Co to jest oprogramowanie wymuszającego okup?

W praktyce atak wymuszającego okup blokuje dostęp do danych do momentu zapłaty okupu.

W rzeczywistości oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania lub atak cybernetyczny, który niszczy lub szyfruje pliki i foldery na komputerze, serwerze lub urządzeniu.

Gdy urządzenia lub pliki są zablokowane lub zaszyfrowane, cyberprzestępcy mogą wymusić pieniądze od właściciela firmy lub urządzenia w zamian za klucz w celu odblokowania zaszyfrowanych danych. Ale nawet w przypadku płatności cyberprzestępcy nigdy nie mogą dać klucza właścicielowi firmy lub urządzenia i zatrzymać dostęp na stałe.

Microsoft Security Copilot wykorzystuje sztuczną inteligencję, aby pomóc w ograniczeniu ataków wymuszającego okup. Aby uzyskać więcej rozwiązań firmy Microsoft w zakresie oprogramowania wymuszającego okup, odwiedź naszą bibliotekę rozwiązań ransomware.

Jak działają ataki wymuszającego okup?

Oprogramowanie wymuszającego okup może być zautomatyzowane lub obejmować ludzkie ręce na klawiaturze — atak obsługiwany przez człowieka, taki jak w przypadku ostatnich ataków za pomocą oprogramowania wymuszającego okup LockBit.

Ataki wymuszającego okup obsługiwane przez człowieka obejmują następujące etapy:

1. Początkowy kompromis — aktor zagrożenia po raz pierwszy uzyskuje dostęp do systemu lub środowiska po okresie rekonesansu w celu zidentyfikowania słabych stron w obronie.

2. Trwałość i uchylanie się od obrony — aktor zagrożenia ustanawia przyczółek w systemie lub środowisku przy użyciu backdoor lub innego mechanizmu, który działa w niewidzialności, aby uniknąć wykrywania przez zespoły reagowania na zdarzenia.

3. Ruch poprzeczny — aktor zagrożenia używa początkowego punktu wejścia do migracji do innych systemów połączonych z naruszonym urządzeniem lub środowiskiem sieciowym.

4. Dostęp poświadczeń — aktor zagrożeń używa fałszywej strony logowania do zbierania poświadczeń użytkownika lub systemu.

5. Kradzież danych — aktor zagrożenia kradnie dane finansowe lub inne dane z naruszonych użytkowników lub systemów.

6. Wpływ — dotknięty użytkownik lub organizacja może ponosić szkody materialne lub reputacji.

Typowe złośliwe oprogramowanie używane w kampaniach oprogramowania wymuszającego okup

• Qakbot — używa wyłudzania informacji do rozpowszechniania złośliwych linków, złośliwych załączników i usuwania złośliwych ładunków, takich jak Cobalt Strike Beacon

• Ryuk — szyfrowanie danych zwykle przeznaczone dla systemu Windows

• Trickbot — ma ukierunkowane aplikacje firmy Microsoft, takie jak Excel i Word. Trickbot był zwykle dostarczany za pośrednictwem kampanii e-mail, które korzystały z bieżących wydarzeń lub zwabień finansowych, aby zachęcić użytkowników do otwierania złośliwych załączników plików lub klikania linków do witryn internetowych hostujących złośliwe pliki. Od 2022 r. środki zaradcze kampanii firmy Microsoft za pomocą tego złośliwego oprogramowania wydają się zakłócać jego użyteczność.

Powszechne zagrożenia związane z kampaniami wymuszania oprogramowania wymuszającego okup

• LockBit — motywowany finansowo kampanią ransomware-as-a-service (RaaS) i najbardziej płodnym aktorem zagrożenia ransomware w okresie 2023-24
• Black Basta — uzyskuje dostęp za pośrednictwem wiadomości e-mail spear-phishing i używa programu PowerShell do uruchomienia ładunku szyfrowania

Jak firma Microsoft może pomóc w ataku wymuszającym okup w toku

Aby pomóc w ograniczeniu ataków wymuszających okup w toku, reagowanie na zdarzenia firmy Microsoft może wykorzystywać i wdrażać usługę Microsoft Defender for Identity — oparte na chmurze rozwiązanie zabezpieczeń, które pomaga wykrywać zagrożenia związane z tożsamościami i reagować na nie. Wczesne włączenie monitorowania tożsamości do reagowania na zdarzenia obsługuje zespół ds. operacji zabezpieczeń organizacji, których dotyczy problem, w celu odzyskania kontroli. Reagowanie na zdarzenia firmy Microsoft używa usługi Defender for Identity, aby ułatwić identyfikowanie zakresu zdarzeń i kont, których to dotyczy, ochrona infrastruktury krytycznej i wykluczanie aktora zagrożeń. Następnie zespół reagowania wprowadza Ochrona punktu końcowego w usłudze Microsoft Defender w celu śledzenia ruchów aktora zagrożeń i zakłócania prób użycia kont z naruszonymi zagrożeniami w celu ponownego uzyskania środowiska. Po uzyskaniu i uzyskaniu pełnej kontroli administracyjnej nad środowiskiem, reagowanie na zdarzenia firmy Microsoft współpracuje z klientem, aby zapobiec przyszłym cyberatakom.

Automatyczne ataki wymuszania oprogramowania wymuszającego okup

Ataki na oprogramowanie wymuszającego okup towarów są często zautomatyzowane. Te cyberataki mogą rozprzestrzeniać się jak wirus, infekować urządzenia za pomocą metod, takich jak wyłudzenie wiadomości e-mail i dostarczanie złośliwego oprogramowania, i wymagać korygowania złośliwego oprogramowania.

W związku z tym można chronić system poczty e-mail przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender chroniących przed złośliwym oprogramowaniem i dostarczaniem wyłudzania informacji. Ochrona punktu końcowego w usłudze Microsoft Defender współpracuje z Ochrona usługi Office 365 w usłudze Defender w celu automatycznego wykrywania i blokowania podejrzanych działań na urządzeniach, podczas gdy usługa Microsoft Defender XDR wykrywa złośliwe oprogramowanie i próby wyłudzania informacji na wczesnym etapie.

Ataki wymuszającego okup obsługiwane przez człowieka

Oprogramowanie wymuszające okup obsługiwane przez człowieka jest wynikiem aktywnego ataku cyberprzestępców, który infiltruje lokalną lub chmurową infrastrukturę IT organizacji, podnosi swoje uprawnienia i wdraża oprogramowanie wymuszające okup do danych krytycznych.

Te ataki "klawiatury praktycznej" zwykle dotyczą organizacji, a nie jednego urządzenia.

Obsługiwane przez człowieka oznacza również, że istnieje człowiek zagrożenia, korzystając ze szczegółowych informacji na temat typowych błędów konfiguracji systemu i zabezpieczeń. Mają na celu infiltrację organizacji, poruszanie się po sieci i dostosowywanie się do środowiska i jego słabości.

Znaki rozpoznawcze tych ataków wymuszającego okup obsługiwane przez człowieka zwykle obejmują kradzież poświadczeń i penetrację z podniesieniem uprawnień na skradzionych kontach.

Działania mogą odbywać się podczas okien obsługi i obejmować luki w konfiguracji zabezpieczeń wykryte przez cyberprzestępców. Celem jest wdrożenie ładunku oprogramowania wymuszającego okup do zasobów o dużym wpływie na działalność biznesową, które wybierają aktorzy zagrożeń.

Ważne

Te ataki mogą być katastrofalne dla operacji biznesowych i są trudne do oczyszczenia, co wymaga całkowitego eksmisji przeciwnika w celu ochrony przed przyszłymi atakami. W przeciwieństwie do oprogramowania wymuszającego okup surowców, które zwykle wymagają korygowania złośliwego oprogramowania, oprogramowanie wymuszające oprogramowanie wymuszające działanie przez człowieka będzie nadal zagrażać twoim operacjom biznesowym po początkowym spotkaniu.

Wpływ i prawdopodobieństwo, że ataki wymuszające okup przez człowieka będą kontynuowane

Ochrona przed oprogramowaniem wymuszającym okup dla organizacji

Najpierw zapobiegaj wyłudzaniu informacji i dostarczaniu złośliwego oprogramowania za pomocą Ochrona usługi Office 365 w usłudze Microsoft Defender w celu ochrony przed złośliwym oprogramowaniem i dostarczaniem wyłudzania informacji, Ochrona punktu końcowego w usłudze Microsoft Defender w celu automatycznego wykrywania i blokowania podejrzanych działań na urządzeniach oraz usługi Microsoft Defender XDR w celu wczesnego wykrywania złośliwego oprogramowania i prób wyłudzania informacji.

Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobem ochrony organizacji, skorzystaj z informacji w prezentacji Programu PowerPoint w ramach projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwanego przez człowieka.

Postępuj zgodnie z podejściem reagowania na zdarzenia firmy Microsoft w celu zapobiegania i ograniczania ryzyka związanego z oprogramowaniem wymuszającym okup.

1. Oceń sytuację, analizując podejrzane działanie, które powiadomiło zespół o ataku.

2. O której godzinie/dacie po raz pierwszy dowiedziałeś się o zdarzeniu? Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?

3. Zidentyfikuj aplikacje biznesowe ,których dotyczy problem, i uzyskaj wszystkie systemy, których to dotyczy, z powrotem w trybie online. Czy aplikacja, której dotyczy problem, wymaga tożsamości, która mogła zostać naruszona?

4. Czy kopie zapasowe aplikacji, konfiguracji i danych są dostępne i regularnie weryfikowane przy użyciu ćwiczenia przywracania?

5. Określ proces odzyskiwania po naruszeniu zabezpieczeń (CR), aby usunąć aktora zagrożeń ze środowiska.

Oto podsumowanie wskazówek dotyczących planu projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwanego przez człowieka firmy Microsoft:

Podsumowanie wskazówek w planie projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwane przez człowieka

• Wysokie są stawki ataków opartych na okupach i wymuszeń.
• Jednak ataki mają słabe strony, które mogą zmniejszyć prawdopodobieństwo ataku.
• Istnieją trzy kroki konfigurowania infrastruktury w celu wykorzystania słabych stron ataku.

Aby zapoznać się z trzema krokami w celu wykorzystania słabych stron ataków, zobacz Rozwiązanie Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem, aby szybko skonfigurować infrastrukturę IT w celu uzyskania najlepszej ochrony:

1. Przygotuj organizację do odzyskania od ataku bez konieczności płacenia okupu.
2. Ogranicz zakres uszkodzeń ataku wymuszającego okup, chroniąc uprzywilejowane role.
3. Utrudnianie aktorowi zagrożeń uzyskiwania dostępu do środowiska przez przyrostowe usuwanie zagrożeń.

Pobierz plakat Ochrona organizacji przed oprogramowaniem wymuszającym okup, aby przeglądu trzech faz jako warstw ochrony przed atakami wymuszającym okup.

Dodatkowe zasoby ochrony przed oprogramowaniem wymuszającym okup

Kluczowe informacje od firmy Microsoft:

• Najnowsze trendy oprogramowania wymuszającego okup od firmy Microsoft, najnowszego bloga oprogramowania wymuszającego okup firmy Microsoft

• 2024 Raport firmy Microsoft na temat ochrony zasobów cyfrowych Microsoft 365:

• Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365

Microsoft Defender XDR:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

aplikacje Microsoft Defender dla Chmury:

• Tworzenie zasad wykrywania anomalii w aplikacjach Defender dla Chmury

Microsoft Azure:

• Azure Defenses for Ransomware Attack

Microsoft Copilot for Security:

• Obrona przed atakami ransomware obsługiwanymi przez człowieka za pomocą rozwiązania Microsoft Copilot for Security

Kluczowe strategie ograniczania ryzyka oprogramowania wymuszającego okup openAI we własnych słowach ChatGPT obejmują:

1. Trenowanie danych curation

2. Warstwy i filtry zabezpieczeń

3. Testowanie empiryczne i czerwone tworzenie zespołu

4. Ciągłe monitorowanie

5. Badania dotyczące wyrównania i bezpieczeństwa

6. Raportowanie i opinie społeczności

7. Partnerstwa i zasady

Aby uzyskać bardziej szczegółowe informacje, zapoznaj się z oficjalną dokumentacją platformy OpenAI dotyczącą ich podejścia do bezpieczeństwa sztucznej inteligencji i ograniczania nadużyć.

Zasoby ograniczania ryzyka oprogramowania wymuszającego okup zabezpieczeń firmy Microsoft:

Zobacz najnowszą listę artykułów dotyczących oprogramowania wymuszającego okup w blogu zabezpieczeń firmy Microsoft.

• Nawigowanie po ostatnich zagrożeniach oprogramowania wymuszającego okup (czerwiec 2024 r.)