Co je ransomware?

V praxi útok ransomwaru blokuje přístup k vašim datům, dokud se nezaplatí výkupné.

Ve skutečnosti je ransomwarem typ malwaru nebo útoku phishing kyberbezpečnost, který zničí nebo zašifruje soubory a složky na počítači, serveru nebo zařízení.

Jakmile jsou zařízení nebo soubory uzamčené nebo zašifrované, můžou kyberzločinci vyděsit peníze od firmy nebo vlastníka zařízení výměnou za klíč k odemknutí šifrovaných dat. Ale i když platíte, kyberzločinci by nikdy nemuseli dát klíč majiteli firmy nebo zařízení a trvale ukončit přístup.

Jak fungují útoky ransomwarem?

Ransomware může být automatizovaný nebo zahrnovat lidské ruce na klávesnici – útok provozovaný člověkem, jako je například nedávný útok pomocí conti a LockBit ransomware.

Útoky ransomwaru provozované lidmi zahrnují následující fáze:

1. Počáteční ohrožení – aktér hrozby nejprve získá přístup k systému nebo prostředí po období rekognoskace, aby identifikoval slabá místa v obraně.

2. Trvalost a obrana úniku – aktér hrozby vytvoří v systému nebo prostředí stopu pomocí zadního vrátka nebo jiného mechanismu, který funguje v neviditelném režimu, aby se zabránilo detekci týmy reakce na incidenty.

3. Laterální pohyb – Objekt actor hrozby používá počáteční bod vstupu k migraci do jiných systémů připojených k napadenému zařízení nebo síťovému prostředí.

4. Přístup k přihlašovacím údajům – Objekt actor hrozby používá k získání přihlašovacích údajů uživatele nebo systému falešnou přihlašovací stránku.

5. Krádež dat – aktér hrozby ukradne finanční nebo jiná data ohroženým uživatelům nebo systémům.

6. Dopad – Ovlivněný uživatel nebo organizace může trpět materiálovým nebo reputací škod.

Automatizované útoky ransomwaru

Komoditní útoky ransomwaru jsou často automatizované. Tyto kybernetické útoky se můžou šířit jako virus, infikovat zařízení prostřednictvím metod, jako je phishing e-mailu a doručování malwaru, a vyžadovat nápravu malwaru.

Proto můžete svůj e-mailový systém chránit pomocí Microsoft Defender pro Office 365, který chrání před malwarem a doručováním phishing. Microsoft Defender for Endpoint funguje společně s Defender pro Office 365 k automatickému zjišťování a blokování podezřelých aktivit na vašich zařízeních, zatímco Program XDR v programu Microsoft Defender včas detekuje malware a pokusy o útok phishing.

Útoky ransomwaru provozované lidmi

Ransomwar provozovaný lidmi je výsledkem aktivního útoku kyberzločinců, kteří infiltrují místní nebo cloudovou infrastrukturu IT organizace, zvyšují jejich oprávnění a nasazují ransomwar na důležitá data.

Tyto "praktické klávesnice" útoky obvykle cílí na organizace místo na jedno zařízení.

Člověkem provozovaný také znamená, že existuje aktér lidských hrozeb, který využívá své poznatky o běžných chybách systému a chybných konfiguracích zabezpečení. Cílem je infiltrovat organizaci, procházet síť a přizpůsobovat se prostředí a jejím slabým stránkám.

Znaménku těchto útoků ransomwaru provozovaného lidmi obvykle zahrnují krádež přihlašovacích údajů a laterální pohyb se zvýšením oprávnění v odcizených účtech.

Aktivity můžou probíhat během údržby a zahrnují mezery v konfiguraci zabezpečení zjištěné kybernetickými zločinci. Cílem je nasazení datové části ransomwaru do jakéhokoliv vysokého obchodního dopadu prostředků , které si aktéři hrozeb zvolí.

Důležité

Tyto útoky můžou být katastrofické pro obchodní operace a jsou obtížné je vyčistit, což vyžaduje úplné vyřazení nežádoucího člověka, aby se chránily před budoucími útoky. Na rozdíl od komoditních ransomwaru, který obvykle vyžaduje pouze nápravu malwaru, bude po počátečním setkání pokračovat v ohrožení vašich obchodních operací.

Dopad a pravděpodobnost, že útoky ransomwaru provozované lidmi budou pokračovat

Ochrana ransomwaru pro vaši organizaci

Nejprve předejdete útokům phishing a malwaru s Microsoft Defender pro Office 365 k ochraně před malwarem a doručováním útoků phishing, microsoft Defender for Endpoint automaticky rozpoznává a blokuje podezřelou aktivitu na vašich zařízeních a program XDR v programu Microsoft Defender za účelem včasné detekce malwaru a útoků phishing.

Pokud chcete získat komplexní přehled o ransomwaru a vydírání a o tom, jak chránit vaši organizaci, použijte informace v powerpointové prezentaci projektu pro zmírnění rizik ransomwaru provozovaného člověkem.

Tady je souhrn pokynů:

Shrnutí pokynů v plánu projektu pro zmírnění rizik ransomwaru provozovaného člověkem

• Počet útoků založených na ransomwaru a vyděračství je vysoký.
• Útoky však mají slabé stránky, které mohou snížit pravděpodobnost útoku.
• Ke konfiguraci infrastruktury pro zneužití slabých míst útoku existují tři kroky.

Tři kroky pro zneužití slabých míst útoku najdete v tématu Ochrana vaší organizace před ransomwarem a vyděračstvím , abyste rychle nakonfigurovali infrastrukturu IT pro nejlepší ochranu:

1. Připravte organizaci, aby se zotavila z útoku, aniž byste museli zaplatit výkupné.
2. Omezte rozsah poškození útoku ransomwarem tím, že chráníte privilegované role.
3. Znesnadněte herci hrozeb přístup k vašemu prostředí tím, že postupně odeberete rizika.

Stáhněte si plakát o ochraně vaší organizace před ransomwarem a získáte přehled tří fází jako vrstvy ochrany před útoky ransomwarem.

Další zdroje informací o prevenci ransomwaru

Klíčové informace od Microsoftu:

• Nejnovější trendy ransomwaru od Microsoftu, nejnovější blog o ransomwaru Od Microsoftu
• Rychlá ochrana před ransomwarem a vydíráním
• 2023 Microsoft Digital Defense Report
• Ransomwaru: Sestava analýzy hrozeb pro trvalou a průběžnou hrozbu na portálu Microsoft Defender
• Přístup k ransomwaru Microsoftu (dříve DART) a osvědčené postupy a případová studie

Microsoft 365:

• Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Zotavení z útoku ransomwarem
• Ochrana proti malwaru a ransomwaru
• Ochrana počítače s Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePointu Online
• Sestavy analýzy hrozeb pro ransomware na portálu XDR v programu Microsoft Defender

XDR v programu Microsoft Defender:

• Vyhledání ransomwaru s pokročilým vyhledáváním

Microsoft Defender for Cloud Apps:

• Vytváření zásad detekce anomálií v Defenderu pro Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
• Zotavení z ohrožení systémové identity
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Fúzní detekce ransomwaru v Microsoft Sentinelu

Blogové příspěvky týmu zabezpečení Microsoftu:

Nejnovější seznam článků o ransomwaru na blogu Microsoft Security klikněte sem.

• 3 kroky k prevenci a zotavení ransomwaru (září 2021)

• Průvodce bojem proti ransomwaru provozovanému člověkem: část 1 (září 2021)

• Automatické přerušení útoků provozovaných lidmi prostřednictvím omezení ohrožených uživatelských účtů (říjen 2023)

• Ransomwar jako služba: Principy ekonomiky kybernetické trestné činnosti a jak se chránit (květen 2022)

  Klíčové kroky týkající se toho, jak tým Microsoftu pro detekci a reakce (DART) provádí vyšetřování incidentů ransomwaru.

• Průvodce bojem proti ransomwaru provozovanému člověkem: část 2 (září 2021)

• Defenders beware: Případ pro vyšetřování po ransomwaru (říjen 2023)

  Doporučení a osvědčené postupy

• 4. část přechodu na aktuální hrozby (květen 2021)

  Viz část Ransomware.

• Útoky ransomwaru provozované lidmi: Prevence havárie (březen 2020)

  Zahrnuje analýzy skutečných útoků z řetězu útoků.

• Ransomware response-to pay or not pay? (prosinec 2019)

• Norsk Hydro reaguje na útok ransomwaru s transparentností (prosinec 2019)