什麼是勒索軟體？

實際上， 勒索軟體攻擊 會封鎖對數據的存取，直到支付贖金為止。

事實上，勒索軟體是一種惡意代碼或網路釣魚網路安全攻擊，可摧毀或加密計算機、伺服器或裝置上的檔案和資料夾。

一旦裝置或檔案遭到鎖定或加密，網路犯罪分子就可以從企業或裝置擁有者勒索資金，以換取 密鑰 來解除鎖定加密的數據。 但是，即使付費，網路犯罪分子可能永遠不會為企業或裝置擁有者提供關鍵，並永久停止存取。

勒索軟體攻擊如何運作？

勒索軟體可以自動化或牽涉到鍵盤上的人為操作攻擊，例如使用LockBit勒索軟體最近的攻擊。

人為操作的勒索軟體攻擊涉及下列階段：

1. 初始入侵 - 威脅執行者在一段時間後先取得系統或環境的存取權，以找出防禦的弱點。

2. 持續性和防禦逃避 - 威脅執行者會使用後門或其他在隱形中運作的機制，在系統或環境中建立立足點，以避免事件回應小組偵測。

3. 橫向移動 - 威脅執行者會使用初始進入點，移轉至連線到遭入侵裝置或網路環境的其他系統。

4. 認證存取 - 威脅執行者會使用假的登入頁面來收穫使用者或系統認證。

5. 數據竊取 - 威脅執行者會從遭入侵的使用者或系統竊取財務或其他數據。

6. 影響 - 受影響的使用者或組織可能會遭受重大或信譽損害。

勒索軟體活動中使用的常見惡意代碼

• Qakbot – 使用網路釣魚來散佈惡意連結、惡意附件，或最近內嵌的影像
• Ryuk – 資料加密器通常以 Windows 為目標
• Trickbot – 已將目標設為 Excel 和 Word 等Microsoft應用程式。 Trickbot 通常會透過使用目前事件或財務誘使用戶開啟惡意檔案附件的電子郵件活動傳遞，或按兩下裝載惡意檔案的網站連結。 自 2022 年以來，Microsoft使用此惡意代碼的行銷活動風險降低似乎破壞了其實用性。

與勒索軟體活動相關聯的普遍威脅執行者

• LockBit – 在 2023-24 個時段內，財務動機的勒索軟體即服務 （RaaS） 行銷活動和最多產的勒索軟體威脅執行者
• Black Basta – 透過魚叉式網路釣魚電子郵件取得存取權，並使用 PowerShell 啟動加密承載

自動化勒索軟體攻擊

商品勒索軟體攻擊 通常是自動化的。 這些網路攻擊可能像病毒一樣散佈、透過電子郵件網路釣魚和傳遞惡意程式碼等方法來感染裝置，而且需要惡意程式碼補救。

因此，您可以使用可防範惡意代碼和網路釣魚傳遞的 適用於 Office 365 的 Microsoft Defender 來保護電子郵件系統。 適用於端點的 Microsoft Defender 與 適用於 Office 365 的 Defender 一起運作，以自動偵測及封鎖裝置上的可疑活動，同時 Microsoft Defender 全面偵測回應 提早偵測到惡意代碼和網路釣魚嘗試。

人為操作的勒索軟體攻擊

人為操作的勒索軟體是網路犯罪分子主動攻擊的結果，該網路犯罪分子滲透到組織的內部部署或雲端IT基礎結構、提高其許可權，並將勒索軟體部署到重要數據。

這些「實際操作鍵盤」攻擊通常以組織為目標，而不是單一裝置。

人為操作 也表示有一個人類威脅執行者使用他們對通用系統和安全性設定錯誤的見解。 他們的目標是滲透組織、瀏覽網路，並適應環境及其弱點。

這些人為操作勒索軟體攻擊的特色通常包括認證竊取和橫向移動，並提升遭竊帳戶中的權限。

活動可能會在維護期間進行，並涉及網路罪犯所發現的安全性設定鴻溝。 目標是 將勒索軟體承載 部署到威脅執行者選擇的任何 高業務影響資源 。

重要

這些攻擊對商務營運可能會造成 災難性 的影響，而且難以清除，需要完全的敵人收回，才能防範未來的攻擊。 不同於通常只需要惡意代碼補救的商品勒索軟體， 人為操作的勒索軟體會在初次遇到之後繼續威脅您的商務作業。

人為操作勒索軟體攻擊的影響和可能性將延續

組織的勒索軟體防護

首先，使用 適用於 Office 365 的 Microsoft Defender 防止網路釣魚和惡意代碼傳遞，以防止惡意代碼和網路釣魚傳遞，適用於端點的 Microsoft Defender 自動偵測和封鎖裝置上的可疑活動，以及 Microsoft Defender 全面偵測回應 偵測到惡意代碼和網路釣魚嘗試的早期嘗試。

如需勒索軟體和敲詐與如何保護組織的完整檢視，請使用人類操作勒索軟體風險降低專案方案 PowerPoint 簡報中的資訊。

以下是指導的摘要：

顯示人為操作的勒索軟體風險降低專案方案中指導摘要的圖表

• 勒索軟體和敲詐型攻擊的風險很高。
• 不過，攻擊有弱點，可減少遭受攻擊的可能性。
• 設定基礎結構以利用攻擊弱點有三個步驟。

如需利用攻擊弱點的三個步驟，請參閱 保護貴組織抵禦勒索軟體和敲詐 解決方案，以 快速 設定IT基礎結構以獲得最佳保護：

1. 提前準備讓您的組織從攻擊中復原，而不需要對勒索付錢。
2. 藉由保護特殊權限角色來限制勒索軟體攻擊的破壞範圍。
3. 藉由累加移除風險，讓威脅執行者更難存取您的環境。

下載保護 貴組織免於勒索軟體海報 ，以取得三個階段的概觀，作為防範勒索軟體攻擊的層級。

其他勒索軟體防護資源

來自Microsoft的重要資訊：

• Microsoft的最新勒索軟體趨勢，Microsoft最新的勒索軟體部落格
• 快速防範勒索軟體和敲詐勒索
• 2023 Microsoft 數位防禦報告
• 勒索軟體：Microsoft Defender 入口網站中普遍且持續的威脅 威脅分析報告
• Microsoft事件回應小組 （先前稱為 DART） 勒索軟體 方法和最佳做法 和 案例研究

Microsoft 365：

• 為您的 Microsoft 365 租使用者部署勒索軟體防護
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 從勒索軟體攻擊中復原
• 惡意程式碼和勒索軟體防護
• 保護您的 Windows 10 電腦免受勒索軟體攻擊
• 在 SharePoint Online 中處理勒索軟體
• Microsoft Defender 全面偵測回應 入口網站中勒索軟體的威脅分析報告

Microsoft Defender 全面偵測回應：

• 利用進階搜捕尋找勒索軟體

適用於雲端的 Microsoft Defender 應用程式：

• 在 適用於雲端的 Defender Apps 中建立異常偵測原則

Microsoft Azure:

• 適用於勒索軟體攻擊的 Azure 防禦
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 備份和還原計劃以防範勒索軟體
• 利用 Microsoft Azure 備份來防止勒索軟體 (26 分鐘的影片)
• 從系統性身分識別入侵中復原
• Microsoft Sentinel 中的進階多階段攻擊偵測
• Microsoft Sentinel 中勒索軟體的融合偵測

Microsoft Copilot for Security：

• 使用 Microsoft Copilot for Security 防禦人為操作的勒索軟體攻擊

Microsoft安全性勒索軟體風險降低資源：

請參閱Microsoft安全性部落格中最新的勒索軟體文章清單。

• 保護您的組織免於勒索軟體 （2024 年 5 月）

• 透過內含遭入侵使用者帳戶自動中斷人為操作的攻擊（2023 年 10 月）

• 勒索軟體即服務：了解網路犯罪演出經濟以及如何保護自己 （2022 年 5 月）

  Microsoft事件回應小組（先前稱為 DART/CRSP）如何進行勒索軟體事件調查的重要步驟。

• 判斷勒索軟體攻擊修復程式 （2024 年 5 月）

  建議與最佳做法

• 流覽最近的勒索軟體威脅 （2024 年 6 月）