Mi az a zsarolóprogram?

A gyakorlatban a zsarolóprogram-támadások letiltják az adatokhoz való hozzáférést, amíg váltságdíjat nem fizetnek.

A zsarolóprogramok valójában olyan kártevők vagy adathalász kiberbiztonsági támadások, amelyek megsemmisítik vagy titkosítják a fájlokat és mappákat egy számítógépen, kiszolgálón vagy eszközön.

Az eszközök vagy fájlok zárolása vagy titkosítása után a kiberbűnözők pénzt zsarolhatnak ki az üzlettől vagy az eszköz tulajdonosától a titkosított adatok zárolásának feloldásához szükséges kulcsért cserébe. A kiberbűnözők azonban még fizetés esetén sem adhatják meg a kulcsot az üzlet vagy az eszköz tulajdonosának, és végleg leállíthatják a hozzáférést.

Hogyan működnek a zsarolóvírus-támadások?

A zsarolóprogramok automatizálhatók, vagy emberi kezeket is bevonhatnak a billentyűzetre - egy ember által működtetett támadást, például a LockBit ransomware-t használó legutóbbi támadásokban.

Az ember által működtetett ransomware-támadások a következő szakaszokat foglalják magukban:

1. Kezdeti kompromisszum – A fenyegetéselkülönítési szereplő először egy felderítési időszak után fér hozzá egy rendszerhez vagy környezethez, hogy azonosítsa a védelem gyengeségeit.

2. Megőrzés és védelmi kijátszás – A fenyegetéselhárító a rendszer vagy a környezet láblécét hozza létre egy olyan hátsó lábbal vagy más mechanizmussal, amely lopakodó módon működik, hogy elkerülje az incidenskezelő csapatok általi észlelést.

3. Oldalirányú mozgás – A fenyegetéseltérő a kezdeti belépési pontot használja a sérült eszközhöz vagy hálózati környezethez csatlakoztatott más rendszerekre való migráláshoz.

4. Hitelesítő adatokhoz való hozzáférés – A fenyegetést jelző szereplő hamis bejelentkezési oldalt használ a felhasználói vagy rendszer hitelesítő adatainak kinyeréséhez.

5. Adatlopás – A fenyegetés szereplője pénzügyi vagy egyéb adatokat lop a feltört felhasználóktól vagy rendszerektől.

6. Hatás – Az érintett felhasználó vagy szervezet anyagi vagy hírnévbeli károkat szenvedhet.

A ransomware-kampányokban használt gyakori kártevők

• Qakbot – Adathalászattal terjeszt rosszindulatú hivatkozásokat, rosszindulatú mellékleteket vagy újabban beágyazott képeket
• Ryuk – Az adattitkosítás általában a Windowst célozza
• Trickbot – Olyan Microsoft-alkalmazásokat céloz meg, mint az Excel és a Word. A Trickbotot általában olyan e-mail-kampányokon keresztül szállították, amelyek aktuális eseményeket vagy pénzügyi csalit használtak arra, hogy a felhasználókat rosszindulatú fájlmellékletek megnyitására csábítsa, vagy kattintson a rosszindulatú fájlokat üzemeltető webhelyekre mutató hivatkozásokra. 2022 óta úgy tűnik, hogy a Microsoft által a kártevőt használó kampányok mérséklése megzavarta annak hasznosságát.

A zsarolóvírus-kampányokhoz kapcsolódó elterjedt fenyegetéstevők

• LockBit – Pénzügyileg motivált ransomware-as-a-service (RaaS) kampány és a 2023-24-ben a legtermékenyebb ransomware threat actor
• Black Basta – Hozzáférést nyer az adathalász e-maileken keresztül, és a PowerShell használatával elindít egy titkosítási hasznos adatcsomagot

Automatizált zsarolóprogram-támadások

Az árutőzsdei zsarolóvírus-támadásokat gyakran automatizálják. Ezek a kibertámadások vírusként terjedhetnek, megfertőzhetik az eszközöket olyan módszerekkel, mint az e-mail adathalászat és a kártevők kézbesítése, és kártevők szervizelését igénylik.

Ezért megvédheti e-mail rendszerét olyan Office 365-höz készült Microsoft Defender használatával, amely védelmet nyújt a kártevők és az adathalászat ellen. Végponthoz készült Microsoft Defender együttműködik Office 365-höz készült Defender, hogy automatikusan észlelje és letiltsa a gyanús tevékenységeket az eszközein, míg a Microsoft Defender XDR észleli a kártevőket és az adathalászati kísérleteket.

Ember által üzemeltetett zsarolóprogram-támadások

Az ember által üzemeltetett zsarolóprogramokat olyan kiberbűnözők aktív támadása okozza, amelyek beszivárognak a szervezet helyszíni vagy felhőalapú informatikai infrastruktúrájába, emelik a jogosultságaikat, és zsarolóprogramokat helyeznek üzembe a kritikus adatokra.

Ezek a "billentyűzeten történő" támadások általában nem egyetlen eszközt, hanem szervezeteket céloznak meg.

Az ember által üzemeltetett azt is jelenti, hogy egy emberi veszélyforrás-szereplő a közös rendszer- és biztonsági konfigurációs hibákra vonatkozó megállapításokat használja. Céljuk, hogy beszivárogjanak a szervezetbe, navigáljanak a hálózaton, és alkalmazkodjanak a környezethez és a gyengeségeihez.

Ezeknek az ember által működtetett zsarolóprogramoknak a jellegzetességei általában a hitelesítő adatok ellopása és az oldalirányú mozgás , az ellopott fiókokban lévő jogosultságok emelése.

A tevékenységek a karbantartási időszakok során történhetnek, és a kiberbűnözők által felfedezett biztonsági konfigurációs hiányosságokat is magukban foglalhatják. A cél egy zsarolóprogram hasznos adatainak üzembe helyezése bármilyen nagy üzleti hatással járó erőforrásra , amelyet a fenyegetési szereplők választanak.

Fontos

Ezek a támadások katasztrofálisak lehetnek az üzleti műveletek számára, és nehezen tisztíthatók meg, és teljes kizárást igényelnek a jövőbeli támadások elleni védelem érdekében. Ellentétben az árualapú zsarolóprogramokkal, amelyek általában csak kártevő-szervizelést igényelnek, az ember által működtetett zsarolóprogramok a kezdeti találkozás után is fenyegetik az üzleti műveleteket.

Annak hatása és valószínűsége, hogy az ember által működtetett ransomware-támadások folytatódnak

Zsarolóprogram-védelem a szervezet számára

Először is tiltsa le az adathalászatot és a kártevők kézbesítését Office 365-höz készült Microsoft Defender a kártevők és az adathalászat elleni védelem érdekében, Végponthoz készült Microsoft Defender, hogy automatikusan észlelje és blokkolja a gyanús tevékenységeket az eszközein, valamint a Microsoft Defender XDR-t a kártevők és adathalászati kísérletek korai észleléséhez.

A zsarolóprogramok és zsarolás átfogó megtekintéséhez és a szervezet védelmének módjához használja az emberi üzemeltetésű ransomware-kockázatcsökkentő projektterv PowerPoint-bemutatójában található információkat.

Íme az útmutató összefoglalása:

Az emberi üzemeltetésű ransomware-kockázatcsökkentési projekttervben szereplő útmutató összefoglalása

• A zsarolóprogramok és a zsarolásalapú támadások tétje magas.
• A támadásoknak azonban vannak gyengeségei, amelyek csökkenthetik a támadás valószínűségét.
• Az infrastruktúra konfigurálásának három lépése van a támadási hiányosságok kihasználása érdekében.

A támadási hiányosságok kihasználásának három lépését a szervezet zsarolóprogramokkal és zsarolóprogramokkal szembeni védelme című cikkben találja, amely a legjobb védelem érdekében gyorsan konfigurálja az informatikai infrastruktúrát:

1. Készítse elő a szervezetet, hogy a váltságdíj fizetése nélkül talpraálljon egy támadásból.
2. A kiemelt szerepkörök védelmével korlátozhatja a zsarolóprogramok támadásainak hatókörét.
3. A kockázatok növekményes eltávolításával megnehezítheti a fenyegetéselektorok hozzáférését a környezethez.

Töltse le a szervezet védelmét a ransomware plakátról , hogy áttekintse a három fázist a ransomware-támadások elleni védelem rétegeiként.

További zsarolóprogram-megelőzési erőforrások

A Microsoft legfontosabb információi:

• A Legújabb ransomware trendek a Microsofttól, a Microsoft legújabb ransomware blogja
• Gyors védelem a zsarolóprogramok és a zsarolás ellen
• 2023-Microsoft Digitális védelmi jelentés
• Ransomware: Egy átható és folyamatos fenyegetéselemzési jelentés a Microsoft Defender portálon
• Microsoft Incident Response team (korábbi nevén DART) ransomware megközelítés, ajánlott eljárások és esettanulmány

Microsoft 365:

• Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn
• A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
• Helyreállítás zsarolóprogram-támadásból
• Kártevők és zsarolóprogramok elleni védelem
• Windows 10 rendszerű pc védelme zsarolóprogramokkal szemben
• Zsarolóprogramok kezelése a SharePoint Online-ban
• Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft Defender XDR portálon

Microsoft Defender XDR:

• Speciális vadászattal rendelkező zsarolóprogramok keresése

Felhőhöz készült Microsoft Defender alkalmazások:

• Anomáliadetektálási szabályzatok létrehozása az Felhőhöz készült Defender Appsben

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
• Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
• Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup segítségével (26 perces videó)
• Helyreállítás rendszerszintű identitás sérüléséből
• Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
• Fúziós észlelés ransomware-hez a Microsoft Sentinelben

Microsoft Copilot for Security:

• Védelem az ember által működtetett zsarolóprogramok elleni támadások ellen a Microsoft Copilot for Security szolgáltatással

A Microsoft Security zsarolóprogram-elhárító erőforrásai:

Tekintse meg a legújabb ransomware-cikkeket a Microsoft Security Blogban.

• A szervezet védelme zsarolóprogramokkal szemben (2024. május)

• Az emberi üzemeltetésű támadások automatikus megszakítása a feltört felhasználói fiókok elszigetelésével (2023. október)

• Ransomware mint szolgáltatás: A kiberbűnözés giggazdaságának megismerése és saját védelme (2022. május)

  A Microsoft incidenskezelési csapata (korábbi nevén DART/CRSP) zsarolóprogram-incidensek kivizsgálásának főbb lépései.

• A ransomware támadás helyreállítási folyamatának meghatározása (2024. május)

  Javaslatok és ajánlott eljárások

• Navigálás a legutóbbi zsarolóprogramok fenyegetései között (2024. június)