Фишинг давно перестал быть примитивным способом кражи паролей. Сегодня это полноценный канал доставки сложных атак, включая ransomware. Один из свежих примеров — кампания с использованием шифровальщика Global Group, который способен заражать системы и шифровать данные без какого-либо сетевого взаимодействия после запуска.
Атака была зафиксирована исследователями Forcepoint X-Labs и наглядно показывает, как меняется ландшафт угроз: меньше вредоносных файлов, меньше сетевого шума и больше эксплуатации доверия пользователя и стандартных механизмов операционной системы.
Как начинается атака
Входная точка — фишинговое письмо с вложением. Письмо не использует агрессивных приёмов социальной инженерии: нет срочности, угроз или явных триггеров. Это может быть нейтральная тема вроде «Your document» или «Files», что как раз повышает вероятность открытия.
Вложение маскируется под документ Microsoft Word, но на самом деле представляет собой файл с расширением .lnk — ярлык Windows. Часто используется двойное расширение, например Document.doc.lnk. При стандартных настройках Windows реальное расширение скрыто, и пользователь видит «обычный документ».
Запуск такого файла не открывает документ, а сразу инициирует выполнение команд на системе.
Использование штатных инструментов Windows
После запуска ярлыка вредоносная цепочка строится без классического загрузчика или отдельного исполняемого файла. Global Group активно использует легитимные инструменты Windows — PowerShell, cmd и встроенные системные утилиты.
Этот подход известен как Living off the Land: атака выполняется средствами самой операционной системы. Для средств защиты это серьёзное усложнение, поскольку активность выглядит как обычные административные действия, а не как работа вредоносного ПО.
Ключевая особенность: автономное шифрование
Главное отличие Global Group от многих других ransomware — отсутствие необходимости связываться с управляющим сервером. Ключ шифрования генерируется локально, прямо на заражённой машине.
Это означает, что:
атака не требует подключения к интернету;
сетевой мониторинг может не зафиксировать ничего подозрительного;
блокировка внешних соединений или изоляция сегмента сети не предотвращает сам факт шифрования.
Такой режим работы иногда называют «тихим» или автономным: вредоносное ПО не «звонит домой» и не оставляет привычных сетевых индикаторов компрометации.
Что происходит после заражения
После инициализации Global Group приступает к шифрованию данных, используя современный алгоритм ChaCha20-Poly1305. Одновременно вредоносный код удаляет теневые копии Windows (Volume Shadow Copies), чтобы лишить жертву возможности восстановить файлы стандартными средствами.
Дополнительно предпринимаются действия по удалению временных файлов и следов выполнения команд, что усложняет форензику и анализ инцидента. В финале пользователь получает уведомление с требованием выкупа и инструкциями по дальнейшим действиям.
При отсутствии изолированных резервных копий восстановление данных становится крайне затруднительным.
Современные атаки всё реже полагаются на очевидные вредоносные файлы и всё чаще используют доверенные механизмы системы и привычки пользователей.
Фишинг в этой модели играет ключевую роль. Он остаётся самым простым и надёжным способом доставить атаку внутрь организации, даже если инфраструктура хорошо защищена технически.
Когда атака выглядит как легитимное действие пользователя и использует стандартные инструменты ОС, решающим фактором становится человеческий уровень защиты.
Именно поэтому обучение пользователей и работа с их повседневным поведением сегодня становятся не дополнением к информационной безопасности, а её фундаментом.