Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
1054 подписчика

The Gentlemen: агрессивный шифровальщик‑червь от Storm‑2697

4
9 мин
Если вы полагаете, что программы-шифровальщики представляют риск исключительно для малого бизнеса, стоит пересмотреть этот взгляд. В практике реагирования на инциденты фиксируются случаи, когда атака с использованием самораспространяющегося вредоносного ПО (так называемого «червя-шифровальщика») приводила к шифрованию нескольких терабайт критически важных данных в течение 15–20 минут. По данным открытых источников, перед шифрованием злоумышленники нередко осуществляют кражу конфиденциальной информации. Традиционные методы защиты, основанные только на резервном копировании, в таких условиях перестают быть достаточными. Разберем, с чем связана эффективность современных атак и как выстроить оборону в 2026 году. В конце 2025 года в открытом доступе появился анализ одной из новых модификаций вредоносного ПО, получившей условное обозначение Storm-2697. Как сообщалось в технических отчетах, этот образец сочетает в себе свойства программы-вымогателя и сетевого червя. Он написан на языке Go, чт
Оглавление
Криптография (Curve25519, XChaCha20) и модель ключей
Криптография (Curve25519, XChaCha20) и модель ключей

Шифровальщики-черви нового поколения: как атаки с двойным вымогательством меняют ландшафт угроз в 2026 году

Если вы полагаете, что программы-шифровальщики представляют риск исключительно для малого бизнеса, стоит пересмотреть этот взгляд. В практике реагирования на инциденты фиксируются случаи, когда атака с использованием самораспространяющегося вредоносного ПО (так называемого «червя-шифровальщика») приводила к шифрованию нескольких терабайт критически важных данных в течение 15–20 минут. По данным открытых источников, перед шифрованием злоумышленники нередко осуществляют кражу конфиденциальной информации. Традиционные методы защиты, основанные только на резервном копировании, в таких условиях перестают быть достаточными. Разберем, с чем связана эффективность современных атак и как выстроить оборону в 2026 году.

Откуда берутся современные угрозы и почему они обходят типовые средства защиты

В конце 2025 года в открытом доступе появился анализ одной из новых модификаций вредоносного ПО, получившей условное обозначение Storm-2697. Как сообщалось в технических отчетах, этот образец сочетает в себе свойства программы-вымогателя и сетевого червя. Он написан на языке Go, что усложняет его статический анализ: такие бинарные файлы содержат значительный объем рантайм-кода и зачастую обходят эвристические правила, настроенные под классические компиляторы C++ или .NET.

В данном семействе применяется криптография на базе Curve25519 в связке с поточным шифром XChaCha20. Для каждого файла генерируется уникальный ключ. При отсутствии доступа к управляющему серверу злоумышленников расшифровка без ключей признается экспертами практически невозможной. Кроме того, вредоносный код способен самостоятельно распространяться по сети, используя стандартные протоколы и легитимные административные утилиты.

Практика двойного вымогательства: почему кража данных становится критичнее шифрования

В классических сценариях прошлых лет алгоритм действий был относительно прост: данные шифровались, и компания могла восстановиться из резервных копий. Современные атаки, согласно аналитике инцидентов, изменили этот подход. Перед запуском шифрования злоумышленники через легальные средства удаленного управления (например, PsExec или WMI) копируют конфиденциальные сведения: от персональных данных сотрудников до проектной документации и исходных кодов.

В ряде публичных кейсов сообщалось о том, что украденные материалы (включая чертежи и ноутбуки) попадали в открытый доступ или в теневые каналы еще до того, как компания обнаруживала факт взлома. Выкуп в такой ситуации не гарантирует предотвращения утечки. Более того, разглашение персональных данных и нарушение целостности критической информационной инфраструктуры может рассматриваться как основание для административной и уголовной ответственности по 152-ФЗ и 187-ФЗ. По оценкам экспертов, значительная часть компаний, столкнувшихся с двойным вымогательством, испытывают серьезные финансовые и репутационные потери, вплоть до приостановки деятельности.

Типовые векторы проникновения

Анализ зафиксированных инцидентов позволяет выделить несколько наиболее распространенных способов проникновения:

  • Незащищенные службы удаленного рабочего стола (RDP) без многофакторной аутентификации. Злоумышленники сканируют открытые порты и могут подобрать пароль методом перебора.
  • Использование легитимных административных инструментов (PsExec, WMI, удаленных заданий планировщика Windows). Многие системы класса EDR не блокируют такие утилиты по умолчанию, так как они считаются доверенными.
  • Первичный доступ, получаемый через подрядчиков или скомпрометированные учетные записи сотрудников. В открытых расследованиях упоминается, что доступ к сети иногда продается третьими лицами (так называемые брокеры доступа) за относительно небольшие суммы.

Технические меры защиты: что показывает практика реагирования

На основе опыта анализа инцидентов можно сформулировать набор мер, которые существенно снижают риск успешной атаки.

  1. Сегментация сети и микросегментация
    Разделение сетевых сегментов и контроль трафика между ними ограничивает «радиус поражения». Рекомендуется запрещать на уровне хостовых межсетевых экранов прямое взаимодействие по протоколу SMB (порт 445) между отделами, за исключением специально выделенных файловых серверов. Принцип наименьших привилегий должен применяться не только к пользователям, но и к сервисным учетным записям.
  2. Контроль удаленного доступа
    Прямой доступ к RDP-портам из внешних сетей следует исключить. Рекомендуется использование VPN-шлюзов или решений класса ZTNA в сочетании с многофакторной аутентификацией. В практике встречались случаи, когда уязвимостью становился сервер с неуправляемым RDP-доступом и тривиальными паролями.
  3. Ограничение административных инструментов
    PowerShell, PsExec, WMI и другие средства удаленного выполнения команд должны контролироваться через политики AppLocker или Windows Defender Application Control. Желательно разрешать выполнение скриптов только тем сценариям, которые подписаны доверенными лицами. Если на рабочих станциях операторов такие инструменты не требуются, их следует отключать или строго ограничивать.

Особое внимание — резервным копиям

По данным анализа инцидентов, многие атаки включают попытку удаления теневых копий томов (Volume Shadow Copy) через вызовы vssadmin.exe или WMI. Поэтому резервные копии должны быть защищены от модификации и удаления со стороны зараженных узлов.

Рекомендуемые правила:

  • Хранить резервные копии на изолированных носителях (офлайн) или в неизменяемом (immutable) хранилище.
  • Сервер резервного копирования не должен быть введен в тот же домен, что и основные системы.
  • Периодически проводить tabletop-упражнения: симулировать атаку шифровальщика и проверять возможность полного восстановления инфраструктуры в заданный срок (например, за 4 часа). По имеющимся данным, далеко не все компании успешно проходят такую проверку.

Организационные меры и соответствие требованиям

В ряде случаев после инцидента регуляторы (в том числе ФСТЭК) фиксируют отсутствие документированных процедур реагирования. Это может рассматриваться как нарушение требований 152-ФЗ или 187-ФЗ, что влечет штрафы (до 1 млн рублей для юридических лиц) и потенциальную приостановку деятельности.

Что рекомендуется иметь в рамках системы управления информационной безопасностью:

  • Документированные процедуры реагирования на инциденты: кто отключает зараженные узлы, кто уведомляет регулятора, кто готовит коммуникацию.
  • Инвентаризацию удаленного доступа подрядчиков и контроль за их действиями.
  • Разделение обязанностей: администратор баз данных не должен иметь прав на удаление журналов безопасности.

Практические рекомендации по настройке защиты

  • Отключить или строго контролировать автозапуск с USB-носителей и сетевых папок.
  • Настроить мониторинг активности на порту 445 (SMB) – массовое создание файлов с определенными расширениями может служить индикатором атаки.
  • Использовать Application Control для ограничения выполнения неподписанного кода.
  • Внедрить политику длинных (от 25 символов) паролей для сервисных учетных записей с регулярной сменой, а также многофакторную аутентификацию для удаленного доступа.
  • Регулярно проверять исключения в антивирусных/EDR-решениях – в некоторых случаях вредоносное ПО прописывает папки в исключения.
  • Включить логирование PowerShell (Module Logging, Script Block Logging) с передачей в SIEM.
  • Настроить мониторинг вызовов vssadmin.exe и wmic.exe, связанных с удалением теневых копий.
  • Разработать плейбук для изоляции зараженных узлов (отключение порта коммутатора) с целевым временем реакции.
  • Разместить файлы-приманки (honeypot) в сетевых папках; любая попытка их изменения на запись с высокой вероятностью указывает на вредоносную активность.
  • Проводить учения: в изолированной среде имитировать поведение актуальных образцов шифровальщиков и проверять реакцию средств защиты.

Ответы на часто задаваемые вопросы (на основе открытых дискуссий)

  1. Что такое The Gentlemen и Storm-2697? Это условные названия, которые фигурируют в открытых отчетах об одной из модификаций самораспространяющегося шифровальщика. По имеющимся данным, данное ПО сочетает кражу данных и их шифрование.
  2. Чем отличается этот тип угроз от более старых (WannaCry, LockBit)? Ключевое отличие – систематическая кража конфиденциальных данных перед шифрованием (двойное вымогательство), а также использование языка Go, что усложняет детектирование.
  3. Защищает ли обычный антивирус? Современные EDR-решения требуют тонкой настройки. Атаки задействуют легитимные утилиты (PsExec, PowerShell), которые традиционные антивирусы считают безопасными. Необходима поведенческая аналитика.
  4. Нужно ли платить выкуп? Эксперты рекомендуют не платить. Это не гарантирует возврата данных и не предотвращает публикации украденного, а также создает спрос на подобные преступные услуги.
  5. Как быстро распространяется червь? По открытым кейсам, от заражения одного узла до шифрования значительной части серверов может пройти от 30 до 60 минут.
  6. Какие требования законодательства могут быть нарушены? При утечке персональных данных – 152-ФЗ, при нарушении целостности критической информационной инфраструктуры – 187-ФЗ. Возможны штрафы и административные санкции.
  7. Что делать в первые минуты после обнаружения? Немедленно изолировать зараженный узел (физически отключить от сети), активировать процедуру карантина в EDR, связаться с командой реагирования. Не рекомендуется запускать полное антивирусное сканирование – это может усугубить ситуацию.
  8. Есть ли простые меры для малого бизнеса? Базово: отключить прямой RDP-доступ из интернета, включить MFA для почты и VPN, делать резервные копии на физически отключаемый носитель. Для среднего бизнеса этих мер недостаточно – требуется комплексный аудит.

Вывод: подготовленность снижает риски

Надежда на то, что «меня не коснется», – распространенный, но опасный стереотип. Как показывает анализ инцидентов, большинство атак можно было предотвратить или существенно ограничить их последствия с помощью разумных мер: закрытия ненужных портов, контроля использования административных инструментов и изолированного хранения бэкапов.

Если вам важно объективно оценить уровень защищенности вашей компании от современных шифровальщиков и атак с двойным вымогательством, рекомендуется провести аудит инфраструктуры, настроить системы мониторинга и внедрить процедуры реагирования. Специалисты Secure Defence помогают бизнесу выявлять такие уязвимости, как открытые RDP-порты или неоправданные исключения в антивирусах, а также настраивать SIEM-корреляции под актуальные угрозы. Для получения консультации и чек-листа по защите можно оставить заявку на сайте: https://securedefence.ru/

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]