Что такое вымогательское ПО?

На практике атака программы-шантажистов блокирует доступ к вашим данным до выплаты выкупа.

На самом деле вымогательское ПО — это разновидность вредоносных программ или фишинговой атаки, которая уничтожает или шифрует файлы и папки на компьютере, сервере или устройстве.

После блокировки или шифрования устройств злоумышленники могут вымогать деньги от владельца бизнеса или устройства в обмен на ключ для разблокировки зашифрованных данных. Но даже при оплате киберкриминалы никогда не могут дать ключ владельцу бизнеса или устройств и остановить доступ навсегда.

#REF! использует ИИ для устранения атак программ-шантажистов. Для получения дополнительных решений Microsoft для программы-шантажистов посетите нашу библиотеку решений для программ-шантажистов.

Как работают атаки вымогательских программ?

Программы-вымогатели могут быть автоматизированы или предполагать управление человеком (например, когда на клавиатуре работает человек) — атаку, которую управляет человек, например, как в недавних атаках с использованием вымогательского ПО LockBit.

Атаки программ-шантажистов, управляемых человеком, включают следующие этапы:

  1. Первоначальный компромисс - субъект угроз впервые получает доступ к системе или среде после периода разведывательной разведки для выявления слабых мест в обороне.

  2. Удержание и уклонение от обнаружения. Субъект угроз закрепляется в системе или среде с помощью бэкдора или другого механизма, который работает скрытно, чтобы избежать обнаружения группами реагирования на инциденты.

  3. Боковое перемещение — субъект угроз использует начальную точку входа для миграции в другие системы, подключенные к скомпрометированному устройству или сетевой среде.

  4. Доступ к учетным данным . Субъект угроз использует поддельную страницу входа для сбора учетных данных пользователя или системы.

  5. Кража данных — субъект угроз украл финансовые или другие данные от скомпрометированных пользователей или систем.

  6. Влияние — затронутый пользователь или организация могут понести материальный или репутационный ущерб.

Как службы портала Defender помогают с унифицированными операциями безопасности

  • #REF! — #REF! включает мощные возможности автоматического пресечения атак, которые могут защитить вашу среду от сложных, больших атак, включая программы-вымогатели, осуществляемые вручную человеком.
  • Microsoft Sentinel — решение SIEM, которое сдерживает атаку вымогательского ПО на начальной стадии, используя машинное обучение для объединения разрозненных данных — сетей, идентификации, SaaS и конечных точек из источников данных Microsoft и партнеров.
  • Security Copilot - Во время активной атаки программ-вымогателей Copilot использует машинное обучение для предоставления полного контекста, чтобы специалисты по безопасности могли предоставлять ясные, лаконичные и исчерпывающие отчеты о текущих инцидентах. Это дает целевым сущностям глубокое понимание ситуации, даже если инцидент возникает после рабочих часов.

Распространенные вредоносные программы, используемые в кампаниях вымогательского ПО

  • Qakbot — использует фишинг для распространения вредоносных ссылок, вредоносных вложений и удаления вредоносных полезных данных, таких как Cobalt Strike Beacon

  • Ryuk — шифрование данных обычно предназначено для #REF!

  • Trickbot — предназначено для приложений Майкрософт, таких как Excel и #REF!. Trickbot обычно поставляется с помощью кампаний электронной почты, которые использовали текущие события или финансовые приманки пользователей, чтобы открыть вредоносные вложения файлов или щелкнуть ссылки на веб-сайты, на которые размещаются вредоносные файлы. С 2022 года меры, предпринятые Microsoft по снижению эффективности кампаний, использующих эту вредоносную программу, по-видимому, нарушили её полезность.

Преобладающие угрозы, связанные с кампаниями вымогательского ПО

  • LockBit — финансово мотивированная кампания программ-вымогателей как услуга (RaaS) и наиболее активный субъект угроз в 2023–2024 годы.
  • Black Basta — получает доступ через письма для целевого фишинга и использует PowerShell для запуска шифрованного исполняемого кода.
  • Storm-1674 (DarkGate и ZLoader) - Storm-1674 является брокером доступа, известным для распространения DarkGate, SectopRAT и Zloader и передачи доступа к субъектам угроз, таким как Storm-0506 и Sangria Tempest.

Тем временем Storm-1811 является актером угроз, известным своими атаками социальной инженерии, ведущими к развёртыванию BlackBasta с использованием Qakbot и других вредоносных программ. В конце октября — начале ноября Шторм-1811 был замечен при массовой рассылке спама на целевые адреса электронной почты (атака email bombing), прежде чем выдавать себя за сотрудников службы поддержки, предлагая помощь с проблемой спама. В этой новой кампании Storm-1811 было отмечено развертывание нового загрузчика вредоносных программ с именем ReedBed.

Данные Microsoft Defender показывают, что наиболее распространенные варианты программ-вымогателей в прошлом квартале 2024 года были Akira, FOG, Qilin, Lynx и упомянутые выше RansomHub и BlackBasta. Этот период также увидел новые варианты программ-шантажистов SafePay и Hellcat. Март 2025 года ознаменовался возвращением вымогательского ПО Qilin через хакерскую группу Moonstone Sleet.

Как корпорация Майкрософт может помочь с происходящей атакой с программой-вымогателем.

Чтобы помочь смягчить продолжающиеся атаки вымогательского ПО, реагирование на инциденты Майкрософт может использовать и развертывать #REF! — облачное решение для обеспечения безопасности, которое помогает обнаруживать и реагировать на угрозы, связанные с идентификацией. Раннее внедрение мониторинга идентификационных данных в реагирование на инциденты поддерживает группу по операциям безопасности пострадавшей организации в восстановлении контроля. Ответ на инциденты Майкрософт использует Defender for Identity для определения области инцидентов и затронутых учетных записей, защиты критической инфраструктуры и устранения угрозы. Затем группа реагирования использует Microsoft Defender для конечной точки для отслеживания движений субъекта угроз и нарушения их попыток использовать скомпрометированные учетные записи для повторного доступа к среде. После локализации инцидента и восстановления полного административного контроля над инфраструктурой, Microsoft Incident Response сотрудничает с клиентом, чтобы предотвратить будущие кибератаки.

Атаки автоматизированных программ-вымогателей

Атаки программ-шантажистов по сырьевым товарам часто автоматизированы . Эти кибератаки могут распространяться как вирус, заражать устройства с помощью таких методов, как фишинг электронной почты и доставка вредоносных программ, и требовать исправления вредоносных программ.

Поэтому вы можете защитить систему электронной почты с помощью Microsoft Defender для Office 365, которая защищает от вредоносных программ и фишинговой доставки. Microsoft Defender для конечной точки работает вместе с Defender для Office 365 для автоматического обнаружения и блокировки подозрительных действий на устройствах, а #REF! обнаруживает вредоносные программы и фишинговые попытки early.

Атаки вымогательского ПО, управляемого человеком

Программа-вымогатель, управляемая человеком, является результатом активной атаки злоумышленников, которые проникают в локальную или облачную ИТ-инфраструктуру организации, повышают свои привилегии и развертывают программу-вымогатель для атак на критически важные данные.

Эти атаки с непосредственным вмешательством обычно направлены на организации, а не на одно устройство.

Управление человеком также означает, что существует человеческий субъект угрозы, который использует свои аналитические сведения о распространенных сбоях систем и конфигурациях безопасности. Они стремятся проникнуть в организацию, ориентироваться в сети и адаптироваться к окружающей среде и ее слабостям.

Отличительные признаки этих атак программ-вымогателей, управляемых человеком, обычно включают кражу учетных данных и латеральное перемещение с повышением привилегий в украденных учетных записях.

Действия могут происходить во время периодов обслуживания и связаны с пробелами в конфигурации безопасности, обнаруженными киберкриминальными. Цель заключается в развертывании вредоносного ПО в любые ресурсы с высоким влиянием на бизнес, которые выбирают злоумышленники.

Внимание

Эти атаки могут быть катастрофическими для бизнес-операций и трудно устранить, что требует полного вытеснения злоумышленника, чтобы защитить от будущих атак. В отличие от массовых программ-вымогателей, которые обычно требуют устранения вредоносного ПО, человеком управляемые программы-вымогатели будут продолжать угрожать вашим бизнес-операциям после первоначальной встречи.

Подсказка

Стратегии защиты #REF! и собственные возможности защиты от программ-шантажистов в облачных средах см. в разделе Ransomware protection in #REF!.

Влияние и вероятность того, что атаки программ-шантажистов, управляемых человеком, будут продолжаться

Защита от программ-шантажистов для вашей организации

Во-первых, предотвращение фишинга и доставки вредоносных программ с помощью Microsoft Defender для Office 365 для защиты от вредоносных программ и фишинговой доставки, Microsoft Defender для конечной точки для автоматического обнаружения и блокировки подозрительных действий на устройствах и #REF! для обнаружения вредоносных программ и фишинговых попыток early.

Для комплексного понимания программ-вымогателей и вымогательства, а также методов защиты вашей организации, используйте сведения в презентации производного от человека плана проекта по смягчению последствий программ-вымогателей #REF!.

Следуйте подходу Microsoft Incident Response к предотвращению и смягчению последствий вымогательского ПО.

  1. Оцените ситуацию, проанализировав подозрительное действие, которое предупредило вашу команду об атаке.

  2. Какое время и дата вы впервые узнали об инциденте? Какие журналы доступны и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?

  3. Определите затронутые приложения для бизнес-операций и восстановите работу всех пострадавших систем. Требует ли затронутое приложение удостоверение личности, которое могло быть скомпрометировано?

  4. Доступны ли резервные копии приложения, конфигурации и данных, которые регулярно проверяются с помощью упражнения восстановления?

  5. Определите процесс восстановления после компрометации, чтобы удалить злоумышленника из среды.

Вот сводка рекомендуемых мер по плану проекта компании Microsoft по смягчению последствий действий вымогательского ПО:

Сводка рекомендаций в плане проекта по устранению рисков программ-шантажистов, управляемых человеком

  • Риск атак с использованием вымогательских программ и на основе шантажа высок.
  • Однако атаки имеют слабые места, которые могут снизить вероятность того, что вас атакуют.
  • Существует три шага по настройке инфраструктуры для использования слабых мест атак.

Три шага по использованию уязвимостей атак см. в статье "Защита организации от программ-шантажистов и вымогательство ", чтобы быстро настроить ИТ-инфраструктуру для оптимальной защиты:

  1. Подготовьте организацию к восстановлению после атаки без необходимости платить выкуп.
  2. Минимизировать ущерб от атаки программ-вымогателей за счет защиты привилегированных ролей.
  3. Усложните доступ к среде субъекту угроз путем постепенного удаления рисков.

Три действия для защиты от программ-шантажистов и вымогательства

Скачайте плакат "Защита организации от программ-шантажистов" для обзора трех этапов защиты от атак программ-шантажистов.

Плакат "Защитите свою организацию от программ-шантажистов"

Дополнительные ресурсы защиты от программ-шантажистов

Основная информация от корпорации Майкрософт:

#REF!:

  • Поиск вымогательского ПО с помощью расширенного поиска

Microsoft Defender for Cloud Apps:

  • Создание политик обнаружения аномалий в Defender для облачных приложений

Microsoft Azure:

#REF! для безопасности:

Ключевые стратегии OpenAI по противодействию программам-вымогателям, изложенные самими словами ChatGPT, включают:

  1. Курирование данных для обучения
  2. Уровни безопасности и фильтры
  3. Эмпирическое тестирование и проверка методом «красной команды»
  4. Непрерывный мониторинг
  5. Исследования по выравниванию и безопасности
  6. Отчеты и отзывы сообщества
  7. Партнерские отношения и политики

Дополнительные сведения см. в официальной документации OpenAI по их подходу к обеспечению безопасности и неправильному использованию искусственного интеллекта.

Ресурсы Microsoft для защиты от вымогательских программ:

Смотрите последние статьи о вымогательском ПО в блоге Microsoft по безопасности.

  • Рассмотрение недавних угроз вымогательского ПО (июнь 2024 г.)