Раас расшифровка: Сложные взаимодействия в ренин-ангиотензин-альдостероновой системе

Содержание

РААС — это… Что такое РААС?

Расилез — Действующее вещество ›› Алискирен* (Aliskiren*) Латинское название Rasilez АТХ: ›› C09XA02 Алискирен Фармакологическая группа: Ингибиторы ренина Нозологическая классификация (МКБ 10) ›› I10 Эссенциальная (первичная) гипертензия Состав и форма… … Словарь медицинских препаратов

Антигипертензи́вные сре́дства — (греч. anti против + hyper + лат. tensio напряжение; синонимы: гипотензивные средства) лекарственные средства разных фармакологических классов, обладающие общим свойством снижать повышенное системное артериальное давление и нашедшие применение… … Медицинская энциклопедия

Эксфорж — Действующее вещество ›› Амлодипин* + Валсартан* (Amlodipine* + Valsartan*) Латинское название Exforge АТХ: ›› C09D Антагонисты рецепторов ангиотензина II в комбинации с другими препаратами Фармакологическая группа: Антагонисты рецепторов… … Словарь медицинских препаратов

Ренин-ангиотензиновая система — Схема работы ренин ангиотензиновой системы (англ.) Ренин ангиотензиновая система (РАС) или ренин ангиотензин альдостероновая система (РААС) это гормональная система … Википедия

Первичный гиперальдостеронизм — Первичный гиперальдостеронизм … Википедия

(про)рениновый рецептор — (Про) рениновый рецептор рецептор, способный связываться как с ренином, так и с проренином. Ренин ангиотензин альдостероновая система (РААС) гормональный каскад, обеспечивающий гомеостатический контроль артериального давления,… … Википедия

Рениновый рецептор — Рениновый рецептор рецептор, способный связываться как с ренином, так и с проренином. Ренин ангиотензин альдостероновая система (РААС) гормональный каскад, обеспечивающий гомеостатический контроль артериального давления, тканевой… … Википедия

Навитен — Действующее вещество ›› Эпросартан* (Eprosartan*) Латинское название Naviten АТХ: ›› C09CA02 Эпросартан Фармакологическая группа: Антагонисты рецепторов ангиотензина II (АТ1 подтип) Нозологическая классификация (МКБ 10) ›› I10 I15 Болезни,… … Словарь медицинских препаратов

Экватор — Действующее вещество ›› Амлодипин* + Лизиноприл* (Amlodipine* + Lisinopril*) Латинское название Ekvator АТХ: ›› C09BB АПФ ингибиторы в комбинации с блокаторами кальциевых каналов Фармакологические группы: Ингибиторы АПФ в комбинациях ›› Блокаторы … Словарь медицинских препаратов

Альдостерон — Альдостерон основной минералокортикостероидный гормон коры надпочечников … Википедия

Блокаторы РААС в клинической практике: новые возможности применения uMEDp

В последние годы в клинической практике все чаще назначаются блокаторы ренин-ангиотензин-альдостероновой системы (РААС). И это вполне естественно, поскольку РААС играет важную роль в развитии сердечно-сосудистых заболеваний. К блокаторам РААС, как известно, относят ингибиторы ангиотензинпревращающего фермента (АПФ) и блокаторы рецепторов ангиотензина II АТ1 (АРА).

Таблица 1. Рекомендации по выбору лекарственных препаратов для лечения больных АГ (2008)

Рисунок 1. Механизм действия блокаторов рецепторов АТ1

Рисунок 2. HOPE: результаты исследования

Рисунок 3. План исследования ONTARGET

Рисунок 4. Достижение первичной конечной точки в исследовании ONTARGET

Таблица 2. Достижение первичной сердечно-сосудистой конечной точки

Ингибиторы АПФ давно применяются в клинической практике. На протяжении последнего десятилетия проведены многочисленные исследования, в которых изучалась клиническая эффективность ингибиторов АПФ при различных сердечно-сосудистых заболеваниях. Результаты этих исследований нашли отражение в отечественных рекомендациях, согласно которым ингибиторы АПФ рекомендовано применять у больных артериальной гипертонией, сердечной недостаточностью, острым и перенесенным инфарктом миокарда и диабетической нефропатией (1, 2).

Что касается АРА, то за последние годы этот класс препаратов сделал огромный скачок вперед в плане приобретения новых ниш в различных клинических ситуациях. Если раньше этот класс препаратов пребывал в тени ингибиторов АПФ (их назначение при артериальной гипертензии (АГ) ограничивалось в основном ситуациями, связанными с побочными эффектами приема ингибиторов АПФ), то в настоящее время ниша их применения достаточно обширная (таблица 1).

Обращают на себя внимание новые показания для применения АРА: профилактика мерцательной аритмии и хроническая сердечная недостаточность. Чтобы лучше понять возможности АРА, необходимо вспомнить их механизм действия. Он, как известно, заключается в блокировании АТ₁-рецепторов ангиотензина II, через которые осуществляются основные негативные эффекты этого гормона. При этом, в отличие от ингибиторов АПФ, образование ангиотензина II не нарушается.

К числу негативных эффектов ангиотензина II относятся: вазоконстрикция, увеличение секреции эндотелина, стимуляция образования перекисных радикалов, гипертрофия гладкомышечных клеток, увеличение активности ингибитора тканевого активатора плазминогена 1 типа. Многие из этих эффектов являются атерогенными. В то же время стимуляция ангиотензином II незаблокированных рецепторов 2 типа (АТ₂) вызывает эффекты, противоположные вышеперечисленным, а именно вазодилатацию, увеличение продукции оксида азота, стимуляцию антипролиферативных процессов. Таким образом, AРА обладают двойным положительным механизмом действия, в котором заложен мощный антиатеротромбогенный потенциал (рисунок 1).

Иллюстрацией возможностей АРА является исследование LIFE (изучение эффективности лозартана в отношении снижения достижения конечных точек у лиц с артериальной гипертонией) (3). В этом исследовании не только впервые была доказана антигипертензивная эффективность АРА в плане влияния на конечные точки, но и продемонстрированы другие их возможности.

В двойном слепом рандомизированном контролируемом международном исследовании участвовали 9193 больных с АГ и гипертрофией левого желудочка в возрасте 55-80 лет. Участники исследования были рандомизированы на две группы для получения в качестве первоначального лечения либо лозартана, либо атенолола. Начальная доза препаратов составила соответственно 50 мг лозартана 1 раз в сутки и атенолола 50 мг 1 раз в сутки. Препараты можно было комбинировать с гидрохлоротиазидом – 12,5 мг/сут. и далее повышать их дозу до 100 мг/сут., чтобы достичь целевого снижения АД – менее 140/90 мм рт. ст. Наконец, если максимальные дозы исследуемых препаратов в комбинации с диуретиком не обеспечивали адекватного контроля АД, то разрешалось назначать дополнительные препараты (за исключением АРА, ингибиторов АПФ и b-адреноблокаторов). Длительность исследования составила в среднем 4,7 года.

Основной целью исследования явилось изучение сравнительной эффективности лозартана и атенолола в плане снижения главной конечной точки, которая включала суммарно мозговой инсульт (МИ), инфаркт миокарда (ИМ) и смертность от сердечно-сосудистых причин. Другие конечные точки включали частоту возникновения новых случаев сахарного диабета (СД), смертность от всех причин, регресс гипертрофии миокарда левого желудочка, частоту госпитализаций по поводу стенокардии или сердечной недостаточности.

Частота главной конечной точки (смерть от сердечно-сосудистых причин, МИ и ИМ) на фоне лечения лозартаном оказалась 18%, а в группе пациентов, лечившихся атенололом, – 23% (р

Новой областью применения блокаторов РААС стало снижение сердечно-сосудистого риска у пациентов с различными клиническими проявлениями атеросклероза. Новая область применения этого класса препаратов не имеет ничего общего с традиционным их применением при АГ, СД или хронической сердечной недостаточности (ХСН). Долгосрочный эффект блокаторов РААС основан на ряде механизмов. Одним из важнейших механизмов является улучшение эндотелиальной функции (4, 5). Коррекция эндотелиальной функции, в основе которой лежит увеличение синтеза оксида азота, является залогом антиатеросклеротического эффекта, который может иметь долгосрочное значение в плане улучшения прогноза пациентов, имеющих высокий риск смертельных исходов.

Впервые такая возможность была продемонстрирована для ингибиторов АПФ.

Это было показано в исследовании HOPE (6), в котором участвовали 9297 мужчин и женщин с подтвержденным атеросклерозом различной локализации (коронарная болезнь сердца, поражение периферических артерий, инсульт) или сахарным диабетом и по крайней мере еще одним фактором риска (артериальная гипертония, курение сигарет, микроальбуминурия или дислипидемия). 80% больных имели ишемическую болезнь сердца, 55% – стенокардию, 52% – инфаркт миокарда в анамнезе, 43% – атеросклероз периферических артерий, у 25% была нестабильная стенокардия в анамнезе, а у 26% – аортокоронарное шунтирование в анамнезе, у 18% – чрескожная реваскуляризация коронарных артерий, у 11% инсульт или транзиторная ишемическая атака.

Почти половина пациентов страдала АГ и около 40% – СД типа 2. Больным назначали плацебо или ингибитор АПФ рамиприл (с титрованием доз от 1,25 до 10 мг) и продолжали наблюдение в среднем 5 лет. Первичная конечная точка (сердечно-сосудистая смерть, ИМ или МИ) была зарегистрирована у 17,8% больных группы плацебо и 14,0% больных группы рамиприла – снижение риска на 22%, р

Терапия рамиприлом привела к снижению частоты важнейших компонентов конечной точки – ИМ, МИ. Кроме того, установлено снижение общей смертности (с 12,2 до 10,4% в течение 5 лет), необходимости реваскуляризации, диабетических осложнений, развития СД, остановки сердца, прогрессирования стенокардии или сердечной недостаточности. Представляет интерес тот факт, что снижение АД в группе рамиприла было сравнительно небольшим (АД –3/2 мм рт. ст.), поэтому результаты лечения нельзя объяснить только антигипертензивным действием препарата.

Таким образом, в этом исследовании была подтверждена протективная роль рамиприла в плане предупреждения развития осложнений у пациентов с клиническими проявлениями атеросклероза. Причем защитный эффект рамиприла никак не связан со снижением АД.

Вместе с тем с момента окончания исследования НОРЕ возникал вопрос: а почему АРА не способны на такое же снижение риска? Ведь как указывалось выше, АРА обладают механизмом действия, который способен приостановить развитие атеросклероза и улучшить прогноз пациентов. Именно такая гипотеза проверялась в исследовании ONTARGET (The Ongoing Telmisartan Alone and in combination with Ramipril Global Endpoint Trial).

В данном исследовании изучали влияние телмисартана в сравнении с рамиприлом, а также комбинации этих двух препаратов на прогноз пациентов с различными проявлениями атеросклероза (поражения коронарных, периферических и церебральных артерий, СД типа 2, с органными поражениями) без признаков сердечной недостаточности (7). В двойном слепом рандомизированном исследовании в среднем в течение 56 месяцев 8576 больных получали рамиприл в дозе 10 мг; 8542 больных – телмисартан в дозе 80 мг; 8502 больных – оба препарата в указанных дозах дополнительно к ранее проводимой терапии (рисунок 3).

Препаратом сравнения для телмисартана был выбран рамиприл, ранее продемонстрировавший эффективность при лечении подобной категории пациентов. Проверялась гипотеза, что телмисартан будет не хуже, чем рамиприл, в профилактике осложнений у этой группы больных, а комбинация телмисартана с рамиприлом лучше, чем рамиприл.

В качестве первичной конечной точки была выбрана комбинация смерти от сердечно-сосудистых причин, ИМ, инсультов и госпитализация в связи с сердечной недостаточностью. В течение исследования частота первичной конечной точки составила 1412 больных в группе рамиприла (16,5%) и 1423 больных в группе телмисартана (16,7%). Различия между группами оказались недостоверны (рисунок 4). Вместе с тем частота побочных эффектов в группе телмисартана была ниже. К примеру, частота кашля в группе телмисартана составила 1,1%, а в группе рамиприла 4,2%, р

В группе комбинированной терапии при одинаковой частоте развития сердечно-сосудистых осложнений по сравнению с группой рамиприла (нет достоверных отличий) была хуже переносимость: повышенный риск развития гипотензивных проявлений (4,8% vs 1,7%, р

Таким образом, гипотеза, которая лежала в основе этого исследования, – «телмисартан будет не хуже в профилактике осложнений у больных с очень высоким риском их развития» – подтвердилась при лучшей переносимости лечения телмисартаном. А вот давно обсуждаемая потенциальная эффективность при сочетанном применении ингибиторов АПФ с АРА, особенно для усиления независимых от АД положительных механизмов, не только не подтвердилась, но и оказалась более опасной в плане развития нежелательных явлений.

Результаты исследования важны еще и потому, что, по данным завершившихся исследований, некоторыми учеными было сделано предположение о том, что АРА менее эффективны в профилактике ИМ, чем другие антигипертензивные препараты (8).

В исследовании ONTARGET частота развития ИМ на фоне лечения рамиприлом и телмисартаном достоверно не различались (таблица 2). В целом эта позиция не получила подтверждения в материалах опубликованного недавно всестороннего метаанализа, который показал одинаковую частоту ИМ в сравнении с другими препаратами.

В новом мета-регрессионном анализе Blood Pressure Lowering Treatment Trialist (BPLTT) оказалось, что АРА имеют ровно такие же связанные со снижением АД благоприятные эффекты на коронарные события, как и ингибиторы АПФ, однако последние могут иметь небольшое, не связанное с АД, благоприятное влияние. Прямое сравнение АРА (телмисартан) и ингибиторов АПФ (рамиприл) у больных с высоким риском развития осложнений в исследовании ONTARGET показало, что в обеих группах частота развития ИМ была одинаковой, т.е. кардиопротективное действие выражено одинаково.

Исследование TRANSCEND (Telmisartan Randomised Assessment Study in ACE intolerant subjects with cardiovascular Disease), которое является частью программы ONTARGET, было организованно для изучения эффективности телмисартана у больных с сердечно-сосудистыми заболеваниями или СД с органными поражениями, не переносивших лечения ингибиторами АПФ (9).

В исследование было включено 5926 больных, которые были рандомизированы на две группы – телмисартана 80 мг (n = 2954) и плацебо (n = 2972). Первичной конечной точкой в исследовании была сумма смертей от сердечно-сосудистых причин, ИМ, инсультов и госпитализаций по поводу сердечной недостаточности. Средняя продолжительность исследования составила 56 месяцев. Артериальное давление было ниже в группе телмисартана по сравнению с плацебо на протяжении всего исследования (в среднем на 4,0/2,2 мм рт. ст.). В группе телмисартана было отмечено 465 (15,7%) событий первичной конечной точки в сравнении с 504 (17,0%) событиями в группе плацебо (отношение рисков 0,91; 95% доверительный интервал 0,81-1,05, р = 0,216).

Следует отметить, что одна из вторичных конечных точек – сумма смертей от сердечно-сосудистых причин, ИМ и инсультов – была у 384 (13,0%) больных на телмисартане и у 440 (14,8%) больных на плацебо (отношение рисков 0,87; 95% доверительный интервал 0,76-1,00, р = 0,048), что оказалось достоверно меньше (см. рисунок 4). Именно по такому критерию была доказана эффективность рамиприла в сравнении с плацебо в исследовании HOPE (26). Больные, получавшие телмисартан, достоверно реже госпитализировались по сердечно-сосудистым причинам на 15% (р = 0,028). Телмисартан продемонстрировал хорошую толерантность у больных с непереносимостью ингибиторов АПФ.

Результаты исследования ONTARGET/TRANSCEND послужили основанием для регистрации нового показания для телмисартана – снижение риска осложнений у пациентов с клиническими проявлениями атеросклероза. В октябре 2009 г. FDA (США) одобрила применение телмисартана для снижения риска ИМ (сердечной атаки), инсульта и смерти от сердечно-сосудистых причин у больных старше 55 лет с высоким сердечно-сосудистым риском, которые не переносят ингибиторы АПФ.

В ноябре 2009 г. Европейская комиссия (EMEA) зарегистрировала новое показание для телмисартана. Телмисартан рекомендуется для снижения сердечно-сосудистой заболеваемости у больных с клиническими проявлениями атеросклероза (ИБС, инсульт, поражение периферических артерий) и СД типа 2 с документированными органными поражениями. Таким образом, телмисартан стал первым препаратом из класса АРА, рекомендованным для назначения больным с высоким сердечно-сосудистым риском.

Заключение

Блокаторы ангиотензиновых рецепторов обладают выраженными органопротективными свойствами, что значительно расширяет возможности их применения у больных с АГ. Благодаря выигрышному сочетанию хорошей переносимости, органопротекции, благоприятного метаболического профиля и доказанного в клинических исследованиях снижения риска развития осложнений этот класс антигипертензивных препаратов следует рассматривать как средство первого выбора для многих больных с повышенным АД. Недавно было доказано, что сартаны не уступают ингибиторам АПФ в эффективности при лечении больных с высоким риском осложнений (исследование ONTARGET/TRANSCEND), а телмисартан – первый и единственный представитель класса АРА – получил официальное показание для применения у этих больных.

Блокада РААС: ИАПФ, БРА или ПИР?

Блокада ренин-альдостерон-ангио-тензиновой системы (РААС) является ключевым механизмом, позволяющим замедлить прогрессирование потери функции почек. Доступным клиническим показателем состояния РААС является артериальное давление (АД). Поэтому для предупреждения/замедления прогрессирования хронической болезни почек (ХБП) строгий контроль АД имеет ключевое значение. Целевым уровнем у пациентов с ХБП 3–5-й стадий является АД < 130/80 мм рт.ст., при наличии протеинурии целесообразно достижение АД < 125/75 мм рт.ст. При этом в исследовании ADVANCE показано отсутствие J-образной кривой при достижении систолического АД < 110 мм рт.ст., что позволяет более активно проводить антигипертензивную терапию.

Если обратиться к систематическим обзорам Кокрановской библиотеки, то можно констатировать, что ингибиторы ангиотензинпревращающего фермента (ИАПФ) эффективны для ренопротекции (то есть замедления снижения скорости клубочковой фильтрации (СКФ) и темпов развития хронической почечной недостаточности (ХПН)) только в максимально переносимых дозах (G.F.M. Strippoli et al., 2009). Очевидно, ИАПФ с преимущественно почечным путем выведения, в первую очередь эналаприл и периндоприл, оказывающие более мощное антигипертензивное, антипротеинурическое действие, способствуют формированию эффекта ренопротекции. Вероятно, поэтому Российские рекомендации комитета экспертов Всероссийского научного общества кардиологов и Научного общества нефрологов (2009) рекомендуют не снижать дозу эналаприла 20 мг/сут независимо от скорости клубочковой фильтрации, то есть степени ХПН, в то время как для большинства других ИАПФ СКФ ≤ 30 мл/мин требует коррекции дозы препарата.

Для достижения целевого АД могут быть использованы все классы антигипертензивных препаратов, при этом подавляющему большинству пациентов требуется комбинированная терапия. Все пациенты с ХБП должны получать ИАПФ или блокаторы рецепторов ангиотензина II (БРА II) (уровень доказательности А), большинству пациентов требуется диуретик (уровень доказательности А). Выбор третьего препарата зависит от наличия сопутствующих состояний и показаний для назначения того или иного класса (уровень доказательности В).

При непереносимости ИАПФ рекомендовано назначать БРА либо те отдельные препараты из этого класса, которые имеют самостоятельную доказательную базу.

Из новых БРА, получивших весомые аргументы в программе THE ROADMAP TO ORGAN PROTECTION для лечения пациентов с артериальной гипертензией и диабетическим поражением почек, следует отметить олмесартан (20–40 мг/сут). В исследовании TRANSCEND (использование телмисартана при непереносимости ИАПФ у пациентов с высоким кардиоваскулярным риском, но без сердечной недостаточности (СН) и макроальбуминурии, 5926 пациентов) не было продемонстрировано преимуществ телмисартана в сравнении с плацебо в удвоении креатинина, развитии терминальной ХПН или смерти. Несмотря на снижение соотношения «альбумин/креатинин мочи», риск почечных событий был выше при приеме телмисартана (58 случаев, 1,96 % против 46, 1,55 % плацебо; ОР 1,29; 0,87–1,89; p = 0,204), что требует взвешенного подхода к назначению этого БРА у пациентов с сосудистой патологией и заболеваниями почек (J. Mann et al., 2009).

Среди комбинаций антигипертензивных препаратов современная доказательная база предлагает «ИАПФ + диуретик (тиазидоподобный)», «ИАПФ + блокатор кальциевых каналов (БКК)» (вероятно, не амлодипин), «БРА + БКК», «БРА + диуретик» (уровень доказательности А, степень рекомендаций 1). Признано целесообразным воздержаться от комбинации «ИАПФ + БРА». На Европейском конгрессе кардиологов (ESH, 2009) профессор Giuseppe Mancia представил новую стратегию антигипертензивной терапии, ожидаемую к публикации в октябре 2009 года (рис. 1).

Среди новых классов антигипертензивных препаратов заслуживает внимания пока единственный прямой ингибитор ренина (ПИР) — алискирен. Доказательная база этой молекулы формируется в широкомасштабной программе ASPIRE HIGHER (рис. 2). Антигипертензивная активность ПИР уже не вызывает сомнений, частота побочных действий не превышает эффектов плацебо, что повышает привлекательность алискирена. Кроме того, в отличие от ИАПФ и БРА ПИР снижают содержание ренина и антиотензина ІІ в сыворотке крови.

В материалах Кокрановской библиотеки при сравнении эффективности ИАПФ, БРА и ПИР в снижении АД признается одинаковый антигипертензивный эффект этих классов препаратов (табл. 1).

Таким образом, речь идет скорее о комбинации ИАПФ и ПИР или БРА и ПИР (ALLAY). В 2010 году ожидаются результаты исследования ALTITUDE, спланированного по очень похожему с ONTARGET дизайну. Надеемся, что полученные данные будут интересными. Пока же создается впечатление, что ПИР являются прямой альтернативой БРА (за исключением препаратов с доказанной эффективностью при хронической болезни почек).

Сравнимая эффективность ИАПФ, БРА и ПИР документирована в лечении сахарного диабета (СД) 2-го типа, а именно в профилактике перехода нормоальбуминурии в микро- и макроальбуминурию и возможности редукции микроальбуминурии. Эти группы препаратов назначаются независимо от наличия/отсутствия гипертензии. Среди данных, приведенных в Кокрановской библиотеке (G.F.M. Strippoli et al., 2009), имеется анализ 49 исследований у 12 067 пациентов с диабетической болезнью почек. Была показана одинаковая эффективность ИАПФ и БРА в формировании почечных исходов: развитие терминальной ХПН, удвоение креатинина, предупреждение прогрессирования микроальбуминурии в макроальбуминурию, обратное развитие микроальбуминурии в нормоальбуминурию. Однако низкие дозы ИАПФ и БРА не отличались по формированию исхода (уменьшению смертности) между собой и не отличались от плацебо. И лишь высокие дозы ИАПФ (максимально переносимые) сопровождались достоверным снижением смертности от всех причин при СД 2-го типа.

Таким образом, снижение АД и уменьшение протеинурии действительно могут приводить к уменьшению частоты кардиоваскулярных событий и смерти. Однако вопросы стратегии предотвращения снижения функции почек остаются открытыми, очевидно, ведущее место все же остается за ИАПФ в максимально переносимых дозах или с преимущественно почечным путем выведения (до СКФ ≥ 30–60 мл/мин).

При этом чем раньше назначаются ИАПФ, тем более выраженным является их эффект.

Вместе с тем достижение целевого АД остается в большинстве случаев маловыполнимой задачей. В связи с этим Российские рекомендации предполагают использование моксонидина (антигипертензивный эффект доз 0,3–1,2 мг/сут).

С осторожностью при СД ввиду риска гиперкалиемии для осуществления полной блокады РААС используется спиронолактон 12,5–25 мг/сут или эплеренон 25–50 мг/сут.

Снижение альбуминурии является вторым (после АД) суррогатным маркером подавления активности РААС. Все упомянутые выше группы препаратов с доказанной эффективностью снижают уровни альбуминурии. Ожидалось, что антагонист эндотелина авозентан (J.F.E. Mann et al., 2009) будет также эффективным у пациентов с поражением почек при СД. Действительно, в мультицентровом исследовании, проведенном в 36 странах (1392 пациента с СД 2-го типа), было показано достоверное дозозависимое снижение соотношения «альбумин/креатинин мочи» при использовании 25 и 50 мг авозентана в сравнении с плацебо. Однако не было получено снижения прироста креатинина и уменьшения случаев формирования терминальной ХПН. Более того, исследование было досрочно прекращено из-за существенного увеличения числа больных с СН на фоне задержки жидкости, вызываемой приемом авозентана.

Другие группы препаратов, например антитромбоцитарные средства и статины, могут также вносить косвенный вклад в снижение альбуминурии. Так, снижение функции почек сопровождается повышением эффективности аспирина в уменьшении кардиоваскулярных событий у пациентов с гипертензией — такой вывод был сделан по результатам рандомизированного исследования The George Institute for International Health, University of Milan и Instituto Auxologico Italiano, проведенного в Сиднее и Милане. Среди каждой сотни пациентов с СКФ < 45 мл/мин, леченных аспирином в дозе 75 мг, было предотвращено 8 больших кардиоваскулярных событий и 5 случаев смерти от всех причин при увеличении на 3 случая кровотечений.

Статины также способствуют снижению альбуминурии и уменьшению системной воспалительной реакции, документируемой по уровню СРБ. Однако после получения результатов исследования AURORA, продемонстрировавшего отсутствие отличий между розувастатином 10 мг и плацебо в снижении комбинированной кардиоваскулярной точки, инфаркта и инсульта в течение 3,8 года их применения у 396 пациентов с ХПН, находящихся на диализе, было высказано мнение, что, вероятно, терапию статинами следует прекращать после начала почечнозаместительной терапии. Таким образом, несмотря на то что прием розувастатина сопровождался снижением липопротеидов низкой плотности на 43 % и СРБ на 11 %, и в меньшей мере у пациентов с диабетической болезнью почек, это исследование не показало преимуществ, продемонстрированных при назначении аторвастатина в исследовании 4D. Следует также помнить о возможном негативном эффекте — формировании эректильной дисфункции, который был документирован у пациентов, принимавших симвастатин, аторвастатин и розувастатин, и не наблюдался при приеме правастатина и флувастатина (C. Do et al., 2009).

Таким образом, стартовым препаратом в блокаде РААС сегодня, очевидно, остается ИАПФ. Его комбинация целесообразна с ПИР, антагонистом альдостерона или моксонидином. Эффективными являются комбинации «ИАПФ + тиазидоподобный диуретик», «ИАПФ + БКК», «БРА + ПИР», «БРА + БКК».

Тест на авидность антител IgG к коронавирусу COVID-19 (RBD)

Метод определения

Иммуноферментный анализ (ИФА), SARS-CoV-2-IgG количественный-ИФА-БЕСТ (Вектор Бест, Россия).

Исследуемый материал
Сыворотка крови

Доступен выезд на дом

Для проведения исследования в медицинских офисах Москвы необходимо предъявить СНИЛС и документ удостоверяющий личность.

Синонимы: Анализ крови на антитела к SARS-CoV-2 (S-белку, включая RBD), IgG, количественное определение; Антитела класса G к SARS-CoV-2 (S-белку и RBD), количественно. Anti-SARS-CoV-2 (S protein, including RBD), IgG, quantitative; Anti-SARS-CoV-2, spike (S) protein (RBD), IgG, quantitative.

Краткая характеристика определяемых количественно IgG антител к S-белку

SARS-CoV-2 SARS-CoV-2 (severe acute respiratory syndrome coronavirus 2 – тяжелого острого респираторного синдрома коронавирус 2) – официальное наименование вируса, вызвавшего эпидемию COVID-19.

COVID-19 (coronavirus disease 2019 – коронавирусная болезнь 2019) – название болезни, которую индуцирует новый вид коронавируса.

Источником передачи инфекции SARS-CoV-2 является, в основном, больной человек, в том числе находящийся в инкубационном периоде заболевания, составляющем от 2 до 14 (в среднем 5-7) дней. Клинические проявления могут быть неспецифичными симптомами ОРВИ (чаще – повышение температуры, сухой кашель, затруднение дыхания). Дополнительные эпидемиологические признаки – подтвержденный либо вероятный контакт с больными COVID-19, а также проявления в виде пневмонии с характерными изменениями в легких по данным компьютерной томографии (КТ), свидетельствуют о высокой вероятности COVID-19.

SARS-CoV-2 стимулирует гуморальный и клеточный ответ иммунной системы инфицированного человека. Гуморальный ответ характеризуется типичным профилем продукции специфических антител классов M и G, которые способны распознавать и связывать чужеродные белки, характерные для этого патогена, участвуя в механизмах его нейтрализации и удаления. Антитела класса M появляются первыми – это может наблюдаться через несколько дней от появления симптомов. Почти одновременно или вскоре вслед за ними появляются IgG (более, чем у половины пациентов уже в период 8-14 дней от начала клинических признаков инфекции, а в период от 15 дней и более – у 99% пациентов). По уровню и динамике концентрации антител в крови гуморальный иммунный ответ индивидуально варьирует, в том числе и в зависимости от тяжести болезни. Уровень IgM снижается до неопределяемого обычно в пределах до одного, реже – двух месяцев от начала заболевания, в то время как IgG антитела могут сохраняться в крови длительное время (3-5 месяцев и более), выполняя защитную роль.

Четыре структурных белка, которые кодирует РНК вируса SARS-CoV-2, – спайковый (S), оболочечный (E), нуклеокапсидный (N), мембранный (M). Структуры, выступающие на поверхности вируса подобно шипам и придающие сходство с короной, сформированы спайковым (S) белком. S-белок состоит из двух субъединиц, на одной из которых располагается рецептор-связывающий домен (RBD), посредством которого вирус связывается с рецепторами на клетках эпителия дыхательных путей человека при заражении. Нуклеокапсидный и спайковый белки в ходе инфекции вызывают наиболее выраженный антительный ответ. Выявление специфических антител к этим белкам используют в качестве иммунных свидетельств прошлого контакта организма с новым коронавирусом. При этом нейтрализующая активность антител, вырабатываемых против SARS-CoV-2, преимущественно соотносится с антителами к S-белку (который в связи с этим является главной мишенью в вакцинологии).

Вакцинные препараты, использующие в качестве мишени S-белок коронавируса (в том числе векторная Гам-КОВИД-Вак – Спутник V, Спутник Лайт), или вакцины на основе мРНК S-белка, как и инактивированные цельновирионные вакцины (в т. ч. КовиВак) также индуцируют выработку антител к S-белку SARS-CoV-2.

С какой целью используют количественное определение IgG антител к S-белку SARS-CoV-2

Выявление специфических антител к вирусу SARS-CoV-2 класса G указывает на факт недавнего или прошлого воздействия вируса. Поэтому такие тесты используют в комплексной диагностике при наличии клинических подозрений на инфекцию новым коронавирусом или ее осложнения. Основной метод лабораторного подтверждения острой инфекции COVID-19 – выявление методами полимеразной цепной реакции (ПЦР) присутствия РНК вируса в биоматериале, взятом из дыхательных путей, обычно – мазке из носоглотки и ротоглотки. Однако, информативность РНК-тестирования зависит от достаточности содержания вируса в материале выбранной локализации на той или иной стадии инфекции, а также качества взятия материала. Наиболее информативны ПЦР-исследования мазков из рото- и носоглотки в первые 1-5 дней от начала клинических проявлений инфекции. На более поздних сроках (более 1-2 недель) целесообразно дополнительно к ПЦР-тестированию мазков применять исследование крови на наличие специфических антител, вырабатываемых организмом в ответ на инфекцию SARS-CoV-2.

Оценка уровня IgG антител к SARS-CoV-2 может использоваться также с целью выявления иммунологических свидетельств прошлой (в том числе субклинической или бессимптомной инфекции) для оценки вероятного иммунного статуса обследуемого человека по отношению к этому вирусу, прослеживания контактов, популяционных эпидемиологических исследований.

Поскольку большинство зарегистрированных и разрабатываемых вакцин против SARS-CoV-2 нацелено на выработку антител к S-белку, количественная оценка уровня этих антител может быть информативным методом для оценки динамики иммунного ответа на вакцинацию такими препаратами. В частности, этот тест может использоваться для оценки ответа на применение векторной вакцины с включением S-белка Гам-КОВИД-ВАК – Спутник V, Спутник Лайт, а также цельновирионных инактивированных вакцин (в том числе – КовиВак производства ФНЦ им. М.П. Чумакова) или вакцин на основе мРНК S-белка. Тест не применим для оценки иммунитета после вакцинации вакциной ЭпиВакКорона.

Применяемые в данном тесте калибраторы аттестованы по Первому международному стандарту ВОЗ для антител к SARS-CoV-2, результат представляется в единицах этого стандарта (BAU/мл), что поможет сравнивать результаты тест-систем, нацеленных на выявление иммуноглобулинов того же класса и специфичности.

Литература

Диагностическое тестирование для определения вируса SARS-CoV-2. Временные рекомендации. 11 сентября 2020. ВОЗ. – 2020.
Профилактика, диагностика и лечение новой коронавирусной инфекции (COVID-19): Временные методические рекомендации. Версия 11 (07.05.2021). – 2021.
Bohn M. K. et al. IFCC interim guidelines on serological testing of antibodies against SARS-CoV-2 //Clinical Chemistry and Laboratory Medicine (CCLM). – 2020. – Т. 58. – №. 12. – С. 2001-2008. https://pubmed.ncbi.nlm.nih.gov/33027043/4. Kristiansen P. A. et al. WHO International Standard for anti-SARS-CoV-2 immunoglobulin //The Lancet. – 2021. – Т. 397. – №. 10282. – С. 1347-1348.
Li X. et al. Molecular immune pathogenesis and diagnosis of COVID-19 //Journal of pharmaceutical analysis. – 2020. – Т. 10. – №. 2. – С. 102-108.
Lippi G., Horvath A. R., Adeli K. Editorial and executive summary: IFCC Interim Guidelines on clinical laboratory testing during the COVID-19 pandemic //Clinical Chemistry and Laboratory Medicine (CCLM). – 2020. – Т. 58. – №. 12. – С. 1965-1969.
Okba N.M.A. et al. SARS-CoV-2 specific antibody responses in COVID-19 patients // Emerging Infectious Diseases. – 2020. – V. 26. – №. 7.
Walls A. C. et al. Structure, function, and antigenicity of the SARS-CoV-2 spike glycoprotein //Cell. – 2020. – Т. 181. – №. 2. – С. 281-292. e6.
WHO International Standard First WHO International Standard for anti-SARS-CoV-2 immunoglobulin (human) NIBSC code: 20/136
Материалы фирмы-производителя реагентов (Вектор-Бест).

Ингибиторы ангиотензин-превращающего фермента (АПФ) » Справочник ЛС

В основе основных клинических и фармакологических эффектов ингибиторов АПФ лежит их способность подавлять активность фермента, превращающего ангиотензин I в ангиотензин II (кининазы II, или АПФ), и таким образом влиять на функционирование ренин-ангиотензин-альдостероновой системы (РААС).

Лишь 10—15% ангиотензина II в организме образуется благодаря участию АПФ, существует альтернативный путь его биосинтеза с участием фермента химазы и химазоподобного фермента CAGE. Кроме того, возможна трансформация ангиотензина I в ангиотензин II при участии тканевого активатора плазминогена, катепсина G, тонина и других биологически активных веществ. При этом в одних органах и тканях преобладает классический путь образования ангиотензина II (правые отделы сердца), в других — альтернативный (левые отделы сердца, наружная оболочка кровеносных сосудов). В некоторых тканях (сосудистый эндотелий) образование ангиотензина II осуществляется сбалансированно разными путями.

Фармакодинамические эффекты ингибиторов АПФ связаны с блокированием АПФ и уменьшением образования АТ II в крови и тканях, устранением прессорных и других нейрогуморальных его эффектов. При этом, по механизму обратной связи, может увеличиваться уровень ренина плазмы и АTI, а также транзиторно снижаться уровень альдостерона.

Ингибиторы АПФ способны тормозить секрецию альдостерона и вазопрессина, снижать синтез других сосудосуживающих и антинатрийуретических веществ (норадреналина, аргинина-вазопрессина, эндотелина-1), участвующих в патогенезе кардиальной дисфункции и артериальной гипертонии. Кроме того, АПФ идентичен ферменту кининазе II, участвующему в деградации брадикинина. Брадикинин — мощный вазодилататор, регулирующий микроциркуляцию и ионный транспорт. Брадикинин имеет короткий период жизни и присутствует в кровотоке (тканях) в низких концентрациях, в связи с чем проявляет свои эффекты как местный гормон (паракринно). Брадикинин способствует увеличению внутриклеточного Са2+, являющегося кофактором для NO-синтетазы, участвующей в образовании эндотелийрелаксирующего фактора (оксида азота или NO). Эндотелийрелаксирующий фактор, блокирующий сокращение мускулатуры сосудов и агрегацию тромбоцитов, является также ингибитором митоза и пролиферации гладкой мускулатуры сосудов, что обеспечивает антиатерогенное действие. Брадикинин также стимулирует синтез в эндотелии сосудов ПГЕ2 и ПГI2 (простациклина) — мощных вазодилататоров и тромбоцитарных антиагрегантов. Таким образом, брадикинин и кининовая система являются противодействующей для ренинангиотензинальдостероновой системы . Блокирование АПФ потенциально повышает уровень кининов в тканях сердца и сосудистой стенки, что обеспечивает антипролиферативный, антиишемический, антиатерогенный и антиагрегантный эффекты. Кинины способствуют увеличению кровотока, диуреза и натрийуреза без существенного изменения скорости клубочковой фильтрации. ПГ Е2 и ПГI2 также обладают диуретическим и натрийуретическим действием и увеличивают почечный кровоток.

Таким образом, различают следующие основные фармакологические эффекты ингибиторов АПФ:

Нейрогуморальные

Уменьшение образования ангиотензина II, а также синтеза и секреции альдостерона и ослабление основных эффектов РААС.
Уменьшение высвобождения антидиуретического гормона.
Накопление кининов в тканях и крови и потенцирование эффектов, реализующихся преимущественно благодаря активации В₂-брадикининовых рецепторов.
Снижение активности симпатико-адреналовой системы.
Повышение парасимпатического тонуса, оптимизация барорефлекторных кардиоваскулярных механизмов.
Увеличение высвобождения NO (эндотелиального фактора расслабления), простагландинов I₂ и Е₂, предсердного натрийуретического пептида, тканевого активатора фибриногена.
Уменьшение секреции эндотелина-1 и образования ингибитора активатора плазминогена типа 1.

Гемодинамические

Снижение системного АД, ОПСС и посленагрузки (системное расширение артериальных сосудов).
Снижение преднагрузки (расширение венозных сосудов).
Улучшение регионального кровообращения в сердце, почках, отделах ЦНС и других органах.
Потенцирование зависимой от эндотелия вазодилатации, индуцируемой ацетилхолином и серотонином.
Потенцирование эффектов нитропруссида натрия и предотвращение развития толерантности к нему (по данным ряда авторов)

Кардиальные

Обратное развитие ГЛЖ, миокардиофиброза и уменьшение объемов камер сердца.
Замедление темпов ремоделирования сердца, предотвращение дилатации левого желудочка.
Защита кардиомиоцитов (сохранение макроэргических фосфатов и цитозольных ферментов в клетке при ишемии).
Антиаритмический эффект.

Сосудистые

Антипролиферативный и антимиграционный эффект в отношении ГМК, нейтрофилов и моноцитов.
Улучшение функции эндотелия.
Антитромбоцитарный эффект, потенцирование эндогенного фибринолиза.
Профилактика повреждения атеросклеротической бляшки.
Улучшение податливости сосудистой стенки.

Почечные

Расширение афферентных (приносящих) и в еще большей мере эфферентных (выносящих) артериол почечных клубочков и как следствие — уменьшение выраженности внутриклубочковой гипертонии.
Повышение натрийуреза и диуреза с задержкой калия в организме (калийсберегающее действие).
Увеличение кровотока в мозговом веществе почек.
Уменьшение размеров пор в клубочковом фильтре в результате сокращения мезангиальных клеток.
Торможение пролиферации и гипертрофии мезангиальных клеток, клеток эпителия почечных канальцев и фибробластов, уменьшение синтеза компонентов мезангиального матрикса.

Метаболические

Уменьшение инсулинорезистентности (повышение чувствительности периферических тканей к инсулину).
Повышение синтеза ЛПВП, распада ЛПОНП и уменьшение синтеза триглицеридов.
Противовоспалительное действие.

Тканевые эффекты ангиотензина II, а также других эффекторных пептидов РААС — ангиотензиногена, ангиотензина (1—7), ангиотензинов I, III, IV — опосредованы специфическими ангиотензиновыми (АТ-) рецепторами. В настоящее время идентифицированы АТ₁-, АТ₂-, АТ₄-рецепторы и предполагается существование АТ₃— и АТ_х— рецепторов, однако сердечно-сосудистые эффекты активации РААС реализуются главным образом через АТ_{1 и} АТ₂-рецепторы.

Воздействие ингибиторов АПФ на основные патогенетические звенья при систолической дисфункции левого желудочка и хронической сердечной недостаточности (ХСН) изучено достаточно хорошо. В развитии кардиопротективного эффекта имеет значение фактор подавления активности нейрогуморальных систем, что сопровождается ослаблением вазоконстрикторных и антидиуретических компонентов патогенеза ХСН. Структурно-морфологические изменения миокарда, происходящие под влиянием лечения ингибиторами АПФ, заключаются в уменьшении дилатации камер сердца и обратном развития гипертрофии левого желудочка (ГЛЖ), что приводит к повышению сократительной способности миокарда и сердечного выброса, а также улучшению диастолического наполнения желудочков сердца. В замедлении процесса ремоделирования сердца и сосудов играют роль антиишемический, дезагрегационный эффекты, положительное влияние на функцию эндотелия, подавление пролиферации соединительнотканных элементов стромы миокарда.

Ингибиторы АПФ представляют собой практически единственные пока антигипертензивные препараты, которые одновременно подавляют прессорные системы регуляции АД и активируют вазодепрессорные процессы. Обладая свойствами нейрогуморальных модуляторов, эти препараты подавляют образование таких сосудосуживающих веществ, как ангио-тензин II, альдостерон, а также норадреналин, аргинин-вазопрессин, эндотелин-1. При этом повышается уровень вазодилататоров: брадикинина, оксида азота, эндотелиального фактора гиперполяризации, простагландинов Е₂ и I₂. Результатом гуморальных эффектов ингибиторов АПФ служит выраженное снижение общего периферического сопротивления сосудов (ОПСС) при незначительном повышении ударного и минутного объемов сердца (МОС) без существенного изменения частоты сердечных сокращений. Снижение системного АД под влиянием ингибиторов АПФ сопровождается улучшением кровотока в органах-мишенях. Длительное применение данных препаратов сопровождается обратным развитием ГЛЖ, замедлением темпов прогрессирования нефропатии, уменьшением явлений ХСН. Ангиопротективное влияние ингибиторов АПФ заключается в подавлении роста и пролиферации ГМК и фибробластов средней оболочки сосудов, что приводит к уменьшению гипертрофии стенки артерий и увеличению их просвета. Кроме того, ингибиторы АПФ уменьшают явления дисфункции эндотелия и ослабляют вазоконстрикторные реакции.

При лечении больных с разными формами ишемической болезни сердца (ИБС) наряду с гемодинамическими и нейрогуморальным имеют значение антиишемический, антиатерогенный эффекты ингибиторов АПФ, а также их благоприятное влияние на функцию эндотелия. При инфаркте миокарда ингибиторы АПФ оказывают влияние на процессы ремоделирования сердца и сосудов, а также на очаги некроза в миокарде.

Узлы щитовидной железы в Вашем городе

В сем известно, что заболевания щитовидной железы очень распространены в Челябинской области. Наиболее частой проблемой, с которой сталкиваются наши земляки являются узлы щитовидной железы.

Что делать, если в щитовидной железе обнаружили узел, что означает заключение THIRADS и Bethesda, сегодня расскажет наш собеседник кандидат медицинских наук, специалист по эндокринной хирургии, хирург-онколог, врач высшей категории Лукьянов Сергей Анатольевич.

— Сергей Анатольевич, что такое узел щитовидной железы и чем он опасен?

— Узлы — это различные образования, которые обнаруживаются в щитовидной железе. Большинство узлов щитовидной железы не вызывают никаких симптомов. Однако, если они растут достаточно быстро, они могут вызвать припухлость на шее и приводят к нарушениям дыхания и глотания, появляется боль. Некоторые узлы производят избыточное количество тироксина – основного гормона щитовидной железы. Когда это происходит, симптомы заболевания похожи на симптомы гипертиреоза и могут включать: частый пульс, нервозность, повышенный аппетит, тремор, потерю веса, потливость.-

Насколько распространены узлы щитовидной железы и часто ли встречается рак?

— Узлы в щитовидной железе встречаются очень часто. Я перечислю несколько основных фактов об узлах, которые будет полезно знать нашим читателям:

• Узлы щитовидной железы в три раза чаще встречается у женщин, чем у мужчин.

• 30% 30-летних женщин будут иметь узел щитовидной железы.

• У каждого сорокового молодого человека скорее всего тоже есть узелок щитовидной железы.

• Некоторые узлы щитовидной железы на самом деле являются кистами, которые заполнены жидкостью, а не тканью щитовидной железы.

• Чисто кистозные узлы щитовидной железы (кисты щитовидной железы) почти всегда доброкачественны.

• Распространенность узлов щитовидной железы увеличивается с возрастом: 50% 50-летних женщин будут иметь по крайней мере один узел щитовидной железы. 60% 60-летних женщин будут иметь один узелок щитовидной железы. 70% 70-летних женщин будут иметь минимум один узел в щитовидной железе.

• Главная хорошая новость состоит в том, что более 95% всех узлов щитовидной железы доброкачественные (не раковые новообразования).

— Как выявляются узлы щитовидной железы?

— Некоторые узлы видны на шее и ощущаются человеком. Однако, около 50 % людей имеют узлы, которые слишком малы, чтобы их чувствовать. Обычно, узлы выявляться случайно — при медицинских осмотрах и в смотровых кабинетах. Наиболее часто узлы обнаруживают при УЗИ, выполняемых по поводу других заболеваниях (например, при УЗИ сосудов шеи).

— Можно ли понять по УЗИ, является узел опасным или раковым заболеванием?

— В последнее время качество УЗИ значительно возросло, и доктора даже столкнулись с «эпидемией» узлов щитовидной железы. Основная диагностическая задача врача состоит в оценке злокачественности новообразования, при этом размер узла не является определяющим фактором. Заподозрить рак щитовидной железы можно лишь на основании биопсии/пункции узла (ТАБ). Проводить же массовую ТАБ узловых образований – нецелесообразно, так как эти узелки встречаются очень часто. В связи с этим возникла необходимость в создании новой ультразвуковой классификации узлов щитовидной железы, которая смогла бы помочь в выборе врачом хирургической тактик – наблюдение или проведение пункции узла. И такая классификация была создана, называется она THIRADS или TI-RADS.

В большинстве специализированных клиник уже перешли на эту систему, и поэтому в заключении протокола УЗИ мы все чаще видим одну из следующих категорий:

• THIRADS 1 – нормальная щитовидная железа

• THIRADS 2 – доброкачественные изменения в щитовидной железе.

• THIRADS 3 – вероятно доброкачественные изменения в щитовидной железе.

• THIRADS 4 – подозрительные на злокачественные изменения щитовидной железы. Данная группа классифируется на 4а и 4b в зависимости от увеличения риска злокачественности.

— Если по УЗИ нашли узел THIRADS 4, значит нужно уже оперировать?

— Нет, не нужно, так как УЗИ – это еще не диагноз. Классификация THIRADS лишь помогает хирургу-эндокринологу решить, из какого узла нужно брать пункцию. Различные категории по THIRADS, это только риски. К примеру, при THIRADS 2, риск рака составляет менее 5%, THIRADS 3, — риск увеличивается до 10% а при THIRADS 4 риск злокачественности узла составляет уже около 15%.

— Тогда, когда нужно оперировать?

— В случае, если после пункции этого узла есть подозрение на опухоль по результатам цитологического заключения (как проводиться пункция щитовидной железы, пациент может ознакомиться в моей статье на сайте).

— Насколько опасны опухоли щитовидной железы?

— Чаще всего среди опухолей щитовидной железы встречаются коллоидные узлы и кисты, они безвредны и не требуют хирургического лечения. Реже выявляют фолликулярные опухоли – новообразования, которые необходимо удалять. Еще реже встречается рак, в этом случае хирург-онколог удаляет пораженную долю или всю щитовидной железу. Чтобы понять до операции, насколько опасен узел, хирурги-эндокринологи в настоящее время пользуются цитологической системой Bethesda.

— Что это такое, система Bethesda?

— В соответствии с клиническими рекомендациями врачам необходимо использовать 6 стандартных категорий цитологических заключений современной международной классификации Bethesda:

• I категория – малоинформативная пункция (выставляется при недостаточности материала или наличия лишь кистозного и коллоидного компонента), в ряде случаев требует повторное пунктирования узла.

• II категория – доброкачественное образование (коллоидные и аденоматозные узлы, хронический аутоиммунный тиреоидит, подострый тиреоидит), чаще всего удалять такой узел нет необходимости.

• III категория – атипия неопределенного значения (сложная для интерпретации

• пункция с подозрением на опухолевое поражение), требуется повторить пункцию через 2-3 месяца.

• IV категория – фолликулярная неоплазия или подозрение на фолликулярную неоплазию. Такой узел желательно удалять.

• V и VI категория – подозрение на злокачественную или злокачественная опухоль (подозрение на папиллярный рак, на медуллярный рак, на метастатическую карциному или лимфому). При данном заключении оперировать нужно обязательно.

— Каков долгосрочный прогноз для людей с раком щитовидной железы?

— Пациенты, у которых диагностирован рак на ранних стадиях заболевания, как правило, хорошо реагируют на лечение, а рецидивы встречаются крайне редко (пятилетняя выживаемость составляет почти 97 процентов). Некоторые типы рака щитовидной железы имеют более высокую частоту рецидивов.

— А где в Челябинской области можно выполнить пункцию щитовидной железы, чтобы распознать опухоль как можно раньше?

— Очень часто пациенту требуется не только выполнение пункции, но и консультация врача хирурга-эндокринолога для определения дальнейшей тактики, составления плана лечения и наблюдения, а при необходимости и направления на госпитализацию.

Хирург-эндокринолог консультирует в Сети экспертных клиник «СИТИМЕД».

Единая справочная служба

+7(351)265-55-15

запись онлайн на сайте

Врачи

Хирург — эндокринолог, онколог, к.м.н., врач высшей категории

Стоимость приема — 1500

Ransomware-as-a-Service (RaaS): как это работает

Ransomware — не новая угроза для кибер-мира. Его происхождение насчитывает много лет. Со временем эта угроза стала только более опасной и опасной.

Пока люди пытались справиться с этой киберугрозой, киберпреступники сделали еще один шаг, предложив программу-вымогатель как услугу (RaaS). В рамках этого сервиса киберпреступники предоставляют компактный вредоносный комплект, способный запустить атаку с использованием программ-вымогателей.

В этой статье мы обсуждаем RaaS и то, как вы можете защитить свою систему от этой угрозы.

Что такое программы-вымогатели?

Ransomware — это разновидность вредоносного ПО, при котором киберпреступники атакуют вашу систему с помощью вредоносного кода. Их цель — заблокировать вас от вашей системы и зашифровать ваши важные и конфиденциальные данные. Кроме того, они требуют от вас выкупа, прежде чем предоставить ключ дешифрования для вашей заблокированной системы и зашифрованных данных.

Проблема с их методами работы заключается в том, что они не обязательно предоставляют вам ключ дешифрования даже после того, как вы заплатите им выкуп.Таким образом, мы настоятельно рекомендуем вам не платить выкуп; в лучшем случае это поможет финансировать большую активность угрозы вымогателя.

Что такое программа-вымогатель как услуга (RaaS)?

Программа-вымогатель как услуга (RaaS) заимствует модель «Программное обеспечение как услуга» (SaaS). Эта вредоносная модель на основе подписки позволяет даже начинающему киберпреступнику без особого труда запускать атаки программ-вымогателей. На рынке можно найти различные пакеты RaaS, которые уменьшают необходимость кодирования вредоносных программ.Таким образом, он обычно используется киберпреступниками, не обладающими достаточными техническими знаниями о том, как создавать программы-вымогатели. Эта вредоносная модель позволяет любому стать «партнером» установленного пакета или услуги RaaS.

Как это работает?

В рамках этой вредоносной франшизной модели развертывания киберпреступники пишут код вымогателя и продают / сдают его в рамках партнерской программы другим киберпреступникам, которые намереваются начать атаку. Они предоставляют технические ноу-хау и пошаговую информацию о том, как запустить атаку программы-вымогателя с помощью службы, платформы, которая может даже отображать статус атаки с помощью панели управления в реальном времени.После успешной атаки выкуп делится между поставщиком услуг, кодировщиком и злоумышленником.

Эта порочная модель настолько привлекательна для некоторых киберпреступников, что вы даже можете увидеть рекламу провайдера RaaS в темной сети. Это франшизное развертывание привлекает киберпреступников по многим причинам. Прежде всего, это позволяет авторам программ-вымогателей быстро заработать. Что касается аффилированных лиц, это снижает потребность в написании вредоносного кода.Они могут просто сдавать в аренду простые в использовании пакеты по низким ценам в даркнете.

В даркнете можно найти ряд операций RaaS в различных формах и именах, включая Cerber, Satan, Atom, Hostman и Philadelphia. Здесь большинство этих вредоносных типов RaaS атакуют пользователей с помощью фишинговых писем и наборов эксплойтов.

Как защититься от этой угрозы

1. Используйте надежный пакет безопасности.

Чтобы защитить вашу систему от этой вредоносной угрозы, вы должны установить надежное антивирусное программное обеспечение для вашей системы.Эти интеллектуальные инструменты работают с расширенными алгоритмами для обнаружения и в некоторых случаях удаления угроз-вымогателей. Кроме того, они автоматически работают в фоновом режиме, обеспечивая круглосуточную защиту от вредоносных программ.

2. Резервное копирование данных.

Основная идея любой атаки с использованием программ-вымогателей — нацеливаться на конфиденциальные и важные данные пользователей. Таким образом, при необходимости важно иметь наготове вторую копию важных данных. Здесь вы можете создавать резервные копии своих данных на внешних дисках и / или на облачных серверах для большей безопасности.Этот простой шаг позволит вам вернуть свои данные в случае атаки.

3. Регулярно обновляйте системное программное обеспечение.

Как правило, киберпреступники ищут известные слабые места в программном обеспечении вашей системы. Таким образом, поддержание системного программного обеспечения в актуальном состоянии обеспечит лучшую защиту от всех существующих и возникающих киберугроз. Здесь с каждым обновлением программного обеспечения вы получаете исправления ошибок, исправления безопасности и другие полезные функции. Помимо обновления системного программного обеспечения, вы также должны поддерживать все приложения в вашей системе в актуальном состоянии для повышения безопасности.

4. Избегайте подозрительных ссылок и вложений.

Как мы уже говорили, киберпреступники используют фишинговые электронные письма и наборы эксплойтов в качестве предпочтительного способа атаки на пользователей. Таким образом, избегание подозрительных и неизвестных ссылок и вложений поможет вам избежать ненужных проблем. При необходимости вы можете просканировать вложение с помощью программы защиты от вредоносных программ, прежде чем открывать его.

Заключение

Хотя программа-вымогатель как услуга (RaaS) является детищем и одной из последних угроз для пользователей цифровых технологий, становится важным принять некоторые превентивные меры для борьбы с этой угрозой.В дополнение к другим основным мерам безопасности вы также можете положиться на передовые программы защиты от вредоносных программ, которые лучше защитят вас от этой угрозы.

Об авторе: Чандра Шекхар Чоудхари, аналитик цифрового маркетинга и автор технического контента, работает в Systweak Software. Его интересуют темы Anti Malware, Best Antimalware Software, Windows и Mac, и он очень заинтересован в написании других технических блогов. Помимо письма, он любит путешествовать и готовить.Найдите его в Facebook и Twitter .

Примечание редактора: Мнения, выраженные в этой статье гостя, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

The FONIX RaaS | Новая сдержанная угроза с ненужными сложностями

FONIX Raas (программа-вымогатель как услуга) — это предложение, которое впервые привлекло внимание в июле этого года. В то время это не произвело особого впечатления, и даже в настоящее время мы наблюдаем лишь небольшое количество заражений из-за этого семейства программ-вымогателей.Тем не менее, RaaS, который сначала скрывается от радаров, может быстро стать необузданным, если защитники и решения по обеспечению безопасности не будут знать о них. Примечательно, что FONIX несколько отличается от многих других текущих предложений RaaS тем, что использует четыре метода шифрования для каждого файла и имеет слишком сложный цикл взаимодействия после заражения. В этом посте мы подробнее рассмотрим эти и другие особенности нового предложения RaaS.

История FONIX: от шифровальщиков к шифровальщикам

Актеры, стоящие за FONIX, до выпуска RaaS, по-видимому, были в первую очередь сосредоточены на бинарных шифровальщиках / упаковщиках.Их «продукты» рекламировались на различных форумах, посвященных киберпреступности, а также в рекламе в даркнете. После этого последовала первоначальная реклама RaaS.

FONIX RaaS: сложный треугольник жертва-аффилированный автор

Взаимодействие с этим RaaS осуществляется исключительно по электронной почте и напрямую с автором / рекламодателем. Нет веб-портала для регистрации или управления инфекциями или кампаниями. Похоже, что изначально авторы предлагали почтовую службу, специфичную для FONIX; однако на момент написания эта услуга, похоже, недоступна.

При взаимодействии с рекламодателем FONIX потенциальные покупатели должны предоставить автору вредоносной программы желаемый адрес электронной почты и пароль для почтовой службы FONIX. Поскольку почтовая служба FONIX в настоящее время неактивна, похоже, покупатели должны предоставить продавцам альтернативные адреса электронной почты (например, protonmail). Как только продавец получит данные электронной почты, покупателю будут отправлены копии полезных данных вымогателя.

Полученные полезные данные настраиваются для отображения адреса электронной почты нового покупателя после заражения, что, в свою очередь, дает указание жертвам связаться с этим адресом электронной почты, чтобы получить инструкции по расшифровке или получить доказательства расшифровки.Опять же, все транзакции обрабатываются по электронной почте, а не через веб-портал.

Для того, чтобы стать партнером FONIX, не требуется никаких авансовых платежей. Напротив, когда жертвы платят выкуп (чего им в идеале не следует делать), злоумышленник (покупатель FONIX) предоставляет авторам FONIX 25% от выручки.

Фактический процесс немного запутан и гораздо менее удобен для пользователя, чем большинство служб вымогателей. Основываясь на текущих данных, мы знаем, что филиалы FONIX сначала не получают утилиту для дешифрования или ключи.Вместо этого жертвы сначала связываются с аффилированным лицом (покупателем) по электронной почте, как описано выше. Затем партнер запрашивает у жертвы несколько файлов. К ним относятся два небольших файла для дешифрования: один предназначен для доказательства жертве, а другой — файл «cpriv.key» с зараженного хоста. Затем филиал должен отправить эти файлы авторам FONIX, которые расшифруют файлы, после чего они могут быть отправлены жертвам.

Предположительно, как только жертва убедится, что расшифровка возможна, партнер предоставляет платежный адрес (кошелек BTC).Затем жертва платит партнеру, а партнер, в свою очередь, предоставляет авторам FONIX их 25% долю.

После того, как авторы FONIX получили свою часть доходов, они предоставляют партнеру утилиту дешифрования и ключ (ключи уникальны для каждой кампании). На этом этапе он находится между партнером и жертвой с точки зрения того, как они предоставляют возможности дешифрования.

В общем, это трудоемкий процесс для любой среды, особенно для крупных предприятий.Предотвратить инфекцию, избегая всей этой чепухи, — гораздо более привлекательный вариант!

FONIX Ransomware: шифрование и выполнение файлов

Примеры FONIX, которые мы наблюдали, бывают 64- и 32-разрядными и доступны только для Windows. По умолчанию FONIX шифрует все типы файлов, за исключением важных файлов ОС Windows.

Шифрование файлов осуществляется с помощью сочетания Salsa20, Chacha, RSA и AES.

Авторы FONIX заявляют, что это необходимо для обеспечения «надежного» и «непревзойденного» шифрования.Однако это значительно увеличивает время шифрования. Наш анализ показывает, что FONIX в 2-5 раз медленнее, чем другие известные семейства программ-вымогателей (например, Ryuk, NetWalker).

Все зашифрованные файлы имеют расширение .XINOF (FONIX наоборот). В зависимости от контекста выполняемой полезной нагрузки в систему вносятся многочисленные другие вредоносные изменения. Во всех случаях после завершения шифрования фон рабочего стола меняется на логотип FONIX и .Заметка о программе-вымогателе, отформатированная HTA , отображается на всем экране.

Как уже отмечалось, инструкции для связи со злоумышленником приведены в записке о выкупе ( How To Decrypt Files.hta ). Несколько дополнительных файлов хранятся на зашифрованных хостах. Например, в пост-шифровании % programdata% можно найти следующее:

Крив. Ключ
Привет, Мишель Глипс
Help.txt
Как расшифровать файлы.hta
SystemID

Cpriv.key и SystemID оба требуются для дешифрования, как подробно описано в процессе цепочки дешифрования, описанном выше. How To Decrypt Files.hta — это основная записка с требованием выкупа, и это та же самая HTA, отображаемая на видном месте (однако, скрывая обои с логотипом FONIX). Help.txt — это дополнительный текстовый файл, содержащий тот же адрес электронной почты злоумышленника. Файл просто содержит быстрое сообщение, адрес электронной почты злоумышленника и SystemID.

Оставшийся файл Hello Michaele Gllips , похоже, представляет собой сообщение @ demonslay335 из команды MalwareHunterTeam. Это также было задокументировано через Twitter @bartblaze.

При выполнении с правами администратора происходят следующие дополнительные системные изменения:

Диспетчер задач отключен
Постоянство достигается с помощью запланированной задачи, включения папки автозагрузки и реестра (Run AND RunOnce)
Изменены права доступа к системному файлу
Для постоянных копий полезной нагрузки присвоено скрытое значение
Скрытая служба создана для сохранения (Windows 10)
Метки диска / тома изменены (на «XINOF»)
Теневые копии тома удалены (vssadmin, wmic)
Параметры восстановления системы изменены / отключены (bcdedit)
Параметры безопасной загрузки изменяются

Вредоносная программа FONIX выполняет множество команд, изменяющих систему.Это лишь небольшая часть из многих, что мы наблюдали:

  conhost.exe 0xffffffff -ForceV1
cmd.exe / c schtasks / CREATE / SC ONLOGON / TN fonix / TR C: \ ProgramData \ XINOF.exe / RU SYSTEM / RL HIGHEST / F
schtasks.exe / RU СИСТЕМА / RL ВЫСОКИЙ / F
cmd.exe / c скопируйте XINOF.exe% appdata% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ XINOF.exe
cmd.exe / c attrib + h + s C: \ Users \ admin1 \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ XINOF.exe
attrib.exe
cmd.exe / c reg добавить HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ / v «PhoenixTechnology» / t REG_SZ / d C: \ ProgramData \ XINOF.exe / f
reg.exe / f
cmd.exe / c reg add HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ / v "PhoenixTechnology" / t REG_SZ / d C: \ ProgramData \ XINOF.exe / f
cmd.exe / c reg add HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ / v "PhoenixTechnology" / t REG_SZ / d C: \ ProgramData \ XINOF.exe / f
cmd.exe / c reg add HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ / v "PhoenixTechnology" / t REG_SZ / d C: \ ProgramData \ XINOF.exe / f
cmd.exe / c reg добавить HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f
рег.exe добавить HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f
cmd.exe / c reg добавить HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f

Заключение

FONIX в настоящее время не является широко распространенной угрозой; в настоящее время трудно сказать, связано ли это со сложностью модели взаимодействия или другими факторами. Однако заражение FONIX особенно агрессивно — шифрует все, кроме системных файлов — и может быть трудно восстановить после того, как устройство было полностью зашифровано.В настоящее время FONIX, похоже, не угрожает жертвам дополнительными последствиями (такими как раскрытие общедоступных данных или DDoS-атаки) за несоблюдение. Однако даже без этих дополнительных головных болей хорошая гигиена пользователей и надежные современные средства управления безопасностью конечных точек имеют решающее значение для предотвращения этого и аналогичных инфекций. Платформа SentinelOne полностью способна предотвратить любое поведение и артефакты, связанные с семейством программ-вымогателей FONIX.

Индикаторы компрометации

SHA1
a94f92f1e6e4fed57ecb2f4ad55e22809197ba2e
1f551246c5ed70e12371891f0fc6c2149d5fac6b
63cae6a594535e8821c58fda400030003

SHA256 e5324495a9328fe98187239565c05b077680b2ebc9183a6e3e2ccfbfa9f0295a
5263c485f21886aad8737183a71ddc1dc77a92f64c58657c0628374e09bb6899
658ec5aac22

dba741bce30853515795028322162167395cebc5d0bfccf4

MITER ATT & CK
Данные, зашифрованные для воздействия T1486
Автозапуск при загрузке или входе в систему: ключи запуска реестра / папка запуска T1547]
Запутанные файлы или информация T1027
Запрет восстановления системы T1490
Запланированное задание / задание: запланированное задание T1053.005
Автозапуск при загрузке или входе в систему T1547
Интерпретатор команд и сценариев T1059
Интерпретатор команд и сценариев: Командная оболочка Windows T1059.003
Обфусцированные файлы или информация: Пакет программного обеспечения T1027.002
Модификация разрешений для файлов и каталогов T1222
Модификация разрешений для файлов и каталогов : Изменение разрешений для файлов и каталогов Windows T1222.001
Скрыть артефакты T1564
Запретить восстановление системы T1490

Просмотры сообщений:
12 508

Программа-вымогатель RaaS

Что такое RaaS и как от него защититься?

Программа-вымогатель — это форма кибератаки, предназначенная для шифрования данных жертвы до тех пор, пока она не выплатит финансовое вознаграждение злоумышленнику — i.е. выкуп. В последние годы возросла популярность бизнес-модели под названием RaaS — Ransomware-as-a-Service, при этом большинство кибератак в 2020 году были атаками RaaS. Вот обзор того, почему они так популярны и как их избежать

RaaS — обзор

RaaS расшифровывается как «Программа-вымогатель как услуга». Это «суперсила», если хотите, заключается в том, что вместо того, чтобы киберпреступник тратить время на создание собственной программы-вымогателя, они могут купить ее в даркнете у провайдера RaaS.Затем провайдер RaaS получит часть выкупа жертвы после предоставления ключа дешифрования. Это позволяет проводить атаки программ-вымогателей с большей частотой; Теперь преступникам не нужно быть кодировщиками, чтобы проводить кибератаки.

Это также беспроигрышный вариант для разработчиков и аффилированных лиц, осуществляющих атаку. Разработчики программ-вымогателей часто имеют своих аффилированных лиц с регулярной ежемесячной платой (например, SaaS), при этом некоторые филиалы зарабатывают до 80% от каждой выплаты выкупа. Для повышения профессионализма аффилиатам обычно предоставляются материалы для ознакомления, а иногда даже информационная панель для отслеживания успешности каждой попытки заражения.

Как и большинство киберпреступлений, атаки RaaS будут осуществляться с помощью фишинговых атак; электронные письма, предназначенные для того, чтобы обманом заставить получателя предоставить доступ или передать личную информацию. Если пользователь загрузит программу-вымогатель, инфекция может быстро распространиться. Он может отключить брандмауэры и даже получить контроль над ИТ всего бизнеса. Следует также отметить, что уплата выкупа никогда не бывает разумной. Обычно преступников не беспокоит предоставление ключа дешифрования тем, кто платит. Вот почему ФБР не рекомендует платить выкуп.Поэтому лучшее, что вы можете сделать, — это принять меры, которые в первую очередь предотвращают атаки RaaS.

Способы защиты от RaaS

Обучение кибербезопасности

Поскольку почти все атаки программ-вымогателей происходят из-за фишинга, в первую очередь вам необходимо убедиться, что ваши сотрудники могут обнаружить фишинговые мошенничества за милю. Обучение кибербезопасности гарантирует, что ваша первая и самая слабая линия защиты — люди — бдительны и не подвергают ваш бизнес опасности.

Безопасность Zero Trust

Это философия недоверия по умолчанию. Он включает в себя тщательную проверку перед утверждением любого устройства, IP-адреса, приложения и т. Д. По сути, всего, что взаимодействует с вашей ИТ-инфраструктурой. Это может быть реализовано с помощью ряда методов, таких как добавление приложений в белый список и тщательный мониторинг ваших систем. Для получения дополнительной информации о безопасности Zero Trust щелкните здесь.

Принцип наименьших привилегий

Подобно Zero Trust, предоставление как можно меньшего доступа как можно большему количеству пользователей поможет ограничить ущерб, который может нанести злоумышленник.Когда преступник нарушает безопасность пользователя, у него будет доступ ко всему, к чему у этого пользователя есть доступ. Нет смысла в том, чтобы младший член команды имел такой же уровень доступа, что и системный администратор. В том, чтобы у генерального директора были права администратора, может быть даже нет смысла. Поэтому убедитесь, что вы предоставляете своим сотрудникам и киберпреступникам как можно меньше доступа к данным вашей компании.

Существует ряд способов защитить себя от атаки RaaS. В безопасность можно вложить много ресурсов.Но если вы ищете первый шаг, который, скорее всего, принесет наибольшее вознаграждение, обучение кибербезопасности — идеальный выбор. Защитите себя с помощью решения кибербезопасности и укрепите свой человеческий брандмауэр с помощью нашей услуги по обучению кибербезопасности.

Нажмите здесь, чтобы узнать больше.

Ransomware as a Service (RaaS) Угрозы

Программа-вымогатель продолжает представлять серьезную угрозу для организаций, и эта угроза растет.Число атак программ-вымогателей растет, и отчет Beazley Group показывает, что число атак программ-вымогателей увеличилось на 25 процентов с четвертого квартала 2019 года по первый квартал 2020 года. Денежная стоимость среднего выкупа также значительно выросла. С 3 квартала 2019 года по 4 квартал 2019 года средний размер выкупа увеличился с 41 198 долларов США до 84 116 долларов США, что на 104 процента больше, согласно отчету Coveware за январь 2020 года. Более того, согласно отчету Coveware за апрель 2020 года, в течение первого квартала 2020 года средний выкуп составлял 111 605 долларов, что более чем на 33 процента больше, чем за четвертый квартал 2019 года.В этом сообщении блога исследуется экономика, объясняющая, почему программы-вымогатели остаются основным инструментом для киберпреступности, и представлены текущие активные варианты программ-вымогателей, которые используют программу-вымогатель как услугу (RaaS), изменение бизнес-модели программ-вымогателей, которое может привести к значительному росту активности программ-вымогателей.

Ransomware — это вредоносная программа, которая использует надежное шифрование для блокировки и заключения целевых файлов в тюрьму, что делает расшифровку практически невозможной без ключа или взлома потенциальных недостатков в реализации шифрования.Атаки программ-вымогателей в значительной степени оппортунистичны и обычно поражают множество легких целей в надежде получить наибольшее финансовое вознаграждение. После того, как злоумышленник использует программу-вымогатель для шифрования данных жертвы, злоумышленник отправляет записку с требованием выкупа с требованием оплаты инструмента дешифрования для восстановления данных, удерживаемых заложниками. Если у организаций нет плана действий на случай непредвиденных обстоятельств для восстановления своих данных или если зашифрованные файлы не имеют никакой ценности, жертвы в конечном итоге платят выкуп или теряют свои файлы. Стоит отметить, что даже если жертвы заплатят выкуп, они не смогут восстановить доступ к своим данным.ФБР рекомендует не платить выкуп злоумышленникам, а министерство финансов США в настоящее время изучает вопрос о финансовых штрафах для организаций, которые платят выкуп за восстановление своих данных.

Активные варианты программ-вымогателей

В таблице 1 ниже показаны 10 самых активных вариантов программ-вымогателей в первом квартале 2020 года.

Таблица 1 Топ-10 активных вариантов программ-вымогателей в первом квартале 2020 года по данным отчета Coveware за апрель 2020 года.

Известно, что Sodinokibi, Phobos, Dharma и GlobeImposter из 10 основных перечисленных выше активных вариантов вымогателей используют бизнес-модель вымогателя как услуги (RaaS), что объясняется в нижеследующем абзаце. На конференции RSA 2020 специальный агент ФБР Джоэл ДеКапуа представил исследование по отслеживанию биткойн-кошельков, связанных с вариантами программ-вымогателей, в результате которых жертвы заплатили выкуп в размере 140 миллионов долларов с 2013 по 2019 год. По данным DeCapua, Dharma, Sodinokibi, Phobos и GlobeImposter входят в первую десятку. варианты собрав 24 $.48 миллионов, 6,63 миллиона, 5,30 миллиона и 3,26 миллиона долларов соответственно в виде выкупа. Это указывает на то, что модель RaaS является эффективной стратегией сбора выкупа. Стоит отметить, что фактическая сумма платежей, собранных за шесть лет, вероятно, больше, чем было зарегистрировано, потому что ФБР не имело доступа ко всем запискам с выкупом и кошелькам Биткойн.

Что такое программа-вымогатель как услуга (RaaS)?

RaaS — это новая бизнес-модель для разработчиков программ-вымогателей.Как и программное обеспечение как услуга (SaaS), разработчики программ-вымогателей продают или сдают в аренду свои варианты программ-вымогателей аффилированным лицам, которые затем используют их для проведения атаки. Бизнес-модель RaaS делает программы-вымогатели доступными для людей, не разбирающихся в компьютерах. На рисунке 1 ниже изображен рабочий процесс для атаки с использованием платформы RaaS; эта цифра приведена в официальных документах SEI Текущие угрозы программ-вымогателей и Обновленная структура защиты от программ-вымогателей . В этом рабочем процессе выполняются следующие шаги:

Разработчик программы-вымогателя создает специальный код эксплойта, который затем передается по лицензии филиалу программы-вымогателя за плату или за долю в доходах от атаки.
Партнер обновляет хостинг с помощью специального кода эксплойта.
Филиал идентифицирует и нацеливает вектор заражения и доставляет код эксплойта жертве (например, по вредоносной электронной почте).
Жертва нажимает ссылку или переходит на сайт.
Программа-вымогатель загружается и запускается на компьютере жертвы.
Программа-вымогатель шифрует файлы жертвы, идентифицирует дополнительные цели в сети, изменяет конфигурацию системы для обеспечения устойчивости, прерывает или уничтожает резервные копии данных и скрывает свои следы.
Жертва получает записку о выкупе и получает указание заплатить выкуп не отслеживаемыми средствами, обычно криптовалютой.
Лицо, занимающееся отмыванием денег, переводит деньги через несколько преобразований, чтобы скрыть личности партнера по программе-вымогателю и разработчика .
Партнер программы-вымогателя может отправить дешифратор жертве после получения выкупа. Партнер может предъявлять дополнительные требования к жертве или вообще ничего не делать и оставить жертву с зашифрованными файлами.

Рисунок 1: Рабочий процесс программы-вымогателя как службы, описанный в Текущие угрозы программ-вымогателей и Обновленная структура защиты от программ-вымогателей

Почему RaaS имеет значение?

Платежи выкупа становятся все дороже, и мы можем предположить, что прибыльность программ-вымогателей увеличивается для злоумышленников. С RaaS программа-вымогатель больше не ограничивается разработчиками, которые ее создают.Разработчики программ-вымогателей теперь продают свой продукт филиалам программ-вымогателей, которые используют его для вымогательства у организаций. RaaS снижает риск для разработчиков программ-вымогателей, поскольку им не нужно проводить атаки.

Для филиалов программ-вымогателей RaaS снижает затраты на выполнение атак, поскольку они могут использовать готовые программы-вымогатели. RaaS расширяет спектр угроз вымогателей, потому что филиалам больше не нужно разрабатывать свой собственный вариант для проведения атаки и зарабатывания денег. Для разработчиков программ-вымогателей RaaS может быть столь же прибыльным, как прямые выплаты выкупа, поскольку и разработчики, и аффилированные лица получают процент от выплаченных выкупов, а программа-вымогатель затрагивает большее количество целей и встречается чаще.

Постоянная проблема

Угроза программ-вымогателей растет. Число атак программ-вымогателей растет, и денежная стоимость платежей, связанных с программами-вымогателями, быстро растет. Бизнес-модель RaaS набирает популярность среди разработчиков программ-вымогателей, о чем свидетельствует растущее число вариантов программ-вымогателей, использующих эту модель. Это увеличение поддержки RaaS создает больше возможностей для внешних филиалов использовать программы-вымогатели, что еще больше расширяет ландшафт угроз для организаций.В целом программы-вымогатели останутся проблемой в обозримом будущем, поэтому организациям необходимо принимать превентивные меры для защиты себя.

В одном из будущих постов моего коллеги Тима Шимолла будет обсуждаться, где организациям следует начать защищаться от программ-вымогателей, а в третьем посте будет рассказано о приоритетных действиях, которые необходимо предпринять для осведомленности и смягчения этих угроз.

Дополнительные ресурсы

Официальный документ SEI Обновленная структура защиты от программ-вымогателей Тимоти Шимолла и Тимура Сноука, которая свободно структурирована вокруг структуры кибербезопасности NIST, пытается сформулировать подход к защите от программ-вымогателей как услуги (RaaS) как а также прямые атаки программ-вымогателей.

Официальный документ SEI Current Ransomware Threats Мариса Мидлер, Кайл О’Мира и Александра Паризи обсуждает программы-вымогатели, включая объяснение их конструкции, распространения, исполнения и бизнес-модели.

Сообщение в блоге SEI Ransomware: Best Practices for Prevention and Response Александра Волынкина, Анджелы Хорнеман и Хосе Моралес описывает несколько передовых методов предотвращения атак программ-вымогателей и реагирования на них.

Подземный бизнес, работающий под открытым небом

В глобальном масштабе ущерб от программ-вымогателей в 2019 году достиг ошеломляющих 11,5 млрд долларов. В частности, MSP испытали гнев программ-вымогателей, атаковавших высокопоставленных клиентов MSP в правительстве, здравоохранении и других критически важных службах. По данным Датто, в первой половине 2019 года 59 процентов поставщиков услуг Интернета сообщили об атаках программ-вымогателей на клиентов. Среднее количество запросов на вымогательство увеличилось на 37 процентов, а стоимость простоя (5900 долларов США) в 23 раза больше, чем средний спрос на вымогателей с 2018 года.

Если эти цифры не вызывают достаточного беспокойства, вымогательское ПО как услуга (RaaS) быстро растет. Примерно за 50 долларов любой потенциальный хакер может получить подписку RaaS, а вместе с ней и ежемесячную лицензию на проведение атак на предприятия.

Что такое RaaS?

RaaS — это предложение типа SaaS, которое включает в себя все, что нужно хакеру для запуска атаки с использованием программ-вымогателей. Типичная подписка RaaS стоит около 50 долларов и включает в себя код вымогателя и ключ дешифрования, хотя наборы варьируются от разреженных до надежных.Сложные предложения RaaS включают поддержку клиентов и информационные панели, на которых хакеры могут отслеживать своих жертв, включая статус заражения и выплаты выкупа.

Разработанный организациями, занимающимися киберпреступностью, RaaS упрощает разработку и запуск программ-вымогателей, практически устраняя барьеры для доступа низкоквалифицированных хакеров. В то время как некоторые организации RaaS взимают ежемесячную лицензионную плату за использование своего продукта, другие берут комиссию — до 70 процентов — с выплат выкупа аффилированным лицам.

Подобно SaaS-компаниям, разработчики RaaS часто выпускают новые версии для своих клиентов и аффилированных лиц, и они запускают свои веб-сайты в темной сети с изощренностью и эффективностью бизнеса электронной коммерции. Как и подписки SaaS, многие модели подписок RaaS предлагаются на уровнях — бронзовом, серебряном и золотом — с каждым последующим уровнем, предлагающим лучшие функции и поддержку.

RaaS организаций

разработчиков RaaS, идентифицированных в даркнете, включают RainMaker labs, GandCrab, Sodinokibi и, с недавних пор, Jokeroo.RainMaker стоит за программой-вымогателем Philadelphia, которая попала в заголовки газет в 2017 году. Хотя некоторые представители технического сообщества сочли Philadelphia RaaS грубым по сравнению с конкурентами, предложение было изящным и даже рекламировалось с помощью высококачественного видео.

Группа, стоящая за вымогателем GandCrab, утверждает, что вымогала у жертв по всему миру 2 миллиарда долларов. В рамках редкого акта милосердия в 2019 году разработчик GandCrab выпустил ключ дешифрования для сирийских жертв вымогателей, которые публично заявили о своей травме, потеряв доступ к фотографиям своих умерших детей.Расшифровщик GandCrab был быстро создан исследователями безопасности, и вскоре после этого GandCrab замолчал.

По данным Bleeping Computer, на пике своего развития RaaS у GandCrab было 392 филиала. Хотя группа исчезла в октябре 2019 года, вполне вероятно, что они реорганизовались в Sodinokibi, программу-вымогатель, стоящую за некоторыми из крупнейших атак 2019 года. Исследователи отметили поразительное сходство в коде GandCrab и Sodinokibi, а также различия в личностях его разработчиков, предполагая, что у руля новое руководство.

Имея множество филиалов и модель RaaS, которая превосходит GandCrab как в организационном, так и в техническом плане, Sodinokibi настраивается и распространяется среди филиалов в зависимости от их уникальных потребностей. В статье Bank Info Security за 2019 год представитель охранной фирмы Coveware из Коннектикута сказал, что некоторые аффилированные лица имеют специализированный опыт атак на MSP и других поставщиков ИТ-услуг. В 2019 году Sodinokibi попала в ряд поставщиков MSP, включая Synoptec, PercSoft, CyrusOne и LogicalNet.

Jokeroo впервые был замечен в марте 2019 года, когда объявил о своем присутствии в Twitter. Jokeroo предлагает несколько уровней членства, а также почтенный пользовательский интерфейс, который включает в себя текущий список жертв Jokeroo и платежей вымогателей, а также настраиваемый конструктор записок о выкупе.

Развертывание пакетов RaaS

Операторы

RaaS понимают, что для привлечения большего числа клиентов их продукт должен быть простым в использовании. Хотя Sodinokibi может быть сложной разновидностью вредоносного ПО, его можно распространять с помощью простой электронной почты.

Фишинг остается самым популярным методом доставки для всех типов программ-вымогателей, при этом 67% всех атак распространяются через фишинг. Недавние атаки программ-вымогателей, приписываемые фишинговым письмам, включают города Новый Орлеан, Лос-Анджелес, и Дарем, Северная Каролина, которые в результате были отключены от сети, в том числе центры обработки вызовов службы экстренной помощи 911 и пожарные депо.

Фишинговые электронные письма легко создавать и отправлять, а методы обхода фильтров становятся все более изощренными. Кроме того, начинающие фишеры могут заручиться помощью криминальных фишинговых организаций, у которых есть собственный бизнес SaaS.

«Фишинг как услуга» (PhaaS), как и RaaS, представляет собой универсальное решение для взлома. Типичный набор для фишинга включает в себя фишинговые электронные письма, фишинговые веб-страницы, списки адресов электронной почты и даже инструменты уклонения. Вместе RaaS и PhaaS предлагают все, что нужно хакеру для атаки.

Защита от программ-вымогателей

Доступность RaaS и PhaaS создала неограниченные возможности для хакеров, практически не имеющих опыта взлома. И, атакуя MSP, они могут поразить несколько целей за один проход.Защитите свой бизнес, приняв следующие меры:

Резервные копии : Регулярно создавайте резервные копии и храните их на отдельном устройстве, чтобы хакеры не могли получить доступ к вашим файлам.
Обновления : Регулярно обновляйте и исправляйте все программное обеспечение для защиты от известных и неизвестных уязвимостей системы.
Защита от фишинга и программ-вымогателей : инвестируйте в усовершенствованную защиту от фишинга, которая может обнаруживать и блокировать фишинговые сообщения электронной почты во время доставки и во время нажатия.
Обучение пользователей : Предложите тренинг по осведомленности о фишинге, чтобы научить ваших пользователей обнаруживать признаки фишинга, и предложите контекстное обучение, чтобы усилить обучение, когда ваши пользователи нажимают на фишинговое электронное письмо или отвечают на него.

RaaS столь же изменчив, как и преступники, которые его используют — Sophos News

Переход к модели обслуживания . широкий спектр стилей атаки, программного обеспечения и опыта для решения задачи.

Одна из программ-вымогателей как услуга (RaaS), с которыми мы сталкиваемся чаще всего, известная попеременно как Sodinokibi или REvil, является такой же обычной программой-вымогателем, как мы видели: ее процедуры, конфигурация и поведение, к которым мы пришли ожидайте от зрелой семьи, которая, очевидно, хорошо используется в криминальном подполье.

Неудивительно, что компания Sophos приложила значительные усилия для борьбы с этой повседневной угрозой. В дополнение к функциям защиты от несанкционированного доступа, которые не позволяют сценарию отключать функции защиты конечных точек, мы используем правила поведенческого обнаружения, которые определяют основные действия, которые должны выполнять программы-вымогатели, а также функцию CryptoGuard, которая предотвращает шифрование данных программой-вымогателем.

Поскольку атаки с использованием вредоносного ПО RaaS, в том числе REvil, все чаще привлекают внимание общественности и освещаются в новостях, SophosLabs хотела собрать воедино наши знания о самом вымогателе и о разнообразных методах атак, используемых преступниками, которые арендуют компьютер. программное обеспечение и обрабатывать взломы.

Кроме того, мы изучили отчеты, подготовленные Sophos Rapid Response, об атаках с участием Sodinokibi / REvil, в которых была нанята команда MTR для реагирования на инциденты и устранения инцидентов.На основе этого подробного анализа мы смогли составить картину распространенного вредоносного ПО, развертываемого множеством способов огромной базой криминальных клиентов.

Признаки надвигающейся атаки

Развертывание программ-вымогателей обычно происходит в самом конце гораздо большего и более сложного набора предварительных действий, которые преступный злоумышленник предпримет в течение длительного времени, прежде чем кто-либо из целевой организации войдет в систему в поисках выкупа. обратите внимание на свой рабочий стол.Итак, хотя мы будем обсуждать внутреннее устройство и типичные характеристики Sodinokibi / REvil, имеет смысл сначала описать эти действия-предшественники. Если защитник или владелец сети могут обнаружить и быстро отреагировать на такое поведение, в то время как злоумышленник все еще закладывает основу для окончательной полезной нагрузки вымогателя, можно перекрыть доступ злоумышленников до того, как компьютеры цели нанесут какой-либо вред.

Сами злоумышленники, похоже, используют комбинацию сценариев (иногда размещенных в файловых репозиториях, таких как Github или Pastebin) и ручного управления (иногда через консоль, иногда через удаленный рабочий стол Windows или коммерческие инструменты удаленного доступа).

Один злоумышленник REvil использовал скрипты, взятые непосредственно из репозитория инструментов тестера на проникновение на Github

. Мы разбили типичную атаку на следующие фазы: проникновение и начальный доступ; Сбор учетных данных и повышение привилегий; Обработка поля; и развертывание программы-вымогателя. Часто (но не всегда, потому что это зависит от злоумышленника) есть этап, на котором злоумышленники используют свои вновь обретенные учетные данные для поиска и эксфильтрации конфиденциальных данных организации за несколько часов до нескольких недель, прежде чем доставить полезную нагрузку.

Проникновение в сеть

Взломать, что неудивительно, не так уж и сложно, если это то, что вы делаете в течение всего дня. Но можно разделить начальные методы доступа, используемые различными преступниками, которые атаковали с помощью Sodinokibi / REvil, на несколько типов: атаки методом грубой силы на известные интернет-сервисы, такие как VPN, RDP, инструменты удаленного управления настольными компьютерами, такие как VNC, и даже некоторые облачные системы управления; Злоупотребление ранее полученными учетными данными или доступом (полученным с помощью другого вредоносного ПО или фишинга) к законным учетным записям, не требующим использования многофакторной аутентификации; или, в некоторых случаях, использование в качестве полезной нагрузки другого вредоносного ПО, присутствующего в сети цели.

Атаки методом перебора, к сожалению, составляют значительную часть трафика, который ежечасно видит практически любой интернет-сервис. Атаки так дешевы для злоумышленников, что стоит просто бросить кухонную раковину на экран входа в систему, поэтому многофакторная аутентификация так невероятно важна (хотя и не обязательно является панацеей). Злоумышленники могут использовать такие инструменты, как Shodan или Censys, которые обнаруживают открытые порты, ведущие к общим службам, так же, как и защитники.

В ходе одной из недавних атак организация зафиксировала огромное количество неудачных попыток входа в систему RDP, нацеленных на сервер, который в конечном итоге стал точкой доступа для злоумышленников.На типичном сервере журнал, в котором хранятся неудачные попытки входа в такие службы, как RDP, переносится, перезаписывая самые старые данные в течение периода от нескольких дней до недель, в зависимости от того, сколько неудачных попыток было сделано. В этой атаке количество неудачных событий входа в систему RDP привело к тому, что файлы журнала полностью перезаписывались новыми записями каждые пять минут. Данные, собранные с этого сервера, показали примерно 35 000 неудачных попыток входа в систему за пятиминутный период с 349 уникальных IP-адресов по всему миру.

Среди 35000 попыток грубой силы, предпринимаемых каждые пять минут, это были самые распространенные имена пользователей, которые пытались использовать злоумышленники.

RDP был замешан как один из наиболее распространенных методов взлома сети в случаях, которые мы были призваны расследовать, а именно: почему отключение доступа внешнего мира к RDP — одна из самых эффективных защит, которую может предпринять ИТ-администратор. Но RDP был не единственным виновником: злоумышленники также получали первоначальный доступ через другие интернет-сервисы, которые они могли использовать грубой силой или запустить эксплойт против известной уязвимости, которая дала им некоторый доступ.В одном случае злоумышленник нацелился на ошибку в конкретном программном обеспечении VPN-сервера, чтобы получить начальный доступ, а затем использовал ошибку в пятилетней версии Apache Tomcat на том же сервере, что позволило злоумышленнику создать новую учетную запись администратора на сервере. сервер.

По крайней мере в двух разных случаях с участием разных целевых организаций исходной точкой доступа было что-то, оставленное на месте примерно другими злоумышленниками, которые, как мы позже обнаружили, ранее поражали эти организации программами-вымогателями за несколько недель или месяцев до нашего вмешательства, став жертвой. их дважды.

В одном из этих случаев мы обнаружили остаток Cobalt Strike, коммерческого набора инструментов для тестирования на проникновение, которым преступники часто злоупотребляют, чтобы обеспечить себе удаленный доступ к компьютеру. Артефакт Cobalt Strike был оставлен на месте злоумышленником (предположительно другим), который развернул программу-вымогатель под названием Le Chiffre .

В другом случае злоумышленник, по-видимому, использовал RDP на компьютере, который ранее использовался как начальная плацдарм для атаки другого типа программ-вымогателей, всего за три недели до атаки REvil.

Методы MITER ATT & CK, использованные в одной из исследованных нами атак программ-вымогателей REvil

Сбор учетных данных и повышение привилегий

Злоумышленники-вымогатели предпочитают использовать внутренние инструменты, такие как контроллеры домена, для развертывания полезной нагрузки; Если они не купили украденные или фальшивые учетные данные, они часто будут незаметно отслеживать сеть, в которой находится компьютер, на котором они изначально закрепились. Злоумышленники могут использовать свободно доступные, не являющиеся вредоносными по своей сути служебные программы для извлечения сохраненных паролей с жесткого диска и / или более продвинутые инструменты, такие как Mimikatz, для получения учетных данных учетной записи администратора домена.Это требует от злоумышленника большого терпения, поскольку нет гарантии, что они получат учетные данные в любой заданный промежуток времени. Но как только у них есть то, что им нужно, они действуют быстро.

Обработка поля: создание основы для атаки

Подготовка корпоративной сети к атаке программы-вымогателя требует огромного объема работы. Злоумышленникам необходимо составить список внутренних целей, предоставить себе права администратора домена и использовать эти привилегии, чтобы выключить или иным образом заблокировать все, что может помешать их атаке: Защитник Windows обычно идет первым, но часто злоумышленники потратят некоторые время, пытаясь определить, какие инструменты защиты конечных точек запущены на компьютерах, и может запускать один или несколько настраиваемых сценариев, которые объединяют попытку убить любой запущенный процесс или службы защиты, а также удалить любую сохраняемость, которую могут иметь эти процессы или службы.

Один злоумышленник REvil создал специальный сценарий для завершения служб и процессов Sophos и даже пытается удалить программное обеспечение. Попытка предотвратить вмешательство в продукт.

По крайней мере, в одном случае, связанном с Sodinokibi, злоумышленники зашли так далеко, что установили, что сеть цели использовала межсетевой экран Sophos и управляла защитой своих конечных точек через Sophos Central. Злоумышленник усердно работал над получением учетных данных ИТ-персонала и методично проверял эти учетные данные, пока не нашел учетную запись с разрешениями на доступ к центральной панели управления Sophos, где они использовали этот доступ для отключения любых функций, которые могли бы заблокировать запуск программы-вымогателя.

На данный момент удаление теневой копии тома стало давней традицией программ-вымогателей.

Обычно мы сталкиваемся с сценариями PowerShell, пакетными файлами или другими «закладывающими основу» кодами, которые злоумышленники развертывают для отключения различных защитных функций. Одним из примеров является теневое копирование тома, которое злоумышленники обычно удаляют, поскольку тень тома может помочь в восстановлении удаленных или зашифрованных данных.

Количество различных команд, которые они могут использовать для выполнения одних и тех же задач, несколько ограничено, но последовательность и тщательность сильно различаются от злоумышленника к злоумышленнику.Мы также обнаружили, что некоторые злоумышленники просто последовательно нумеруют свои скрипты или дают им приятные на вид имена, другие использовали файлы с оскорбительными или ненавистными ссылками в именах файлов, иногда в сочетании со словом Sophos.

Большие загрузки украденных данных (exfil)

Только примерно в половине инцидентов, связанных с Sodinokibi / REvil, проанализированных для этого отчета, злоумышленники осуществили кражу значительных объемов частных, конфиденциальных или ценных данных из целевых организаций.Теоретически такие загрузки должны быть обнаружены, но на практике этого никогда не происходило в тех случаях, которые мы исследовали.

С практической точки зрения, после получения необходимых разрешений злоумышленники обычно в течение нескольких дней просматривали файловые серверы, собирали большие объемы документов и объединяли их в один или несколько сжатых файлов на машине внутри сети. Собрав все, что хотели украсть, в одном месте, они начинали загрузку, которая, в зависимости от скорости сети и объема данных, могла занять от часов до более суток.

Злоумышленники использовали различные службы облачного хранения для хранения этих данных в прошлом, но, похоже, предпочитают некоторые из них другим. Mega.nz, поставщик облачных хранилищ, похоже, пользуется популярностью у некоторых преступников, которые участвуют в расследуемых нами атаках с использованием программ-вымогателей. Среди инцидентов, когда Sodinokibi в конечном итоге был развернут после крупного кражи и попытки вымогательства, примерно три четверти использовали Mega.nz в качестве (временного) хранилища этих украденных данных.

Mega использует собственное клиентское приложение для ускорения загрузки, которая была обнаружена злоумышленниками в тех случаях, когда они не убирали за собой.Небольшое количество злоумышленников использовали другие методы, такие как установка переносной копии FTP-клиента FileZilla, который они использовали для загрузки данных на промежуточный сервер за пределами периметра сети цели.

Традиционное мнение о том, как реагировать на попытки вымогательства утечки данных, отошло от рекомендаций по осуществлению платежа. Преступники заявляют, что удалят свои копии данных, если вы заплатите выкуп, но многие считают это ненадежным обещанием. Нет никакой гарантии, кроме слов людей, которые вымогают у вас, что они сдержат свою часть сделки.

Последнее оскорбление: развертывание

Злоумышленники запустили полезную нагрузку программы-вымогателя, используя самые разные методы. Они могут отправлять копии на отдельные машины с контроллера домена или использовать административные команды с WMIC или PsExec для запуска вредоносного ПО непосредственно с другого сервера или рабочей станции, которые они контролируют, во внутренней сети целевой организации.

Sodinokibi / REvil имеет несколько дополнительных опций, которыми его операторы могут воспользоваться, запустив вредоносное ПО со специальными командными флагами.Один из способов, с помощью которого программы-вымогатели пытаются обойти инструменты защиты конечных точек, — это перезагрузить компьютер в безопасном режиме и затем начать операцию шифрования. Компьютер в безопасном режиме загружается в диагностическую форму Windows, в которой сторонние драйверы и службы не работают, но программа-вымогатель добавляет себя в (очень короткий) список приложений, работающих в безопасном режиме. REvil имеет флаг безопасного режима, который могут использовать злоумышленники.

В одном случае мы наблюдали попытку злоумышленника обойти программное обеспечение безопасности, доставив и установив полную копию VirtualBox и файл виртуального диска, запустив программу-вымогатель в гостевой виртуальной машине Windows 10, скопированной на целевой хост-компьютер, выполнив шифрование. команды от гостя для нацеливания на хост.

Длинная закодированная командная строка, которая требует, чтобы вы много знали о машине, чтобы ее декодировать.

В других случаях мы наблюдали, как злоумышленник использует WMI для создания служебных записей на машинах, на которые они нацелены для шифрования. Записи содержат длинную закодированную командную строку, которую невозможно декодировать, если вы не знаете конкретные переменные, которые она искала. Эти переменные включали такую информацию, как имя машины, IP-адрес, домен и имя пользователя. Если вы не знали всего этого для компьютера, на котором была установлена служба, тогда декодирование последних слоев было бы невозможным.

Как работает сама программа-вымогатель

Sodinokibi представляет собой упакованный зашифрованный исполняемый файл, который имеет несколько функций антианализа, предназначенных для того, чтобы расстроить исследователей. Бинарные файлы скомпилированы с уникальной конфигурацией и текстом примечания о выкупе, жестко закодированным в приложении.

Подпрограмма для удаления файла определений Защитника Windows в REvil

При первом запуске вредоносная программа профилирует целевой компьютер, перечисляет список запущенных процессов и удаляет теневую копию тома, базу данных определений вирусов, используемую Защитником Windows, и временные или файлы резервных копий, используемые рядом различных сторонних программ, которые могут быть установлены на машине.

Файлы, игнорируемые REvil

. Он ищет в списке запущенных процессов любые совпадения со списком имен процессов, закодированных в конфигурации, а затем пытается убить эти процессы. Среди 30 с лишним имен процессов включены различные службы баз данных, офисные приложения, почтовые клиенты, утилиты резервного копирования и браузер Firefox (но, как ни странно, никаких других).

Часть списка процессов, которые REvil пытается убить, прежде чем начать шифрование

Затем он перечисляет список установленных служб и, по крайней мере, в случае некоторых из полученных нами образцов, пытается отключить службу Sophos (эти попытки обычно терпят неудачу. , из-за защиты от несанкционированного доступа), а также семи других коммерческих программных инструментов.

Записка с требованием выкупа REvil, расшифрованная в двоичном файле программы-вымогателя

Затем программа-вымогатель декодирует и записывает записку с требованием выкупа в корень диска C :. В записке указан адрес веб-сайта Tor и приведены инструкции о том, как связаться с злоумышленниками с помощью браузера Tor или обычного браузера на веб-сайте шлюза Tor, а также длинный ключ, который злоумышленники используют в утилите дешифрования.

Баннер с уведомлением о требовании выкупа

, встроенный в конфигурацию, является закодированным.bmp, который программа-вымогатель записывает в папку % AppData% \ Local \ Temp и устанавливает в качестве образа рабочего стола на зараженном компьютере. На рисунке написано: « Все ваши файлы зашифрованы ! Найдите [название записки о выкупе], чтобы узнать больше. «Имя файла записки о выкупе начинается с той же строки из восьми случайных символов, которую вымогатель добавляет к имени каждого файла, который она зашифровывает.

Как используется алгоритм Salsa20

Sodinokibi / REvil использует алгоритм curve25519 / salsa20 для шифрования файлов.Встроенная конфигурация содержит длинный список папок, типов файлов и конкретных имен файлов, которые она не будет шифровать (для поддержания стабильности пораженного компьютера), а не список целевых типов файлов.

Пример частично зашифрованного файла, показывающий, как Salsa20 «проходит» по файлу (обратите внимание на позицию «развернуть 32-байтовый k»).

Программа-вымогатель выполняет некоторые служебные задачи во время работы. Встроенная конфигурация содержит список доменных имен в Интернете; Он отправляет статистику процесса заражения операторам программ-вымогателей в одном или нескольких из этих доменов.Эти домены служат надежными индикаторами компрометации.

REvil / Sodinokibi также перешла на использование криптовалюты Monero в качестве эксклюзивного метода оплаты. Поскольку у Monero есть дополнительные функции конфиденциальности, которых нет в Биткойне, маловероятно, что мы увидим восстановление выкупа, уплаченного злоумышленнику, развернувшему эту программу-вымогатель, как ФБР смогло выполнить с помощью атаки программы-вымогателя DarkSide на Colonial Pipeline.

Руководство для ИТ-специалистов

Продукты Sophos обнаруживают различные формы Sodinokibi / REvil как Troj / Sodino- * , Mem / Sodino- * и HPMal / Sodino-A .

Хотя этот список не является исчерпывающим, эти рекомендации важны как никогда.

Мониторинг предупреждений и реагирование на них — Обеспечение доступности соответствующих инструментов, процессов и ресурсов (людей) для мониторинга и реагирования на угрозы, наблюдаемые в среде. Крайне важно обеспечить, чтобы при возникновении предупреждения или события системы безопасности кто-то расследовал и своевременно реагировал. Злоумышленники-вымогатели могут рассчитывать время своей атаки в непиковые часы, выходные или праздничные дни, исходя из предположения, что за ними наблюдает мало сотрудников или совсем нет.
Надежные пароли — Надежные пароли служат одной из первых линий защиты. Как минимум используйте сложный пароль длиной не менее двенадцати символов. Менеджеры паролей помогут пользователям поддерживать сложные пароли, уникальные для отдельных учетных записей. Никогда не используйте пароли повторно.
Многофакторная аутентификация (MFA) — Даже надежные пароли могут быть скомпрометированы. Как минимум, любая форма многофакторной аутентификации лучше, чем никакая, для защиты доступа к критически важным ресурсам, таким как электронная почта, инструменты удаленного управления и сетевые ресурсы.Приложения TOTP MFA на смартфонах могут быть более безопасными, чем системы MFA на основе электронной почты или SMS в долгосрочной перспективе; В ситуации, когда злоумышленник уже находится в сети, электронная почта уже может быть скомпрометирована, а подмена SIM-карты, хотя и редко, может скомпрометировать коды MFA текстовых сообщений. Но не позволяйте совершенному быть врагом хорошего. МИД любого вида может спасти ваш бекон.
Заблокируйте доступные службы — Выполните сканирование сети вашей организации извне, а также определите и заблокируйте порты, обычно используемые VNC, RDP или другими инструментами удаленного доступа.Если компьютер должен быть доступен с помощью инструмента удаленного управления, предоставьте доступ к этому инструменту за VPN, которая использует MFA как часть своего входа в систему и сегментирована в свою собственную VLAN вдали от других машин.
Сегментация и нулевое доверие — Как минимум, отделите критически важные серверы друг от друга и от рабочих станций, поместив их в отдельные VLAN, поскольку вы работаете над моделью сети с нулевым доверием.
Проведите инвентаризацию своих активов и учетных записей — Незащищенные и непропатченные устройства в сети увеличивают риск и создают ситуацию, когда злонамеренные действия могут остаться незамеченными.Жизненно важно защитить каждое устройство в вашей сети, и единственный способ сделать это — иметь текущий перечень всех подключенных компьютеров и устройств IOT. Используйте сканирование сети и физические проверки, чтобы найти и каталогизировать их.
Конфигурация продукта — Убедитесь, что продукты безопасности настроены в соответствии с рекомендациями. Регулярно проверяйте конфигурации политик и исключения. Новые функции не могут быть включены автоматически.
Active Directory (AD) — Регулярно проводите аудит всех учетных записей в AD, гарантируя, что ни одна учетная запись не имеет большего доступа, чем это необходимо для их цели.Отключите учетные записи уходящих сотрудников, как только они покинут компанию.
Исправьте все — обновляйте Windows и другое программное обеспечение. Убедитесь, что исправления установлены для критически важных систем, таких как компьютеры с выходом в Интернет или контроллеры домена.

Пользователи Sophos LiveDiscover могут запускать SQL-запросы, подобные приведенным в этой таблице, для опроса телеметрии с устройств в их управляемой сети и поиска необычного или неожиданного поведения на своих управляемых устройствах.

Благодарности

Исследователи SophosLabs Ананд Аджан, Хайналка Копе, Марк Ломан и менеджер Rapid Response Питер Маккензи внесли свой вклад в наше понимание атак REvil и поведения вредоносного ПО.

Банды RaaS уходят в «закрытые» после того, как взбудоражили шершневое гнездо

После примерно десяти лет атак программ-вымогателей на иногда очень известные цели недавняя атака вымогателей Colonial Pipeline, совершенная бандой Darkside, стала пресловутой соломинкой, сломавшей спину верблюда, поскольку за атакой последовало временное отключение конвейера. что затем привело к повсеместной нехватке топлива на юго-востоке США и к введению правительством чрезвычайного положения в 18 штатах.

Банда Darkside, которая управляет программой-вымогателем как услуга, поняла, что они взбудоражили шершневое гнездо, и попыталась улучшить ситуацию, заявив, что они не имеют политической мотивации и что в будущем они будут проверять каждую компанию, которая их партнеры хотят зашифровать, чтобы «избежать социальных последствий».

Вскоре после этого банда заявила, что они потеряли доступ к публичной части своей инфраструктуры и что они будут выпускать инструменты дешифрования для всех компаний, которые были атакованы, но не заплатили выкуп.Кроме того, средства, которые они хранили на платежных серверах, были «выведены на неизвестный адрес».

По данным исследователей Intel 471, другие банды вымогателей отреагировали изменениями в своих программах RaaS. Некоторые заявили, что они перейдут на «приватный» — решение, которое, должно быть, было частично принято, потому что несколько русскоязычных хакерских форумов (XSS, Exploit.in, Raid) запретили рекламу и действия, связанные с программами-вымогателями. Некоторые, например, группа Avaddon RaaS, заявили, что запретят филиалам нацеливаться на государственные, медицинские, образовательные и благотворительные организации.

Тем временем, различные банды вымогателей нанесли ущерб ирландской службе здравоохранения, четырем европейским дочерним компаниям Toshiba, немецкой компании по распространению химических веществ (Brenntag SE), нескольким филиалам страхового гиганта AXA (после того, как компания недавно объявила, что прекратит писать кибернетики). — страховые полисы во Франции, возмещающие клиентам вымогательства, сделанные преступникам-вымогателям) и, вероятно, многие другие менее известные цели.

Я думаю, что никто не питает иллюзий, что угроза скоро исчезнет.

Борьба с угрозой программ-вымогателей

В конце апреля Целевая группа по программам-вымогателям (RTF) Института безопасности и технологий выпустила комплексную стратегическую схему, которая поможет организациям во всем мире бороться с программами-вымогателями.

Выдвинутые более чем 60 экспертами из ведущих компаний в сфере технологий и кибербезопасности, государственных учреждений, правоохранительных органов, групп гражданского общества, страховых компаний кибербезопасности и других международных организаций, рекомендации предназначены для реализации различными организациями по всему миру, включая правительства, с целью комплексно бороться с угрозой.

Время покажет, будут ли они реализованы, но одно можно сказать наверняка: эту проблему нельзя решить ни одним правительством / государством, ни принятием только одних шагов, а не других.

Между тем, организации в основном предоставлены сами себе, хотя доступны советы правительств и экспертов.

РААС — это… Что такое РААС?

Блокаторы РААС в клинической практике: новые возможности применения uMEDp

Блокада РААС: ИАПФ, БРА или ПИР?

Рекомендации для врачей по лечению эндокринных заболеваний в условиях пандемии COVID-19

Где следить за новостями об эпидемии:

Тест на авидность антител IgG к коронавирусу COVID-19 (RBD)

Краткая характеристика определяемых количественно IgG антител к S-белку

С какой целью используют количественное определение IgG антител к S-белку SARS-CoV-2

Литература

Ингибиторы ангиотензин-превращающего фермента (АПФ) » Справочник ЛС

Узлы щитовидной железы в Вашем городе

Единая справочная служба

Врачи

Ransomware-as-a-Service (RaaS): как это работает

Что такое программы-вымогатели?

Что такое программа-вымогатель как услуга (RaaS)?

Как это работает?

Как защититься от этой угрозы

1. Используйте надежный пакет безопасности.

2. Резервное копирование данных.

3. Регулярно обновляйте системное программное обеспечение.

4. Избегайте подозрительных ссылок и вложений.

Заключение

The FONIX RaaS | Новая сдержанная угроза с ненужными сложностями

История FONIX: от шифровальщиков к шифровальщикам

FONIX RaaS: сложный треугольник жертва-аффилированный автор

FONIX Ransomware: шифрование и выполнение файлов

Заключение

Индикаторы компрометации

Что такое RaaS и как от него защититься?

RaaS — обзор

Способы защиты от RaaS

Обучение кибербезопасности

Безопасность Zero Trust

Принцип наименьших привилегий

Ransomware as a Service (RaaS) Угрозы

Активные варианты программ-вымогателей

Что такое программа-вымогатель как услуга (RaaS)?

Почему RaaS имеет значение?

Постоянная проблема

Дополнительные ресурсы

Подземный бизнес, работающий под открытым небом

RaaS столь же изменчив, как и преступники, которые его используют — Sophos News

Признаки надвигающейся атаки

Проникновение в сеть

Сбор учетных данных и повышение привилегий

Обработка поля: создание основы для атаки

Большие загрузки украденных данных (exfil)

Последнее оскорбление: развертывание

Как работает сама программа-вымогатель

Руководство для ИТ-специалистов

Благодарности

Банды RaaS уходят в «закрытые» после того, как взбудоражили шершневое гнездо

Борьба с угрозой программ-вымогателей

Добавить комментарий Отменить ответ