V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1486Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Шифрование данных с целью воздействия

Злоумышленники могут шифровать данные в целевых системах или в большом количестве систем в сети для прерывания доступности системных и сетевых ресурсов. Они могут попытаться сделать сохраненные данные недоступными путем шифрования файлов или данных на локальных и удаленных дисках и удержания доступа к ключу дешифрования. Это может быть сделано для извлечения денежной компенсации от жертвы в обмен на дешифрование или ключ дешифрования (программы-вымогатели) или для того, чтобы сделать данные навсегда недоступными в случаях, когда ключ не сохранен или не передан. В случае программ-вымогателей типично, что обычные пользовательские файлы, такие как документы Office, PDF, изображения, видео, аудио, текстовые файлы и файлы исходного кода, будут зашифрованы (и часто переименованы и/или помечены специальными метками файлов). Злоумышленникам может потребоваться сначала применить другие действия, такие как Изменение прав доступа к файлам и каталогам или Завершение работы/перезагрузка системы, чтобы разблокировать и/или получить доступ для манипулирования этими файлами. В некоторых случаях злоумышленники могут шифровать критически важные системные файлы, разделы диска и MBR. Злоумышленники также могут шифровать виртуальные машины, размещенные на ESXi или других гипервизорах. Для максимизации воздействия на целевую организацию вредоносное ПО, предназначенное для шифрования данных, может иметь червеподобные функции для распространения по сети с использованием других техник атак, таких как Действительные учетные записи, Извлечение учетных данных ОС и SMB/Общие административные ресурсы Windows. Шифрующее вредоносное ПО также может использовать Внутреннее искажение, такое как изменение обоев жертв или сообщений входа в систему сервера ESXi, или иным образом запугивать жертв, отправляя записки о выкупе или другие сообщения на подключенные принтеры (известное как "print bombing"). В облачных средах объекты хранилища в скомпрометированных учетных записях также могут быть зашифрованы. Например, в средах AWS злоумышленники могут использовать сервисы, такие как Server-Side Encryption with Customer Provided Keys (SSE-C) AWS, для шифрования данных.

Тактики

Деструктивное воздействие

Платформы

ESXiIaaSLinuxmacOSWindows

Меры защиты

M1040
Предотвращение подозрительного поведения на конечной точке
M1053
Резервное копирование данных
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.