Mi az a zsarolóprogram?

A gyakorlatban a zsarolóprogram-támadások letiltják az adatokhoz való hozzáférést, amíg váltságdíjat nem fizetnek.

A zsarolóprogramok valójában olyan kártevők vagy adathalász kiberbiztonsági támadások, amelyek megsemmisítik vagy titkosítják a fájlokat és mappákat egy számítógépen, kiszolgálón vagy eszközön.

Az eszközök vagy fájlok zárolása vagy titkosítása után a kiberbűnözők pénzt zsarolhatnak ki az üzlettől vagy az eszköz tulajdonosától a titkosított adatok zárolásának feloldásához szükséges kulcsért cserébe. A kiberbűnözők azonban még fizetés esetén sem adhatják meg a kulcsot az üzlet vagy az eszköz tulajdonosának, és végleg leállíthatják a hozzáférést.

A Microsoft Copilot for Security a mi-t használja a ransomware-támadások enyhítésére. A zsarolóprogramokkal kapcsolatos további Microsoft-megoldásokért látogasson el a Ransomware megoldástárba.

Hogyan működnek a zsarolóvírus-támadások?

A zsarolóprogramok automatizálhatók, vagy emberi kezeket is bevonhatnak a billentyűzetre - egy ember által működtetett támadást, például a LockBit ransomware-t használó legutóbbi támadásokban.

Az ember által működtetett ransomware-támadások a következő szakaszokat foglalják magukban:

1. Kezdeti kompromisszum – A fenyegetéselkülönítési szereplő először egy felderítési időszak után fér hozzá egy rendszerhez vagy környezethez, hogy azonosítsa a védelem gyengeségeit.

2. Megőrzés és védelmi kijátszás – A fenyegetéselhárító a rendszer vagy a környezet láblécét hozza létre egy olyan hátsó lábbal vagy más mechanizmussal, amely lopakodó módon működik, hogy elkerülje az incidenskezelő csapatok általi észlelést.

3. Oldalirányú mozgás – A fenyegetéseltérő a kezdeti belépési pontot használja a sérült eszközhöz vagy hálózati környezethez csatlakoztatott más rendszerekre való migráláshoz.

4. Hitelesítő adatokhoz való hozzáférés – A fenyegetést jelző szereplő hamis bejelentkezési oldalt használ a felhasználói vagy rendszer hitelesítő adatainak kinyeréséhez.

5. Adatlopás – A fenyegetés szereplője pénzügyi vagy egyéb adatokat lop a feltört felhasználóktól vagy rendszerektől.

6. Hatás – Az érintett felhasználó vagy szervezet anyagi vagy hírnévbeli károkat szenvedhet.

A ransomware-kampányokban használt gyakori kártevők

• Qakbot – Adathalászattal terjeszt rosszindulatú hivatkozásokat, rosszindulatú mellékleteket, és elveti a kártékony hasznos adatokat, például a Cobalt Strike Beacont

• Ryuk – Az adattitkosítás általában a Windowst célozza

• Trickbot – Olyan Microsoft-alkalmazásokat céloz meg, mint az Excel és a Word. A Trickbotot általában olyan e-mail-kampányokon keresztül szállították, amelyek aktuális eseményeket vagy pénzügyi csalit használtak arra, hogy a felhasználókat rosszindulatú fájlmellékletek megnyitására csábítsa, vagy kattintson a rosszindulatú fájlokat üzemeltető webhelyekre mutató hivatkozásokra. 2022 óta úgy tűnik, hogy a Microsoft által a kártevőt használó kampányok mérséklése megzavarta annak hasznosságát.

A zsarolóvírus-kampányokhoz kapcsolódó elterjedt fenyegetéstevők

• LockBit – Pénzügyileg motivált ransomware-as-a-service (RaaS) kampány és a 2023-24-ben a legtermékenyebb ransomware threat actor
• Black Basta – Hozzáférést nyer az adathalász e-maileken keresztül, és a PowerShell használatával elindít egy titkosítási hasznos adatcsomagot

Hogyan segíthet a Microsoft, ha egy támadás elkezdődött

A folyamatban lévő zsarolóvírus-támadások mérséklése érdekében a Microsoft Incident Response a Microsoft Defender for Identity használatával és üzembe helyezésével segít, amely egy felhőalapú biztonsági megoldás, amely segít észlelni és reagálni az identitással kapcsolatos fenyegetésekre. Az identitásfigyelés korai incidenskezelésbe való beépítése támogatja az érintett szervezet biztonsági műveleti csapatát az irányítás visszaszerzésében. A Microsoft incidensválasza a Defender for Identity használatával segít azonosítani az incidens hatókörét és az érintett fiókokat, védeni a kritikus infrastruktúrát, és kizárni a fenyegetést jelző szereplőt. A válaszcsapat ezután Végponthoz készült Microsoft Defender, hogy nyomon kövesse a veszélyforrás-szereplő mozgását, és megzavarja a feltört fiókok használatával a környezet újraértelmezésére tett kísérleteiket. Az incidensek, a regisztráció és a környezet teljes felügyeleti ellenőrzése után a Microsoft Incidenskezelés együttműködik az ügyféllel a jövőbeli kibertámadások megelőzése érdekében.

Automatizált zsarolóprogram-támadások

Az árutőzsdei zsarolóvírus-támadásokat gyakran automatizálják. Ezek a kibertámadások vírusként terjedhetnek, megfertőzhetik az eszközöket olyan módszerekkel, mint az e-mail adathalászat és a kártevők kézbesítése, és kártevők szervizelését igénylik.

Ezért megvédheti e-mail rendszerét olyan Office 365-höz készült Microsoft Defender használatával, amely védelmet nyújt a kártevők és az adathalászat ellen. Végponthoz készült Microsoft Defender együttműködik Office 365-höz készült Defender, hogy automatikusan észlelje és letiltsa a gyanús tevékenységeket az eszközein, míg a Microsoft Defender XDR észleli a kártevőket és az adathalászati kísérleteket.

Ember által üzemeltetett zsarolóprogram-támadások

Az ember által üzemeltetett zsarolóprogramokat olyan kiberbűnözők aktív támadása okozza, amelyek beszivárognak a szervezet helyszíni vagy felhőalapú informatikai infrastruktúrájába, emelik a jogosultságaikat, és zsarolóprogramokat helyeznek üzembe a kritikus adatokra.

Ezek a "billentyűzeten történő" támadások általában nem egyetlen eszközt, hanem szervezeteket céloznak meg.

Az ember által üzemeltetett azt is jelenti, hogy egy emberi veszélyforrás-szereplő a közös rendszer- és biztonsági konfigurációs hibákra vonatkozó megállapításokat használja. Céljuk, hogy beszivárogjanak a szervezetbe, navigáljanak a hálózaton, és alkalmazkodjanak a környezethez és a gyengeségeihez.

Ezeknek az ember által működtetett zsarolóprogramoknak a jellegzetességei általában a hitelesítő adatok ellopása és az oldalirányú mozgás , az ellopott fiókokban lévő jogosultságok emelése.

A tevékenységek a karbantartási időszakok során történhetnek, és a kiberbűnözők által felfedezett biztonsági konfigurációs hiányosságokat is magukban foglalhatják. A cél egy zsarolóprogram hasznos adatainak üzembe helyezése bármilyen nagy üzleti hatással járó erőforrásra , amelyet a fenyegetési szereplők választanak.

Fontos

Ezek a támadások katasztrofálisak lehetnek az üzleti műveletek számára, és nehezen tisztíthatók meg, és teljes kizárást igényelnek a jövőbeli támadások elleni védelem érdekében. Ellentétben az árualapú zsarolóprogramokkal, amelyek általában csak kártevő-szervizelést igényelnek, az ember által működtetett zsarolóprogramok a kezdeti találkozás után is fenyegetik az üzleti műveleteket.

Annak hatása és valószínűsége, hogy az ember által működtetett ransomware-támadások folytatódnak

Zsarolóprogram-védelem a szervezet számára

Először is tiltsa le az adathalászatot és a kártevők kézbesítését Office 365-höz készült Microsoft Defender a kártevők és az adathalászat elleni védelem érdekében, Végponthoz készült Microsoft Defender, hogy automatikusan észlelje és blokkolja a gyanús tevékenységeket az eszközein, valamint a Microsoft Defender XDR-t a kártevők és adathalászati kísérletek korai észleléséhez.

A zsarolóprogramok és zsarolás átfogó megtekintéséhez és a szervezet védelmének módjához használja az emberi üzemeltetésű ransomware-kockázatcsökkentő projektterv PowerPoint-bemutatójában található információkat.

Kövesse a Microsoft incidenskezelési megközelítését a zsarolóprogramok megelőzésére és elhárítására.

1. Értékelje a helyzetet a támadásra figyelmeztető gyanús tevékenység elemzésével.

2. Mikor/mikor értesült először az incidensről? Milyen naplók érhetők el, és van-e arra utaló jel, hogy a szereplő jelenleg hozzáfér a rendszerekhez?

3. Azonosítsa az érintett üzletági (LOB-) alkalmazásokat, és szerezze be az érintett rendszereket online állapotba. Az érintett alkalmazás olyan identitást igényel, amely esetleg sérült?

4. Rendelkezésre állnak az alkalmazás, a konfiguráció és az adatok biztonsági másolatai, és rendszeresen ellenőrzik a visszaállítási gyakorlattal?

5. Határozza meg a biztonsági rések helyreállításának (CR) folyamatát, hogy eltávolítsa a veszélyforrás-szereplőt a környezetből.

Az alábbiakban összefoglaljuk a Microsoft ember által üzemeltetett ransomware-kockázatcsökkentő projekttervének útmutatását:

Az emberi üzemeltetésű ransomware-kockázatcsökkentési projekttervben szereplő útmutató összefoglalása

• A zsarolóprogramok és a zsarolásalapú támadások tétje magas.
• A támadásoknak azonban vannak gyengeségei, amelyek csökkenthetik a támadás valószínűségét.
• Az infrastruktúra konfigurálásának három lépése van a támadási hiányosságok kihasználása érdekében.

A támadási hiányosságok kihasználásának három lépését a szervezet zsarolóprogramokkal és zsarolóprogramokkal szembeni védelme című cikkben találja, amely a legjobb védelem érdekében gyorsan konfigurálja az informatikai infrastruktúrát:

1. Készítse elő a szervezetet, hogy a váltságdíj fizetése nélkül talpraálljon egy támadásból.
2. A kiemelt szerepkörök védelmével korlátozhatja a zsarolóprogramok támadásainak hatókörét.
3. A kockázatok növekményes eltávolításával megnehezítheti a fenyegetéselektorok hozzáférését a környezethez.

Töltse le a szervezet védelmét a ransomware plakátról , hogy áttekintse a három fázist a ransomware-támadások elleni védelem rétegeiként.

További zsarolóprogram-megelőzési erőforrások

A Microsoft legfontosabb információi:

• A Legújabb ransomware trendek a Microsofttól, a Microsoft legújabb ransomware blogja

• 2023 Microsoft Digitális védelmi jelentés Microsoft 365:

• Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn

Microsoft Defender XDR:

• Speciális vadászattal rendelkező zsarolóprogramok keresése

Felhőhöz készült Microsoft Defender alkalmazások:

• Anomáliadetektálási szabályzatok létrehozása az Felhőhöz készült Defender Appsben

Microsoft Azure:

• Azure Defenses for Ransomware Attack

Microsoft Copilot for Security:

• Védelem az ember által működtetett zsarolóprogramok elleni támadások ellen a Microsoft Copilot for Security szolgáltatással

Az OpenAI kulcsfontosságú zsarolóprogram-elhárítási stratégiái a ChatGPT saját szavaival a következők:

1. Betanítási adatok kurálása

2. Biztonsági rétegek és szűrők

3. Empirikus tesztelés és red teaming

4. Folyamatos monitorozás

5. Igazítási és biztonsági kutatás

6. Közösségi jelentés és visszajelzés

7. Partnerségek és szabályzatok

Részletesebb információkért tekintse meg az OpenAI hivatalos dokumentációját az AI biztonságával és a visszaélések mérséklésével kapcsolatos megközelítésükről.

A Microsoft Security zsarolóprogram-elhárító erőforrásai:

Tekintse meg a legújabb ransomware-cikkeket a Microsoft Security Blogban.

• Navigálás a legutóbbi zsarolóprogramok fenyegetései között (2024. június)