Рідкісний для ринку кібербезпеки випадок продемонстрував, що навіть після успішної атаки шифрувальника дані жертв не завжди втрачені безповоротно. Компанія Cyber Centaurs змогла отримати доступ до інфраструктури, пов’язаної з угрупованням INC ransomware, знайти там зашифровані резервні копії та відновити інформацію 12 організацій зі США, які раніше стали жертвами вимагателів.
Як інцидент з Microsoft SQL вивів розслідування на INC ransomware
Розслідування стартувало після звернення американської компанії, на одному з production-серверів Microsoft SQL якої зафіксували активність шифрувальника. Аналіз показав, що для атаки використано варіант RainINC — модифікацію сімейства INC ransomware, запущену з директорії PerfLogs. Цю системну папку Windows часто зловживають як «тихий куток» для прихованого зберігання шкідливих файлів.
Під час цифрової форензики експерти виявили сліди використання легітимного інструмента резервного копіювання Restic. Хоча в конкретній атаці він не застосовувався безпосередньо для ексифільтрації (витоку) даних, саме артефакти Restic стали ключем до переходу від аналізу одиничного інциденту до дослідження всієї інфраструктури вимагачів.
Зловживання Restic та «довгоживучі» сховища бекапів з даними жертв
Сліди присутності INC ransomware включали перейменовані виконувані файли (наприклад, winupdate.exe), PowerShell-скрипти для запуску Restic, а також жорстко закодовані параметри: адреси сховищ, команди резервного копіювання та облікові дані до хмарних сервісів.
PowerShell, Base64 і hard-coded доступи до S3
Особливу увагу фахівців привернув скрипт new.ps1. У ньому містилися команди Restic, закодовані в Base64, а також зашиті в код змінні середовища: ключі доступу, паролі до S3-сумісних сховищ, шляхи до репозиторіїв і інші секрети. Це класичний приклад тактики «living off the land», коли зловмисники зловживають легітимними адмін-інструментами, ускладнюючи їх виявлення засобами безпеки.
Проаналізувавши скрипти, дослідники зробили критично важливий висновок: інфраструктура Restic, яку INC використовує в різних кампаніях, ймовірно, не очищується одразу після завершення атаки. Тобто створені в ході інциденту бекапи можуть ще довго зберігатися у зашифрованому вигляді на серверах, що контролюються злочинцями.
Виявлення та розшифрування даних 12 незалежних організацій
Ця гіпотеза підтвердилася після того, як Cyber Centaurs отримали доступ до відповідних сховищ. На серверах INC ransomware було знайдено зашифровані архіви 12 не пов’язаних між собою компаній із секторів охорони здоров’я, промисловості, технологій та послуг. Жодна з них не була клієнтом Cyber Centaurs, а самі інциденти стосувалися окремих кампаній із вимаганням.
Фахівцям вдалося розшифрувати ці резервні копії, створити їх безпечні копії та ініціювати взаємодію з правоохоронними органами для ідентифікації власників даних та узгодження подальших кроків. Це рідкісний приклад, коли «безповоротне знищення даних», яким часто шантажують вимагачі, фактично виявляється технічно зворотним процесом.
Тактики INC ransomware: від зачистки слідів до «тіньових» бекапів
У звіті Cyber Centaurs детально описано тактики, техніки та процедури (TTPs), які використовують оператори INC ransomware. Зокрема, йдеться про:
• інструменти для зачистки слідів (лог-вайпери, утиліти для вимкнення журналювання та антивірусного захисту);
• засоби віддаленого доступу (як легітимні RMM-рішення, так і сумнівні remote desktop-інструменти);
• сканери мережі та засоби розвідки для побудови карти інфраструктури і пошуку критичних ресурсів.
Для виявлення подібних атак дослідники опублікували YARA- та Sigma-правила, націлені на детектування Restic (включно з переіменованими бінарниками), а також запуск резервного копіювання з нетипових директорій. Такі події можуть свідчити про підготовку до ексифільтрації або атаки шифрувальника.
Ключові уроки для бізнесу: контроль адмін-інструментів і моніторинг бекапів
Ситуація з INC ransomware підсвічує кілька важливих трендів. По-перше, кіберзлочинці активно експлуатують легітимні засоби адміністрування та бекапування — Restic, Veeam, Rclone та інші. Це означає, що однієї лише наявності антивіруса або EDR уже недостатньо: необхідний жорсткий контроль використання адмін-інструментів через політики доступу, моніторинг та аудит дій.
По-друге, сучасні атаки з шифруванням даних все частіше включають систематичне створення «тіньових» резервних копій на інфраструктурі вимагачів. Звітність провідних аналітичних компаній (ENISA, Verizon DBIR, Chainalysis) підтверджує, що подвійне та потрійне вимагання — шифрування, погроза публікацією та подальший перепродаж даних — стає стандартом для ринку ransomware.
Отже, критично важливо не лише підтримувати офлайн- і offsite-бекапи, а й контролювати, хто, де і як створює резервні копії. Будь-які нетипові операції бекапування — особливо в нічний час, з нестандартних директорій, нових облікових записів або з незвичних хостів — мають розглядатися як тригер для негайного розслідування.
Організаціям варто переглянути політику доступу до інструментів резервного копіювання, інтегрувати правила детектування Restic та аналогічних утиліт у SIEM/EDR, регулярно тестувати сценарії відновлення після атаки шифрувальника та відстежувати оновлення YARA- і Sigma-правил від авторитетних дослідницьких команд. Таке проактивне управління бекапами може стати тим фактором, який не лише зменшить збитки під час інциденту, а й, як показав кейс з INC ransomware, у деяких випадках дозволить повернути вже викрадені й зашифровані дані.
