Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На практике атака программы-шантажистов блокирует доступ к вашим данным до выплаты выкупа.
На самом деле вымогательское ПО — это разновидность вредоносных программ или фишинговой атаки, которая уничтожает или шифрует файлы и папки на компьютере, сервере или устройстве.
После блокировки или шифрования устройств злоумышленники могут вымогать деньги от владельца бизнеса или устройства в обмен на ключ для разблокировки зашифрованных данных. Но даже при оплате киберкриминалы никогда не могут дать ключ владельцу бизнеса или устройств и остановить доступ навсегда.
#REF! использует ИИ для устранения атак программ-шантажистов. Для получения дополнительных решений Microsoft для программы-шантажистов посетите нашу библиотеку решений для программ-шантажистов.
Как работают атаки вымогательских программ?
Программы-вымогатели могут быть автоматизированы или предполагать управление человеком (например, когда на клавиатуре работает человек) — атаку, которую управляет человек, например, как в недавних атаках с использованием вымогательского ПО LockBit.
Атаки программ-шантажистов, управляемых человеком, включают следующие этапы:
Первоначальный компромисс - субъект угроз впервые получает доступ к системе или среде после периода разведывательной разведки для выявления слабых мест в обороне.
Удержание и уклонение от обнаружения. Субъект угроз закрепляется в системе или среде с помощью бэкдора или другого механизма, который работает скрытно, чтобы избежать обнаружения группами реагирования на инциденты.
Боковое перемещение — субъект угроз использует начальную точку входа для миграции в другие системы, подключенные к скомпрометированному устройству или сетевой среде.
Доступ к учетным данным . Субъект угроз использует поддельную страницу входа для сбора учетных данных пользователя или системы.
Кража данных — субъект угроз украл финансовые или другие данные от скомпрометированных пользователей или систем.
Влияние — затронутый пользователь или организация могут понести материальный или репутационный ущерб.
Как службы портала Defender помогают с унифицированными операциями безопасности
- #REF! — #REF! включает мощные возможности автоматического пресечения атак, которые могут защитить вашу среду от сложных, больших атак, включая программы-вымогатели, осуществляемые вручную человеком.
- Microsoft Sentinel — решение SIEM, которое сдерживает атаку вымогательского ПО на начальной стадии, используя машинное обучение для объединения разрозненных данных — сетей, идентификации, SaaS и конечных точек из источников данных Microsoft и партнеров.
- Security Copilot - Во время активной атаки программ-вымогателей Copilot использует машинное обучение для предоставления полного контекста, чтобы специалисты по безопасности могли предоставлять ясные, лаконичные и исчерпывающие отчеты о текущих инцидентах. Это дает целевым сущностям глубокое понимание ситуации, даже если инцидент возникает после рабочих часов.
Распространенные вредоносные программы, используемые в кампаниях вымогательского ПО
Qakbot — использует фишинг для распространения вредоносных ссылок, вредоносных вложений и удаления вредоносных полезных данных, таких как Cobalt Strike Beacon
Ryuk — шифрование данных обычно предназначено для #REF!
Trickbot — предназначено для приложений Майкрософт, таких как Excel и #REF!. Trickbot обычно поставляется с помощью кампаний электронной почты, которые использовали текущие события или финансовые приманки пользователей, чтобы открыть вредоносные вложения файлов или щелкнуть ссылки на веб-сайты, на которые размещаются вредоносные файлы. С 2022 года меры, предпринятые Microsoft по снижению эффективности кампаний, использующих эту вредоносную программу, по-видимому, нарушили её полезность.
Преобладающие угрозы, связанные с кампаниями вымогательского ПО
- LockBit — финансово мотивированная кампания программ-вымогателей как услуга (RaaS) и наиболее активный субъект угроз в 2023–2024 годы.
- Black Basta — получает доступ через письма для целевого фишинга и использует PowerShell для запуска шифрованного исполняемого кода.
- Storm-1674 (DarkGate и ZLoader) - Storm-1674 является брокером доступа, известным для распространения DarkGate, SectopRAT и Zloader и передачи доступа к субъектам угроз, таким как Storm-0506 и Sangria Tempest.
Тем временем Storm-1811 является актером угроз, известным своими атаками социальной инженерии, ведущими к развёртыванию BlackBasta с использованием Qakbot и других вредоносных программ. В конце октября — начале ноября Шторм-1811 был замечен при массовой рассылке спама на целевые адреса электронной почты (атака email bombing), прежде чем выдавать себя за сотрудников службы поддержки, предлагая помощь с проблемой спама. В этой новой кампании Storm-1811 было отмечено развертывание нового загрузчика вредоносных программ с именем ReedBed.
Данные Microsoft Defender показывают, что наиболее распространенные варианты программ-вымогателей в прошлом квартале 2024 года были Akira, FOG, Qilin, Lynx и упомянутые выше RansomHub и BlackBasta. Этот период также увидел новые варианты программ-шантажистов SafePay и Hellcat. Март 2025 года ознаменовался возвращением вымогательского ПО Qilin через хакерскую группу Moonstone Sleet.
Как корпорация Майкрософт может помочь с происходящей атакой с программой-вымогателем.
Чтобы помочь смягчить продолжающиеся атаки вымогательского ПО, реагирование на инциденты Майкрософт может использовать и развертывать #REF! — облачное решение для обеспечения безопасности, которое помогает обнаруживать и реагировать на угрозы, связанные с идентификацией. Раннее внедрение мониторинга идентификационных данных в реагирование на инциденты поддерживает группу по операциям безопасности пострадавшей организации в восстановлении контроля. Ответ на инциденты Майкрософт использует Defender for Identity для определения области инцидентов и затронутых учетных записей, защиты критической инфраструктуры и устранения угрозы. Затем группа реагирования использует Microsoft Defender для конечной точки для отслеживания движений субъекта угроз и нарушения их попыток использовать скомпрометированные учетные записи для повторного доступа к среде. После локализации инцидента и восстановления полного административного контроля над инфраструктурой, Microsoft Incident Response сотрудничает с клиентом, чтобы предотвратить будущие кибератаки.
Атаки автоматизированных программ-вымогателей
Атаки программ-шантажистов по сырьевым товарам часто автоматизированы . Эти кибератаки могут распространяться как вирус, заражать устройства с помощью таких методов, как фишинг электронной почты и доставка вредоносных программ, и требовать исправления вредоносных программ.
Поэтому вы можете защитить систему электронной почты с помощью Microsoft Defender для Office 365, которая защищает от вредоносных программ и фишинговой доставки. Microsoft Defender для конечной точки работает вместе с Defender для Office 365 для автоматического обнаружения и блокировки подозрительных действий на устройствах, а #REF! обнаруживает вредоносные программы и фишинговые попытки early.
Атаки вымогательского ПО, управляемого человеком
Программа-вымогатель, управляемая человеком, является результатом активной атаки злоумышленников, которые проникают в локальную или облачную ИТ-инфраструктуру организации, повышают свои привилегии и развертывают программу-вымогатель для атак на критически важные данные.
Эти атаки с непосредственным вмешательством обычно направлены на организации, а не на одно устройство.
Управление человеком также означает, что существует человеческий субъект угрозы, который использует свои аналитические сведения о распространенных сбоях систем и конфигурациях безопасности. Они стремятся проникнуть в организацию, ориентироваться в сети и адаптироваться к окружающей среде и ее слабостям.
Отличительные признаки этих атак программ-вымогателей, управляемых человеком, обычно включают кражу учетных данных и латеральное перемещение с повышением привилегий в украденных учетных записях.
Действия могут происходить во время периодов обслуживания и связаны с пробелами в конфигурации безопасности, обнаруженными киберкриминальными. Цель заключается в развертывании вредоносного ПО в любые ресурсы с высоким влиянием на бизнес, которые выбирают злоумышленники.
Внимание
Эти атаки могут быть катастрофическими для бизнес-операций и трудно устранить, что требует полного вытеснения злоумышленника, чтобы защитить от будущих атак. В отличие от массовых программ-вымогателей, которые обычно требуют устранения вредоносного ПО, человеком управляемые программы-вымогатели будут продолжать угрожать вашим бизнес-операциям после первоначальной встречи.
Подсказка
Стратегии защиты #REF! и собственные возможности защиты от программ-шантажистов в облачных средах см. в разделе Ransomware protection in #REF!.
Влияние и вероятность того, что атаки программ-шантажистов, управляемых человеком, будут продолжаться
Защита от программ-шантажистов для вашей организации
Во-первых, предотвращение фишинга и доставки вредоносных программ с помощью Microsoft Defender для Office 365 для защиты от вредоносных программ и фишинговой доставки, Microsoft Defender для конечной точки для автоматического обнаружения и блокировки подозрительных действий на устройствах и #REF! для обнаружения вредоносных программ и фишинговых попыток early.
Для комплексного понимания программ-вымогателей и вымогательства, а также методов защиты вашей организации, используйте сведения в презентации производного от человека плана проекта по смягчению последствий программ-вымогателей #REF!.
Следуйте подходу Microsoft Incident Response к предотвращению и смягчению последствий вымогательского ПО.
Оцените ситуацию, проанализировав подозрительное действие, которое предупредило вашу команду об атаке.
Какое время и дата вы впервые узнали об инциденте? Какие журналы доступны и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?
Определите затронутые приложения для бизнес-операций и восстановите работу всех пострадавших систем. Требует ли затронутое приложение удостоверение личности, которое могло быть скомпрометировано?
Доступны ли резервные копии приложения, конфигурации и данных, которые регулярно проверяются с помощью упражнения восстановления?
Определите процесс восстановления после компрометации, чтобы удалить злоумышленника из среды.
Вот сводка рекомендуемых мер по плану проекта компании Microsoft по смягчению последствий действий вымогательского ПО:
Сводка рекомендаций в плане проекта по устранению рисков программ-шантажистов, управляемых человеком
- Риск атак с использованием вымогательских программ и на основе шантажа высок.
- Однако атаки имеют слабые места, которые могут снизить вероятность того, что вас атакуют.
- Существует три шага по настройке инфраструктуры для использования слабых мест атак.
Три шага по использованию уязвимостей атак см. в статье "Защита организации от программ-шантажистов и вымогательство ", чтобы быстро настроить ИТ-инфраструктуру для оптимальной защиты:
- Подготовьте организацию к восстановлению после атаки без необходимости платить выкуп.
- Минимизировать ущерб от атаки программ-вымогателей за счет защиты привилегированных ролей.
- Усложните доступ к среде субъекту угроз путем постепенного удаления рисков.
Три действия для защиты от программ-шантажистов и вымогательства
Скачайте плакат "Защита организации от программ-шантажистов" для обзора трех этапов защиты от атак программ-шантажистов.
Плакат "Защитите свою организацию от программ-шантажистов"
Дополнительные ресурсы защиты от программ-шантажистов
Основная информация от корпорации Майкрософт:
Последние тенденции вымогательского ПО от Microsoft; последний блог Microsoft о вымогательском ПО
2024 Microsoft Digital Defense Report Microsoft 365:
Развертывание защиты от программ-вымогателей для клиента Microsoft 365
#REF!:
- Поиск вымогательского ПО с помощью расширенного поиска
Microsoft Defender for Cloud Apps:
- Создание политик обнаружения аномалий в Defender для облачных приложений
Microsoft Azure:
- #REF! защиты от атак вымогательского ПО
- Защита от программ-вымогателей в #REF!
#REF! для безопасности:
Ключевые стратегии OpenAI по противодействию программам-вымогателям, изложенные самими словами ChatGPT, включают:
- Курирование данных для обучения
- Уровни безопасности и фильтры
- Эмпирическое тестирование и проверка методом «красной команды»
- Непрерывный мониторинг
- Исследования по выравниванию и безопасности
- Отчеты и отзывы сообщества
- Партнерские отношения и политики
Дополнительные сведения см. в официальной документации OpenAI по их подходу к обеспечению безопасности и неправильному использованию искусственного интеллекта.
Ресурсы Microsoft для защиты от вымогательских программ:
Смотрите последние статьи о вымогательском ПО в блоге Microsoft по безопасности.
- Рассмотрение недавних угроз вымогательского ПО (июнь 2024 г.)