Cloudflare-туннели для скрытого канала. Трафик маскируется под административную активность - попробуй отличи.
- Credential access (T1003.001, LSASS Memory) - Mimikatz, прямой дамп памяти LSASS через Task Manager, WDigest-манипуляции через реестр для кэширования паролей в cleartext, скрипты восстановления паролей Veeam.
- Exfiltration - Rclone (синхронизация на облачное хранилище атакующего), Bandizip для архивирования.
- Impact (T1486) - развёртывание Medusa ransomware. Типичный таймлайн: 5–6 дней; в задокументированных Microsoft случаях высокого темпа - менее 24 часов.
Детектирование ransomware: Sigma-правила и вендор-специфика
При time-to-ransom в часы приоритет - детект промежуточных этапов, дающих окно для реагирования. Общие TTPs обеих группировок - оптимальные точки для обнаружения программ-вымогателей:| Параметр | Akira | Storm-1175/Medusa |
|---|---|---|
| Initial access | SSL VPN (Cisco, SonicWall) | Web-приложения (GoAnywhere, SmarterMail) |
| Zero-day | Нет - known CVE + brute force | Да - эксплуатация за неделю до disclosure |
| C2 | AnyDesk (основной инструмент), OpenSSH | Atera, ConnectWise, Cloudflare tunnels |
| Credential access | Veeam credential dump, password spraying | Mimikatz, LSASS dump, WDigest, Veeam scripts |
| Exfiltration | WinSCP, FileZilla, Rclone | Rclone, Bandizip |
| Общий паттерн | Отключение AV/EDR, удаление shadow copies, Rclone |
Три пересечения - три точки детекта: Rclone, отключение защитных решений, удаление shadow copies.
Sigma-правила для ransomware индикаторов компрометации
Детект Rclone-эксфильтрации - используется и Akira, и Storm-1175. Rclone на серверах, где утилита не установлена IT-отделом, - индикатор компрометации.
YAML:
title: Rclone Exfiltration - Akira/Storm-1175
logsource:
category: process_creation
product: windows
detection:
sel_img: {Image|endswith: '\rclone.exe'}
sel_cmd: {CommandLine|contains|any: ['sync', 'copy', ':s3:', ':mega:']}
condition: sel_img and sel_cmd
level: highДетект удаления shadow copies - последний рубеж перед шифрованием (T1490, Inhibit System Recovery). Если этот алерт сработал - до encryption остаются минуты.
YAML:
title: Shadow Copy Deletion - Pre-Encryption
logsource:
category: process_creation
product: windows
detection:
sel_vss: {CommandLine|contains|all: ['vssadmin', 'delete', 'shadows']}
sel_wmic: {CommandLine|contains|all: ['shadowcopy', 'delete']}
condition: sel_vss or sel_wmic
level: critical/all /quiet.Дополнительно стоит мониторить: обращения к LSASS с GrantedAccess
0x1010 или 0x1FFFFF (Sysmon EventID 10), массовое создание локальных учётных записей с добавлением в группу Administrators, модификацию реестра DisableAntiSpyware.Где ломается детект: разбор по EDR-вендорам
Эффективность детекта критически зависит от конкретного продукта и конфигурации. Обобщение «EDR поймает» - пустой звук без вендор-специфики:CrowdStrike Falcon - поведенческая аналитика детектирует массовое шифрование и
vssadmin delete shadows. Проблема: AnyDesk как C2 - Falcon видит легитимный подписанный бинарь. Детект работает при наличии baseline «AnyDesk на этом хосте не ожидается». При ручном отключении агента (Akira регулярно этим пользуется) Falcon может не успеть отправить телеметрию, если tamper protection не активирована.Elastic 8.x+ с kernel ETW-TI - сильная защита LSASS: детектирует прямой дамп через Task Manager, блокирует Mimikatz. Слабое место: RMM-based C2 (Atera, ConnectWise) генерирует сетевой трафик, неотличимый от штатного администрирования без allow-листов.
SentinelOne - поведенческий движок ловит массовое переименование и шифрование файлов в реальном времени. Уязвимость: если атакующий отключает агент через сервисный пароль (полученный из скомпрометированной AD-учётки), защита нейтрализуется до начала шифрования.
Общая проблема для всех трёх: обе группировки сначала гасят защиту, потом шифруют. Если EDR-агент можно деактивировать с правами local admin без подтверждения из облачной консоли (tamper protection выключена или не настроена) - kill chain проходит чисто.
Чеклист немедленных действий
Пункты 1–3 снижают вероятность initial access и privilege escalation. Пункты 4–6 дают шанс поймать атакующих на этапе exfiltration и перед шифрованием. Пункты 7–10 сокращают attack surface.
За последние два года я разбирал инциденты, где от первого lateral movement до полного шифрования проходило 40–55 минут. Практически все начинались одинаково: скомпрометированный VPN без MFA, Veeam без патча, EDR-агент, который можно было остановить локальным admin. Ни один кейс не потребовал от атакующего продвинутых навыков - только скорость и чёткий playbook. Большинство SOC до сих пор проектируют playbook реагирования с расчётом на dwell time в дни и недели. Таймлайн Storm-1175 - менее суток до Medusa - ломает эту модель полностью. Playbook с эскалацией через тикет-систему и подтверждением в три этапа - это уже не playbook, а постмортем. Единственное, что реально работает на таких скоростях, - автоматический детект промежуточных TTPs (shadow copy deletion, Rclone на сервере) с немедленной изоляцией хоста без ожидания человеческого решения. Akira и Storm-1175 - не элитные APT с уникальным тулсетом. Это организованные группы, которые эксплуатируют самые простые ошибки конфигурации. Я регулярно вижу SOC, где автоизоляция хоста не включена, потому что «бизнес не одобрил». При 62 минутах на lateral movement это не консервативный подход - это осознанный выбор в пользу инцидента.
Последнее редактирование модератором:
