Mi az a zsarolóprogram?
A gyakorlatban a zsarolóprogram-támadások letiltják az adatokhoz való hozzáférést, amíg váltságdíjat nem fizetnek.
A zsarolóprogramok valójában olyan kártevők vagy adathalász kiberbiztonsági támadások, amelyek megsemmisítik vagy titkosítják a fájlokat és mappákat egy számítógépen, kiszolgálón vagy eszközön.
Az eszközök vagy fájlok zárolása vagy titkosítása után a kiberbűnözők pénzt zsarolhatnak ki az üzlettől vagy az eszköz tulajdonosától a titkosított adatok zárolásának feloldásához szükséges kulcsért cserébe. A kiberbűnözők azonban még fizetés esetén sem adhatják meg a kulcsot az üzlet vagy az eszköz tulajdonosának, és végleg leállíthatják a hozzáférést.
Hogyan működnek a zsarolóvírus-támadások?
A zsarolóprogramok automatizálhatók, vagy emberi kezeket is bevonhatnak a billentyűzetre - egy ember által működtetett támadást, például a LockBit ransomware-t használó legutóbbi támadásokban.
Az ember által működtetett ransomware-támadások a következő szakaszokat foglalják magukban:
Kezdeti kompromisszum – A fenyegetéselkülönítési szereplő először egy felderítési időszak után fér hozzá egy rendszerhez vagy környezethez, hogy azonosítsa a védelem gyengeségeit.
Megőrzés és védelmi kijátszás – A fenyegetéselhárító a rendszer vagy a környezet láblécét hozza létre egy olyan hátsó lábbal vagy más mechanizmussal, amely lopakodó módon működik, hogy elkerülje az incidenskezelő csapatok általi észlelést.
Oldalirányú mozgás – A fenyegetéseltérő a kezdeti belépési pontot használja a sérült eszközhöz vagy hálózati környezethez csatlakoztatott más rendszerekre való migráláshoz.
Hitelesítő adatokhoz való hozzáférés – A fenyegetést jelző szereplő hamis bejelentkezési oldalt használ a felhasználói vagy rendszer hitelesítő adatainak kinyeréséhez.
Adatlopás – A fenyegetés szereplője pénzügyi vagy egyéb adatokat lop a feltört felhasználóktól vagy rendszerektől.
Hatás – Az érintett felhasználó vagy szervezet anyagi vagy hírnévbeli károkat szenvedhet.
A ransomware-kampányokban használt gyakori kártevők
- Qakbot – Adathalászattal terjeszt rosszindulatú hivatkozásokat, rosszindulatú mellékleteket vagy újabban beágyazott képeket
- Ryuk – Az adattitkosítás általában a Windowst célozza
- Trickbot – Olyan Microsoft-alkalmazásokat céloz meg, mint az Excel és a Word. A Trickbotot általában olyan e-mail-kampányokon keresztül szállították, amelyek aktuális eseményeket vagy pénzügyi csalit használtak arra, hogy a felhasználókat rosszindulatú fájlmellékletek megnyitására csábítsa, vagy kattintson a rosszindulatú fájlokat üzemeltető webhelyekre mutató hivatkozásokra. 2022 óta úgy tűnik, hogy a Microsoft által a kártevőt használó kampányok mérséklése megzavarta annak hasznosságát.
A zsarolóvírus-kampányokhoz kapcsolódó elterjedt fenyegetéstevők
- LockBit – Pénzügyileg motivált ransomware-as-a-service (RaaS) kampány és a 2023-24-ben a legtermékenyebb ransomware threat actor
- Black Basta – Hozzáférést nyer az adathalász e-maileken keresztül, és a PowerShell használatával elindít egy titkosítási hasznos adatcsomagot
Automatizált zsarolóprogram-támadások
Az árutőzsdei zsarolóvírus-támadásokat gyakran automatizálják. Ezek a kibertámadások vírusként terjedhetnek, megfertőzhetik az eszközöket olyan módszerekkel, mint az e-mail adathalászat és a kártevők kézbesítése, és kártevők szervizelését igénylik.
Ezért megvédheti e-mail rendszerét olyan Office 365-höz készült Microsoft Defender használatával, amely védelmet nyújt a kártevők és az adathalászat ellen. Végponthoz készült Microsoft Defender együttműködik Office 365-höz készült Defender, hogy automatikusan észlelje és letiltsa a gyanús tevékenységeket az eszközein, míg a Microsoft Defender XDR észleli a kártevőket és az adathalászati kísérleteket.
Ember által üzemeltetett zsarolóprogram-támadások
Az ember által üzemeltetett zsarolóprogramokat olyan kiberbűnözők aktív támadása okozza, amelyek beszivárognak a szervezet helyszíni vagy felhőalapú informatikai infrastruktúrájába, emelik a jogosultságaikat, és zsarolóprogramokat helyeznek üzembe a kritikus adatokra.
Ezek a "billentyűzeten történő" támadások általában nem egyetlen eszközt, hanem szervezeteket céloznak meg.
Az ember által üzemeltetett azt is jelenti, hogy egy emberi veszélyforrás-szereplő a közös rendszer- és biztonsági konfigurációs hibákra vonatkozó megállapításokat használja. Céljuk, hogy beszivárogjanak a szervezetbe, navigáljanak a hálózaton, és alkalmazkodjanak a környezethez és a gyengeségeihez.
Ezeknek az ember által működtetett zsarolóprogramoknak a jellegzetességei általában a hitelesítő adatok ellopása és az oldalirányú mozgás , az ellopott fiókokban lévő jogosultságok emelése.
A tevékenységek a karbantartási időszakok során történhetnek, és a kiberbűnözők által felfedezett biztonsági konfigurációs hiányosságokat is magukban foglalhatják. A cél egy zsarolóprogram hasznos adatainak üzembe helyezése bármilyen nagy üzleti hatással járó erőforrásra , amelyet a fenyegetési szereplők választanak.
Fontos
Ezek a támadások katasztrofálisak lehetnek az üzleti műveletek számára, és nehezen tisztíthatók meg, és teljes kizárást igényelnek a jövőbeli támadások elleni védelem érdekében. Ellentétben az árualapú zsarolóprogramokkal, amelyek általában csak kártevő-szervizelést igényelnek, az ember által működtetett zsarolóprogramok a kezdeti találkozás után is fenyegetik az üzleti műveleteket.
Annak hatása és valószínűsége, hogy az ember által működtetett ransomware-támadások folytatódnak
Zsarolóprogram-védelem a szervezet számára
Először is tiltsa le az adathalászatot és a kártevők kézbesítését Office 365-höz készült Microsoft Defender a kártevők és az adathalászat elleni védelem érdekében, Végponthoz készült Microsoft Defender, hogy automatikusan észlelje és blokkolja a gyanús tevékenységeket az eszközein, valamint a Microsoft Defender XDR-t a kártevők és adathalászati kísérletek korai észleléséhez.
A zsarolóprogramok és zsarolás átfogó megtekintéséhez és a szervezet védelmének módjához használja az emberi üzemeltetésű ransomware-kockázatcsökkentő projektterv PowerPoint-bemutatójában található információkat.
Íme az útmutató összefoglalása:
- A zsarolóprogramok és a zsarolásalapú támadások tétje magas.
- A támadásoknak azonban vannak gyengeségei, amelyek csökkenthetik a támadás valószínűségét.
- Az infrastruktúra konfigurálásának három lépése van a támadási hiányosságok kihasználása érdekében.
A támadási hiányosságok kihasználásának három lépését a szervezet zsarolóprogramokkal és zsarolóprogramokkal szembeni védelme című cikkben találja, amely a legjobb védelem érdekében gyorsan konfigurálja az informatikai infrastruktúrát:
- Készítse elő a szervezetet, hogy a váltságdíj fizetése nélkül talpraálljon egy támadásból.
- A kiemelt szerepkörök védelmével korlátozhatja a zsarolóprogramok támadásainak hatókörét.
- A kockázatok növekményes eltávolításával megnehezítheti a fenyegetéselektorok hozzáférését a környezethez.
Töltse le a szervezet védelmét a ransomware plakátról , hogy áttekintse a három fázist a ransomware-támadások elleni védelem rétegeiként.
További zsarolóprogram-megelőzési erőforrások
A Microsoft legfontosabb információi:
- A Legújabb ransomware trendek a Microsofttól, a Microsoft legújabb ransomware blogja
- Gyors védelem a zsarolóprogramok és a zsarolás ellen
- 2023-Microsoft Digitális védelmi jelentés
- Ransomware: Egy átható és folyamatos fenyegetéselemzési jelentés a Microsoft Defender portálon
- Microsoft Incident Response team (korábbi nevén DART) ransomware megközelítés, ajánlott eljárások és esettanulmány
Microsoft 365:
- Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Helyreállítás zsarolóprogram-támadásból
- Kártevők és zsarolóprogramok elleni védelem
- Windows 10 rendszerű pc védelme zsarolóprogramokkal szemben
- Zsarolóprogramok kezelése a SharePoint Online-ban
- Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft Defender XDR portálon
Microsoft Defender XDR:
Felhőhöz készült Microsoft Defender alkalmazások:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
- Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup segítségével (26 perces videó)
- Helyreállítás rendszerszintű identitás sérüléséből
- Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
- Fúziós észlelés ransomware-hez a Microsoft Sentinelben
Microsoft Copilot for Security:
A Microsoft Security zsarolóprogram-elhárító erőforrásai:
Tekintse meg a legújabb ransomware-cikkeket a Microsoft Security Blogban.
A szervezet védelme zsarolóprogramokkal szemben (2024. május)
-
A Microsoft incidenskezelési csapata (korábbi nevén DART/CRSP) zsarolóprogram-incidensek kivizsgálásának főbb lépései.
A ransomware támadás helyreállítási folyamatának meghatározása (2024. május)
Javaslatok és ajánlott eljárások
Navigálás a legutóbbi zsarolóprogramok fenyegetései között (2024. június)
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: