Что такое вымогательское ПО?

На практике атака программы-шантажистов блокирует доступ к вашим данным до выплаты выкупа.

На самом деле вымогательское ПО — это разновидность вредоносных программ или фишинговой атаки, которая уничтожает или шифрует файлы и папки на компьютере, сервере или устройстве.

После блокировки или шифрования устройств злоумышленники могут вымогать деньги от владельца бизнеса или устройства в обмен на ключ для разблокировки зашифрованных данных. Но даже при оплате киберкриминалы никогда не могут дать ключ владельцу бизнеса или устройств и остановить доступ навсегда.

Microsoft Security Copilot использует ИИ для устранения атак программ-шантажистов. Для получения дополнительных решений Microsoft для программы-шантажистов посетите нашу библиотеку решений для программ-шантажистов.

Как работают атаки вымогательских программ?

Программы-вымогатели могут быть автоматизированы или предполагать управление человеком (например, когда на клавиатуре работает человек) — атаку, которую управляет человек, например, как в недавних атаках с использованием вымогательского ПО LockBit.

Атаки программ-шантажистов, управляемых человеком, включают следующие этапы:

1. Первоначальный компромисс - субъект угроз впервые получает доступ к системе или среде после периода разведывательной разведки для выявления слабых мест в обороне.

2. Удержание и уклонение от обнаружения. Субъект угроз закрепляется в системе или среде с помощью бэкдора или другого механизма, который работает скрытно, чтобы избежать обнаружения группами реагирования на инциденты.

3. Боковое перемещение — субъект угроз использует начальную точку входа для миграции в другие системы, подключенные к скомпрометированному устройству или сетевой среде.

4. Доступ к учетным данным . Субъект угроз использует поддельную страницу входа для сбора учетных данных пользователя или системы.

5. Кража данных — субъект угроз украл финансовые или другие данные от скомпрометированных пользователей или систем.

6. Влияние — затронутый пользователь или организация могут понести материальный или репутационный ущерб.

Распространенные вредоносные программы, используемые в кампаниях вымогательского ПО

• Qakbot — использует фишинг для распространения вредоносных ссылок, вредоносных вложений и удаления вредоносных полезных данных, таких как Cobalt Strike Beacon

• Ryuk — шифрование данных обычно предназначено для Windows

• Trickbot — предназначено для приложений Майкрософт, таких как Excel и Word. Trickbot обычно поставляется с помощью кампаний электронной почты, которые использовали текущие события или финансовые приманки пользователей, чтобы открыть вредоносные вложения файлов или щелкнуть ссылки на веб-сайты, на которые размещаются вредоносные файлы. С 2022 года меры, предпринятые Microsoft по снижению эффективности кампаний, использующих эту вредоносную программу, по-видимому, нарушили её полезность.

Преобладающие угрозы, связанные с кампаниями вымогательского ПО

• LockBit — финансово мотивированная кампания программ-вымогателей как услуга (RaaS) и наиболее активный субъект угроз в 2023–2024 годы.
• Black Basta — получает доступ через письма для целевого фишинга и использует PowerShell для запуска шифрованного исполняемого кода.
• Storm-1674 (DarkGate и ZLoader) - Storm-1674 является брокером доступа, известным для распространения DarkGate, SectopRAT и Zloader и передачи доступа к субъектам угроз, таким как Storm-0506 и Sangria Tempest.

Тем временем Storm-1811 является актером угроз, известным своими атаками социальной инженерии, ведущими к развёртыванию BlackBasta с использованием Qakbot и других вредоносных программ. В конце октября — начале ноября Шторм-1811 был замечен при массовой рассылке спама на целевые адреса электронной почты (атака email bombing), прежде чем выдавать себя за сотрудников службы поддержки, предлагая помощь с проблемой спама. В этой новой кампании Storm-1811 было отмечено развертывание нового загрузчика вредоносных программ с именем ReedBed.

Данные Microsoft Defender показывают, что наиболее распространенными вариантами программ-вымогателей в последнем квартале 2024 года были Akira, FOG, Qilin, Lynx и ранее упомянутые RansomHub и BlackBasta. Этот период также увидел новые варианты программ-шантажистов SafePay и Hellcat. Март 2025 года ознаменовался возвращением вымогательского ПО Qilin через хакерскую группу Moonstone Sleet.

Как корпорация Майкрософт может помочь с происходящей атакой с программой-вымогателем.

Для смягчения последствий атак программ-шантажистов, служба реагирования на инциденты Microsoft может использовать и развертывать Microsoft Defender для удостоверений — облачное решение для обеспечения безопасности, которое помогает обнаруживать и реагировать на угрозы, связанные с удостоверениями. Раннее внедрение мониторинга идентификационных данных в реагирование на инциденты поддерживает группу по операциям безопасности пострадавшей организации в восстановлении контроля. Ответ на инциденты Майкрософт использует Defender for Identity для определения области инцидентов и затронутых учетных записей, защиты критической инфраструктуры и устранения угрозы. Затем группа реагирования использует Microsoft Defender для конечной точки, чтобы отслеживать движения субъекта угроз и срывать их попытки использовать скомпрометированные учетные записи для повторного входа в среду. После локализации инцидента и восстановления полного административного контроля над инфраструктурой, Microsoft Incident Response сотрудничает с клиентом, чтобы предотвратить будущие кибератаки.

Атаки автоматизированных программ-вымогателей

Атаки программ-шантажистов по сырьевым товарам часто автоматизированы . Эти кибератаки могут распространяться как вирус, заражать устройства с помощью таких методов, как фишинг электронной почты и доставка вредоносных программ, и требовать исправления вредоносных программ.

Таким образом, вы можете защитить вашу электронную систему с помощью Microsoft Defender для Office 365, которая защищает от вредоносных программ и фишинговой доставки. Microsoft Defender для Endpoint работает вместе с Defender для Office 365 для автоматического обнаружения и блокировки подозрительных действий на устройствах, а Microsoft Defender XDR обнаруживает вредоносные программы и фишинговые попытки раньше.

Атаки вымогательского ПО, управляемого человеком

Программа-вымогатель, управляемая человеком, является результатом активной атаки злоумышленников, которые проникают в локальную или облачную ИТ-инфраструктуру организации, повышают свои привилегии и развертывают программу-вымогатель для атак на критически важные данные.

Эти атаки с непосредственным вмешательством обычно направлены на организации, а не на одно устройство.

Управление человеком также означает, что существует человеческий субъект угрозы, который использует свои аналитические сведения о распространенных сбоях систем и конфигурациях безопасности. Они стремятся проникнуть в организацию, ориентироваться в сети и адаптироваться к окружающей среде и ее слабостям.

Отличительные признаки этих атак программ-вымогателей, управляемых человеком, обычно включают кражу учетных данных и латеральное перемещение с повышением привилегий в украденных учетных записях.

Действия могут происходить во время периодов обслуживания и связаны с пробелами в конфигурации безопасности, обнаруженными киберкриминальными. Цель заключается в развертывании вредоносного ПО в любые ресурсы с высоким влиянием на бизнес, которые выбирают злоумышленники.

Внимание

Эти атаки могут быть катастрофическими для бизнес-операций и трудно устранить, что требует полного вытеснения злоумышленника, чтобы защитить от будущих атак. В отличие от массовых программ-вымогателей, которые обычно требуют устранения вредоносного ПО, человеком управляемые программы-вымогатели будут продолжать угрожать вашим бизнес-операциям после первоначальной встречи.

Влияние и вероятность того, что атаки программ-шантажистов, управляемых человеком, будут продолжаться

Защита от программ-шантажистов для вашей организации

Во-первых, предотвращение фишинга и доставки вредоносных программ с помощью Microsoft Defender для Office 365 для защиты от доставки фишинговых атак и вредоносного ПО, Microsoft Defender для Endpoint для автоматического обнаружения и блокировки подозрительной активности на ваших устройствах, а также Microsoft Defender XDR для раннего обнаружения вредоносных программ и фишинговых попыток.

Чтобы получить исчерпывающее представление об атаках с использованием программ-шантажистов и вымогательстве, и о том, как защитить свою организацию, ознакомьтесь с презентацией PowerPoint План проекта по устранению рисков использования программ-шантажистов, управляемых человеком.

Следуйте подходу Microsoft Incident Response к предотвращению и смягчению последствий вымогательского ПО.

1. Оцените ситуацию, проанализировав подозрительное действие, которое предупредило вашу команду об атаке.

2. Какое время и дата вы впервые узнали об инциденте? Какие журналы доступны и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?

3. Определите затронутые приложения для бизнес-операций и восстановите работу всех пострадавших систем. Требует ли затронутое приложение удостоверение личности, которое могло быть скомпрометировано?

4. Доступны ли резервные копии приложения, конфигурации и данных, которые регулярно проверяются с помощью упражнения восстановления?

5. Определите процесс восстановления компрометации (CR), чтобы удалить субъект угроз из среды.

Вот сводка рекомендуемых мер по плану проекта компании Microsoft по смягчению последствий действий вымогательского ПО:

Сводка рекомендаций в плане проекта по устранению рисков программ-шантажистов, управляемых человеком

• Ставки при использовании программ-шантажистов и вымогательстве высоки.
• Однако атаки имеют слабые места, которые могут снизить вероятность того, что вас атакуют.
• Существует три шага по настройке инфраструктуры для использования слабых мест атак.

Три шага по использованию уязвимостей атак см. в статье "Защита организации от программ-шантажистов и вымогательство ", чтобы быстро настроить ИТ-инфраструктуру для оптимальной защиты:

1. Подготовьте организацию к восстановлению после атаки без необходимости платить выкуп.
2. Минимизировать ущерб от атаки программ-вымогателей за счет защиты привилегированных ролей.
3. Усложните доступ к среде субъекту угроз путем постепенного удаления рисков.

Скачайте плакат "Защита организации от программ-шантажистов" для обзора трех этапов защиты от атак программ-шантажистов.

Дополнительные ресурсы защиты от программ-шантажистов

Основная информация от корпорации Майкрософт:

• Последние тенденции вымогательского ПО от Microsoft; последний блог Microsoft о вымогательском ПО

• 2024 Отчет о цифровой защите Microsoft Microsoft 365:

• Разверните защиту от программ-вымогателей для арендатора Microsoft 365

Microsoft Defender XDR:

• Найдите программы-вымогатели, используя расширенные функции поиска

приложения Microsoft Defender для облака:

• Создание политик обнаружения аномалий в приложениях Defender для облака

Microsoft Azure:

• Защита Azure от атак программ-шантажистов

Microsoft Copilot для безопасности:

• Защита от атак программ-шантажистов, управляемых человеком, с использованием Microsoft Copilot для защиты

Ключевые стратегии OpenAI по противодействию программам-вымогателям, изложенные самими словами ChatGPT, включают:

1. Курирование данных для обучения

2. Уровни безопасности и фильтры

3. Эмпирическое тестирование и красная команда

4. Непрерывный мониторинг

5. Исследования по выравниванию и безопасности

6. Отчеты и отзывы сообщества

7. Партнерские отношения и политики

Дополнительные сведения см. в официальной документации OpenAI по их подходу к обеспечению безопасности и неправильному использованию искусственного интеллекта.

Ресурсы Microsoft для защиты от вымогательских программ:

Смотрите последние статьи о вымогательском ПО в блоге Microsoft по безопасности.

• Рассмотрение недавних угроз вымогательского ПО (июнь 2024 г.)