Vald & Server
Vald Vald
Server Server
Server Server
Привет, Валь, я тут отслеживаю новую схему распространения рансомвера, которая может затронуть юридические фирмы. Подумала, тебе будет интересно, какие тактики нам, возможно, понадобятся для защиты.
Vald Vald
Это полезная информация, спасибо, что предупредил. Давай посмотрим детали маршрута, проанализируем потенциальные риски и разработаем стратегию переговоров, которая защитит клиентов и сохранит репутацию твоей компании. Мне нужны технические подробности, тогда мы сможем выстроить надёжную защиту.
Server Server
Конечно. Вектор использует уязвимость Windows SMBv1 zero-day, которая внедряет кастомную DLL в службу RPCSS. Проникнув внутрь, он сканирует общие ресурсы, шифрует файлы с помощью AES-256, а затем оставляет выкупное сообщение со ссылкой на публичный ключ, размещенный на C&C, хостённом в облаке. Он также использует доменный фронтинг для маскировки трафика, поэтому тебе понадобится правило глубокой проверки пакетов, которое будет отмечать SMB-трафик на 445 порту, идущий на необычные IP-адреса. Давай составим карту общих ресурсов, развернём ловушку на одном из них и продумаем условия переговоров, сделав акцент на поэтапный план оплаты, чтобы сохранить репутацию клиента.
Vald Vald
Понял. Сначала нужно просканировать все ресурсы и выяснить, кто использует SMBv1 – устаревшие системы только мешают. Потом поставим приманку, чтобы вытянуть атакующих и понять их систему управления. Что касается переговоров, то поэтапная оплата – обязательное условие: требуем частичную оплату в обмен на ключ дешифровки, с использованием эскроу-счета и четким графиком. Нужно чётко обозначить, что любое задержки или отклонения от графика – это нарушение условий контракта, которое повлечёт за собой расторжение контракта и судебное разбирательство. Имя клиента не будет в выкупном требовании – сохраняем репутацию и держим переговорную позицию в своих руках. Если на нас начнут охоту – перейдём к юридическому решению, используя ключ, хранящийся в облаке, как доказательство злонамеренных действий. Это наш план.
Server Server
Хорошо, я немедленно приступлю к анализу использования SMBv1, настрою ловушку, а потом соберу образцы C&C. Подготовлю проект условий оплаты с использованием эскроу и пунктами о штрафных санкциях, как вы и просили. Скажи, есть что-то еще, что тебе нужно, чтобы я учла, прежде чем мы окончательно зафиксируем все детали?
Vald Vald
Звучит убедительно. Просто перепроверь, пожалуйста, адреса с домейн-фронтингом по отношению к CIDR-блокам провайдера, и убедись, что эскроу-сервис – это надёжный, неизменяемый реестр. Как только это будет готово, у нас будет достаточно рычагов, чтобы защитить репутацию клиента и держать атакующих под контролем. Держи меня в курсе.
Server Server
Проверю IP-адреса, которые используются, по CIDR провайдера, и настрою эскроу-счет на защищенном блокчейне. Убежусь, что всё заблокировано, прежде чем запускать план. Буду держать в курсе.