Что такое программа-шантажист?

На практике атака программы-шантажистов блокирует доступ к вашим данным до выплаты выкупа.

На самом деле программа-шантажист — это тип вредоносных программ или фишинговая атака кибербезопасности, которая уничтожает или шифрует файлы и папки на компьютере, сервере или устройстве.

После блокировки или шифрования устройств злоумышленники могут вымогать деньги от владельца бизнеса или устройства в обмен на ключ для разблокировки зашифрованных данных. Но даже при оплате киберкриминалы никогда не могут дать ключ владельцу бизнеса или устройств и остановить доступ навсегда.

Как работают атаки программ-шантажистов?

Программы-шантажисты могут быть автоматизированы или включать человеческие руки на клавиатуру — атаку, управляемую человеком, например, в недавних атаках с помощью программы-шантажистов LockBit.

Атаки программ-шантажистов, управляемых человеком, включают следующие этапы:

1. Первоначальный компромисс - субъект угроз впервые получает доступ к системе или среде после периода разведывательной разведки для выявления слабых мест в обороне.

2. Сохраняемость и уклонение от обороны . Субъект угроз устанавливает колонтитул в системе или среде с помощью внутреннего или другого механизма, который работает в скрытии, чтобы избежать обнаружения группами реагирования на инциденты.

3. Боковое перемещение — субъект угроз использует начальную точку входа для миграции в другие системы, подключенные к скомпрометированному устройству или сетевой среде.

4. Доступ к учетным данным . Субъект угроз использует поддельную страницу входа для сбора учетных данных пользователя или системы.

5. Кража данных — субъект угроз украл финансовые или другие данные от скомпрометированных пользователей или систем.

6. Влияние — затронутый пользователь или организация могут понести материальный или репутационный ущерб.

Распространенные вредоносные программы, используемые в кампаниях по программе-шантажистов

• Qakbot — использует фишинг для распространения вредоносных ссылок, вредоносных вложений и удаления вредоносных полезных данных, таких как Cobalt Strike Beacon

• Ryuk — шифрование данных обычно предназначено для Windows

• Trickbot — предназначено для приложений Майкрософт, таких как Excel и Word. Trickbot обычно поставляется с помощью кампаний электронной почты, которые использовали текущие события или финансовые приманки пользователей, чтобы открыть вредоносные вложения файлов или щелкнуть ссылки на веб-сайты, на которые размещаются вредоносные файлы. С 2022 года корпорация Майкрософт по устранению рисков, использующих эту вредоносную программу, по-видимому, нарушила свою полезность.

Распространенные субъекты угроз, связанные с кампаниями по программ-шантажистов

• LockBit — финансовая мотивированная кампания по программе-шантажистам как услуга (RaaS) и наиболее плодовитый субъект угроз-шантажистов в период времени 2023-24
• Black Basta — получает доступ через фишинговые письма и использует PowerShell для запуска полезных данных шифрования.

Атаки автоматических программ-шантажистов

Атаки программ-шантажистов по сырьевым товарам часто автоматизированы . Эти кибератаки могут распространяться как вирус, заражать устройства с помощью таких методов, как фишинг электронной почты и доставка вредоносных программ, и требовать исправления вредоносных программ.

Таким образом, вы можете защитить вашу электронную систему с помощью Microsoft Defender для Office 365, которая защищает от вредоносных программ и фишинговой доставки. Microsoft Defender для конечной точки работает вместе с Defender для Office 365 для автоматического обнаружения и блокировки подозрительных действий на устройствах, а XDR в Microsoft Defender обнаруживает вредоносные программы и фишинговые попытки.

Атаки программ-шантажистов, управляемых человеком

Программ-шантажистов , управляемых человеком, является результатом активной атаки злоумышленниками, которые проникают в локальную или облачную ИТ-инфраструктуру организации, повышают свои привилегии и развертывают программ-шантажистов в критически важных данных.

Эти "практические" атаки обычно предназначены для организаций, а не одного устройства.

Управление человеком также означает, что существует субъект человеческой угрозы, используя свои аналитические сведения о распространенных системах и неправильной настройке безопасности. Они стремятся ввести организацию, перейти к сети и адаптироваться к окружающей среде и ее слабостям.

Знаки этих атак программ-шантажистов, управляемых человеком, обычно включают кражу учетных данных и боковое перемещение с повышением привилегий в украденных учетных записях.

Действия могут происходить во время периодов обслуживания и связаны с пробелами в конфигурации безопасности, обнаруженными киберкриминальными. Цель заключается в развертывании полезных данных программы-шантажистов независимо от того, какие ресурсы большого влияния на бизнес выбирают субъекты угроз.

Влияние и вероятность того, что атаки программ-шантажистов, управляемых человеком, будут продолжаться

Защита от программ-шантажистов для вашей организации

Во-первых, предотвращение фишинга и доставки вредоносных программ с помощью Microsoft Defender для Office 365 для защиты от вредоносных программ и фишинговой доставки, Microsoft Defender для конечной точки для автоматического обнаружения и блокировки подозрительных действий на ваших устройствах и XDR в Microsoft Defender для обнаружения вредоносных программ и фишинговых попыток ранних попыток.

Чтобы получить исчерпывающее представление об атаках с использованием программ-шантажистов и вымогательстве, и о том, как защитить свою организацию, ознакомьтесь с презентацией PowerPoint План проекта по устранению рисков использования программ-шантажистов, управляемых человеком.

Вот сводка инструкций:

Сводка рекомендаций в плане проекта по устранению рисков программ-шантажистов, управляемых человеком

• Ставки при использовании программ-шантажистов и вымогательстве высоки.
• Однако атаки имеют слабые места, которые могут снизить вероятность атаки.
• Существует три шага по настройке инфраструктуры для использования слабых мест атак.

Три шага по использованию уязвимостей атак см. в статье "Защита организации от программ-шантажистов и вымогательство ", чтобы быстро настроить ИТ-инфраструктуру для оптимальной защиты:

1. Подготовьте организацию к восстановлению после атаки без необходимости платить выкуп.
2. Ограничить область повреждения атаки программы-шантажистов путем защиты привилегированных ролей.
3. Усложните доступ к среде субъекту угроз путем постепенного удаления рисков.

Скачайте плакат "Защита организации от программ-шантажистов" для обзора трех этапов защиты от атак программ-шантажистов.

Дополнительные ресурсы защиты от программ-шантажистов

Основная информация от корпорации Майкрософт:

• Последние тенденции программ-шантажистов от Корпорации Майкрософт, последний блог по программ-шантажистов Майкрософт
• Быстрая защита от программ-шантажистов и вымогательства
• 2023 Отчет о цифровой защите Microsoft
• Программ-шантажистов: постоянный и постоянный отчет аналитики угроз на портале Microsoft Defender
• Подход к программе-шантажистов Microsoft Incident Response (ранее DART) и рекомендации и примеры

Microsoft 365:

• Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• Восстановление после атаки с использованием программ-шантажистов
• Защита от вредоносных программ и программ-шантажистов
• Защита компьютера Windows 10 от программ-шантажистов
• Противодействие программам-шантажистам в SharePoint Online
• Отчеты аналитики угроз для программ-шантажистов на портале XDR в Microsoft Defender

XDR в Microsoft Defender:

• Поиск программ-шантажистов с помощью расширенной охоты

приложения Microsoft Defender для облака:

• Создание политик обнаружения аномалий в приложениях Defender для облака

Microsoft Azure:

• Защита Azure от атак программ-шантажистов
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• План резервного копирования и восстановления для защиты от программ-шантажистов
• Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
• Восстановление от системного компрометации удостоверений
• Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
• Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel

Microsoft Copilot для безопасности:

• Защита от атак программ-шантажистов с помощью Microsoft Copilot для безопасности
• Использование ИИ для создания сложных программ-шантажистов, которые могут избежать традиционных механизмов обнаружения.

OpenAI использует несколько надежных мер для защиты от создания вредного содержимого, например программ-шантажистов и других вредоносных кодов, с помощью моделей GPT. Ключевые стратегии, в собственных словах ChatGPT, включают:

1. Проверка данных обучения

2. Уровни безопасности и фильтры

3. Эмпирическое тестирование и red-teaming

4. Непрерывный мониторинг

5. Исследование выравнивания и безопасности

6. Отчеты сообщества и отзывы:

7. Партнерские отношения и политики

Дополнительные сведения см. в официальной документации OpenAI по их подходу к обеспечению безопасности и неправильному использованию искусственного интеллекта.

Ресурсы по устранению рисков программ-шантажистов Майкрософт:

См. последний список статей по программ-шантажистов в блоге майкрософт по безопасности.

• Защита организации от программ-шантажистов (май 2024 г.)

• Автоматическое нарушение атак, управляемых человеком, путем хранения скомпрометированных учетных записей пользователей (октябрь 2023 г.)

• Программ-шантажистов как услуга: понимание экономики киберкримии и способы защиты себя (май 2022 г.)

  Ключевые шаги по изучению того, как группа реагирования на инциденты Майкрософт (ранее DART/CRSP) проводит расследования инцидентов программ-шантажистов.

• Определение процесса восстановления атак-шантажистов (май 2024 г.)

  Рекомендации и советы

• Навигация по недавним угрозам программы-шантажистов (июнь 2024 г.)