Co to jest oprogramowanie wymuszającego okup?

W praktyce atak wymuszającego okup blokuje dostęp do danych do momentu zapłaty okupu.

W rzeczywistości oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania lub atak cybernetyczny, który niszczy lub szyfruje pliki i foldery na komputerze, serwerze lub urządzeniu.

Gdy urządzenia lub pliki są zablokowane lub zaszyfrowane, cyberprzestępcy mogą wymusić pieniądze od właściciela firmy lub urządzenia w zamian za klucz w celu odblokowania zaszyfrowanych danych. Ale nawet w przypadku płatności cyberprzestępcy nigdy nie mogą dać klucza właścicielowi firmy lub urządzenia i zatrzymać dostęp na stałe.

Jak działają ataki wymuszającego okup?

Oprogramowanie wymuszającego okup może być zautomatyzowane lub obejmować ludzkie ręce na klawiaturze — atak obsługiwany przez człowieka, taki jak w przypadku ostatnich ataków za pomocą oprogramowania wymuszającego okup LockBit.

Ataki wymuszającego okup obsługiwane przez człowieka obejmują następujące etapy:

1. Początkowy kompromis — aktor zagrożenia po raz pierwszy uzyskuje dostęp do systemu lub środowiska po okresie rekonesansu w celu zidentyfikowania słabych stron w obronie.

2. Trwałość i uchylanie się od obrony — aktor zagrożenia ustanawia przyczółek w systemie lub środowisku przy użyciu backdoor lub innego mechanizmu, który działa w niewidzialności, aby uniknąć wykrywania przez zespoły reagowania na zdarzenia.

3. Ruch poprzeczny — aktor zagrożenia używa początkowego punktu wejścia do migracji do innych systemów połączonych z naruszonym urządzeniem lub środowiskiem sieciowym.

4. Dostęp poświadczeń — aktor zagrożeń używa fałszywej strony logowania do zbierania poświadczeń użytkownika lub systemu.

5. Kradzież danych — aktor zagrożenia kradnie dane finansowe lub inne dane z naruszonych użytkowników lub systemów.

6. Wpływ — dotknięty użytkownik lub organizacja może ponosić szkody materialne lub reputacji.

Typowe złośliwe oprogramowanie używane w kampaniach oprogramowania wymuszającego okup

• Qakbot — używa wyłudzania informacji w celu rozpowszechniania złośliwych linków, złośliwych załączników lub ostatnio osadzonych obrazów
• Ryuk — szyfrowanie danych zwykle przeznaczone dla systemu Windows
• Trickbot — ma ukierunkowane aplikacje firmy Microsoft, takie jak Excel i Word. Trickbot był zwykle dostarczany za pośrednictwem kampanii e-mail, które korzystały z bieżących wydarzeń lub zwabień finansowych, aby zachęcić użytkowników do otwierania złośliwych załączników plików lub klikania linków do witryn internetowych hostujących złośliwe pliki. Od 2022 r. środki zaradcze kampanii firmy Microsoft za pomocą tego złośliwego oprogramowania wydają się zakłócać jego użyteczność.

Powszechne zagrożenia związane z kampaniami wymuszania oprogramowania wymuszającego okup

• LockBit — motywowany finansowo kampanią ransomware-as-a-service (RaaS) i najbardziej płodnym aktorem zagrożenia ransomware w okresie 2023-24
• Black Basta — uzyskuje dostęp za pośrednictwem wiadomości e-mail spear-phishing i używa programu PowerShell do uruchomienia ładunku szyfrowania

Automatyczne ataki wymuszania oprogramowania wymuszającego okup

Ataki na oprogramowanie wymuszającego okup towarów są często zautomatyzowane. Te cyberataki mogą rozprzestrzeniać się jak wirus, infekować urządzenia za pomocą metod, takich jak wyłudzenie wiadomości e-mail i dostarczanie złośliwego oprogramowania, i wymagać korygowania złośliwego oprogramowania.

W związku z tym można chronić system poczty e-mail przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender chroniących przed złośliwym oprogramowaniem i dostarczaniem wyłudzania informacji. Ochrona punktu końcowego w usłudze Microsoft Defender współpracuje z Ochrona usługi Office 365 w usłudze Defender w celu automatycznego wykrywania i blokowania podejrzanych działań na urządzeniach, podczas gdy usługa Microsoft Defender XDR wykrywa złośliwe oprogramowanie i próby wyłudzania informacji na wczesnym etapie.

Ataki wymuszającego okup obsługiwane przez człowieka

Oprogramowanie wymuszające okup obsługiwane przez człowieka jest wynikiem aktywnego ataku cyberprzestępców, który infiltruje lokalną lub chmurową infrastrukturę IT organizacji, podnosi swoje uprawnienia i wdraża oprogramowanie wymuszające okup do danych krytycznych.

Te ataki "klawiatury praktycznej" zwykle dotyczą organizacji, a nie jednego urządzenia.

Obsługiwane przez człowieka oznacza również, że istnieje człowiek zagrożenia, korzystając ze szczegółowych informacji na temat typowych błędów konfiguracji systemu i zabezpieczeń. Mają na celu infiltrację organizacji, poruszanie się po sieci i dostosowywanie się do środowiska i jego słabości.

Znaki rozpoznawcze tych ataków wymuszającego okup obsługiwane przez człowieka zwykle obejmują kradzież poświadczeń i penetrację z podniesieniem uprawnień na skradzionych kontach.

Działania mogą odbywać się podczas okien obsługi i obejmować luki w konfiguracji zabezpieczeń wykryte przez cyberprzestępców. Celem jest wdrożenie ładunku oprogramowania wymuszającego okup do zasobów o dużym wpływie na działalność biznesową, które wybierają aktorzy zagrożeń.

Ważne

Te ataki mogą być katastrofalne dla operacji biznesowych i są trudne do oczyszczenia, co wymaga całkowitego eksmisji przeciwnika w celu ochrony przed przyszłymi atakami. W przeciwieństwie do oprogramowania wymuszającego okup surowców, które zwykle wymagają korygowania złośliwego oprogramowania, oprogramowanie wymuszające oprogramowanie wymuszające działanie przez człowieka będzie nadal zagrażać twoim operacjom biznesowym po początkowym spotkaniu.

Wpływ i prawdopodobieństwo, że ataki wymuszające okup przez człowieka będą kontynuowane

Ochrona przed oprogramowaniem wymuszającym okup dla organizacji

Najpierw zapobiegaj wyłudzaniu informacji i dostarczaniu złośliwego oprogramowania za pomocą Ochrona usługi Office 365 w usłudze Microsoft Defender w celu ochrony przed złośliwym oprogramowaniem i dostarczaniem wyłudzania informacji, Ochrona punktu końcowego w usłudze Microsoft Defender w celu automatycznego wykrywania i blokowania podejrzanych działań na urządzeniach oraz usługi Microsoft Defender XDR w celu wczesnego wykrywania złośliwego oprogramowania i prób wyłudzania informacji.

Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobem ochrony organizacji, skorzystaj z informacji w prezentacji Programu PowerPoint w ramach projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwanego przez człowieka.

Oto podsumowanie wskazówek:

Podsumowanie wskazówek w planie projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwane przez człowieka

• Wysokie są stawki ataków opartych na okupach i wymuszeń.
• Jednak ataki mają słabe strony, które mogą zmniejszyć prawdopodobieństwo ataku.
• Istnieją trzy kroki konfigurowania infrastruktury w celu wykorzystania słabych stron ataku.

Aby zapoznać się z trzema krokami w celu wykorzystania słabych stron ataków, zobacz Rozwiązanie Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem, aby szybko skonfigurować infrastrukturę IT w celu uzyskania najlepszej ochrony:

1. Przygotuj organizację do odzyskania od ataku bez konieczności płacenia okupu.
2. Ogranicz zakres uszkodzeń ataku wymuszającego okup, chroniąc uprzywilejowane role.
3. Utrudnianie aktorowi zagrożeń uzyskiwania dostępu do środowiska przez przyrostowe usuwanie zagrożeń.

Pobierz plakat Ochrona organizacji przed oprogramowaniem wymuszającym okup, aby przeglądu trzech faz jako warstw ochrony przed atakami wymuszającym okup.

Dodatkowe zasoby ochrony przed oprogramowaniem wymuszającym okup

Kluczowe informacje od firmy Microsoft:

• Najnowsze trendy oprogramowania wymuszającego okup od firmy Microsoft, najnowszego bloga oprogramowania wymuszającego okup firmy Microsoft
• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
• Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2023 r.
• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft Defender
• Zespół reagowania na zdarzenia firmy Microsoft (dawniej DART) — podejście wymuszające okup oraz najlepsze rozwiązania i analiza przypadku

Microsoft 365:

• Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu XDR w usłudze Microsoft Defender

Microsoft Defender XDR:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

aplikacje Microsoft Defender dla Chmury:

• Tworzenie zasad wykrywania anomalii w aplikacjach Defender dla Chmury

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
• Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

Microsoft Copilot for Security:

• Obrona przed atakami ransomware obsługiwanymi przez człowieka za pomocą rozwiązania Microsoft Copilot for Security

Zasoby ograniczania ryzyka oprogramowania wymuszającego okup zabezpieczeń firmy Microsoft:

Zobacz najnowszą listę artykułów dotyczących oprogramowania wymuszającego okup w blogu zabezpieczeń firmy Microsoft.

• Ochrona organizacji przed oprogramowaniem wymuszającym okup (maj 2024 r.)

• Automatyczne zakłócenia ataków obsługiwanych przez człowieka poprzez powstrzymanie naruszonych kont użytkowników (październik 2023 r.)

• Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself (Maj 2022)

  Kluczowe kroki dotyczące sposobu, w jaki zespół reagowania na zdarzenia firmy Microsoft (dawniej DART/CRSP) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.

• Określanie procesu odzyskiwania ataków wymuszającego okup (maj 2024 r.)

  Zalecenia i najlepsze rozwiązania

• Nawigowanie po ostatnich zagrożeniach oprogramowania wymuszającego okup (czerwiec 2024 r.)