什么是勒索软件?
实际上,勒索软件攻击会阻止你访问数据,直到支付赎金。
事实上,勒索软件是一种恶意软件或网络钓鱼安全攻击,会破坏或加密计算机、服务器或设备上的文件和文件夹。
设备或文件锁定或加密后,网络犯罪分子可以向企业或设备所有者勒索资金,以换取密钥来解锁加密数据。 但是,即使收到付款,网络犯罪分子可能也永远不会给业务或设备所有者提供密钥,并永久停止访问。
勒索软件攻击的工作原理是什么?
勒索软件可以是自动化的,也可以涉及键盘上的人为操作 -- 即人为操作的攻击,例如最近出现过的使用 LockBit 勒索软件的攻击。
人为操作的勒索软件攻击涉及以下阶段:
初始入侵 - 在进行一段时间的侦察来识别防御中的弱点后,威胁行动者会首先获取系统或环境的访问权限。
持久性和防御规避 - 威胁行动者使用后门或其他隐秘运行的机制在系统或环境中建立立足点,以规避事件响应团队的检测。
横向移动 - 威胁行动者使用初始入口点迁移到与被入侵设备或网络环境连接的其他系统。
凭据访问 - 威胁行动者使用虚假登录页面来搜集用户或系统凭据。
数据盗窃 - 威胁行动者从被盗用的用户或系统窃取财务数据或其他数据。
影响 - 受影响的用户或组织可能会遭受物质或信誉损害。
自动化勒索软件攻击
商品勒索软件攻击通常是自动化的。 这些网络攻击可能会像病毒一样传播,通过电子邮件网络钓鱼和恶意软件发送等方法感染设备,并需要进行恶意软件修正。
因此,可以使用 Microsoft Defender for Office 365 保护电子邮件系统,防止恶意软件和网络钓鱼传递。 Microsoft Defender for Endpoint 与 Defender for Office 365 一起工作,自动检测和阻止设备上的可疑活动,而 Microsoft Defender XDR 在早期检测恶意软件和网络钓鱼尝试。
人为操作的勒索软件攻击
人为操作的勒索软件是由网络犯罪分子主动攻击的结果,这些网络犯罪分子渗透到组织的本地或云 IT 基础结构中,提升其特权,然后将勒索软件部署到关键数据。
这些“人为键盘操作”攻击通常针对组织,而不是单个设备。
人为操作也意味着有人类威胁行动者利用他们对常见的系统和安全错误配置的见解。 他们的目标是渗透组织,操纵网络,适应环境及其弱点。
这些人为操作的勒索软件攻击的标志通常包括凭据盗窃和横向移动,以及被盗帐户中的特权提升。
活动可能会在维护时段进行,并涉及网络犯罪分子发现的安全配置缺口。 目标是将勒索软件有效负载部署到威胁行动者选择的任何高业务影响资源。
重要
这些攻击对业务运营来说可能是灾难性的,而且难以清理,需要完全逐出攻击者来防范今后的攻击。 通常只需修正恶意软件就能阻止商业勒索软件,而人为操作的勒索软件则不同,在最初遭到入侵后,它会继续威胁你的业务运营。
组织的勒索软件保护
首先,使用 Microsoft Defender for Office 365 防止网络钓鱼和恶意软件传送,使用 Microsoft Defender for Endpoint 自动检测和阻止设备上的可疑活动,使用 Microsoft Defender XDR 在早期检测恶意软件和网络钓鱼尝试。
若要全面了解勒索软件和敲诈勒索,并全面了解如何保护你的组织,请运用人为操作的勒索软件缓解项目计划 PowerPoint 演示文稿中的信息。
下面是指南摘要:
- 勒索软件和基于勒索的攻击的风险很高。
- 不过,攻击也有弱点,这能减少你遭到攻击的可能性。
- 可通过 3 个步骤配置你的基础结构来利用这些攻击弱点。
如需了解利用攻击弱点的这三个步骤,请查看帮助组织防范勒索软件和敲诈勒索解决方案,快速配置 IT 基础结构来获得最佳保护:
- 使组织做好准备,从而不必支付赎金就能在遭到攻击后恢复正常。
- 通过保护特权角色,限制勒索软件攻击破坏的范围。
- 通过逐步消除风险,使威胁行动者更难访问你的环境。
下载保护组织免受勒索软件侵害的海报,概览作为针对勒索软件攻击的保护层的三个阶段。
其他勒索软件防护资源
Microsoft 提供的重要信息:
- Microsoft 发布的勒索软件最新趋势,Microsoft 最新的勒索软件博客
- 快速防范勒索软件和敲诈勒索
- 2023 Microsoft 数字防御报告
- Microsoft Defender 门户中的“勒索软件:普遍和持续的威胁”威胁分析报告
- Microsoft 事件响应团队(前 DART)勒索软件方法和最佳做法以及案例研究
Microsoft 365:
- 为 Microsoft 365 租户部署勒索软件防护
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 从勒索软件攻击中恢复
- 恶意软件和勒索软件防护
- 保护 Windows 10 电脑,使其免受勒索软件侵害
- SharePoint Online 中的勒索软件
- Microsoft Defender XDR 门户中的“勒索软件的威胁分析报告”
Microsoft Defender XDR:
Microsoft Defender for Cloud Apps:
Microsoft Azure:
- Azure 针对勒索软件攻击的防御措施
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 旨在防范勒索软件的备份和还原计划
- 使用 Microsoft Azure 备份帮助防范勒索软件(26 分钟的视频)
- 从系统标识泄露中恢复
- Microsoft Sentinel 中的高级多阶段攻击检测
- Microsoft Sentinel 中对勒索软件的融合检测
Microsoft 安全团队博客文章:
有关 Microsoft 安全博客中最新勒索软件文章列表,请单击此处。
勒索软件即服务:了解网络犯罪零工经济以及如何保护自己(2022年5月)
Microsoft 检测和响应团队 (DART) 进行勒索软件事件调查的关键步骤。
-
建议和最佳做法。
通过了解网络安全风险实现复原:第 4 部分 - 浏览当前威胁(2021 年 5 月)
请参阅“勒索软件”部分。
人为操作的勒索软件攻击:可预防的灾难(2020 年 3 月)
包括对实际攻击的攻击链分析。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈