什麼是勒索軟體?
實際上, 勒索軟體攻擊 會封鎖對數據的存取,直到支付贖金為止。
事實上,勒索軟體是一種惡意代碼或網路釣魚網路安全攻擊,可摧毀或加密計算機、伺服器或裝置上的檔案和資料夾。
一旦裝置或檔案遭到鎖定或加密,網路犯罪分子就可以從企業或裝置擁有者勒索資金,以換取 密鑰 來解除鎖定加密的數據。 但是,即使付費,網路犯罪分子可能永遠不會為企業或裝置擁有者提供關鍵,並永久停止存取。
Microsoft 安全 Copilot 利用 AI 來協助減緩勒索軟體攻擊。 如需更多 Microsoft 的勒索軟體解決方案,請瀏覽我們的 勒索軟體解決方案資料庫。
勒索軟體攻擊如何運作?
勒索軟體可以是自動化的,也可能由人工控制進行的攻擊,例如最近使用LockBit勒索軟體的攻擊。
人為操作的勒索軟體攻擊涉及下列階段:
初始入侵 - 威脅執行者在一段時間後先取得系統或環境的存取權,以找出防禦的弱點。
持續性和防禦逃避 - 威脅執行者會使用後門或其他在隱形中運作的機制,在系統或環境中建立立足點,以避免事件回應小組偵測。
橫向移動 - 威脅執行者會使用初始進入點,移轉至連線到遭入侵裝置或網路環境的其他系統。
認證存取 - 威脅執行者會使用假的登入頁面來收穫使用者或系統認證。
數據竊取 - 威脅執行者會從遭入侵的使用者或系統竊取財務或其他數據。
影響 - 受影響的使用者或組織可能會遭受重大或信譽損害。
勒索軟體活動中使用的常見惡意代碼
Qakbot – 使用網路釣魚來散佈惡意連結、惡意附件,以及釋放例如 Cobalt Strike Beacon 等惡意負載
Ryuk – 資料加密器通常以 Windows 為目標
Trickbot – 已將目標設為 Excel 和 Word 等Microsoft應用程式。 Trickbot 通常會透過電子郵件活動傳遞,這些活動利用時事或財務誘因引誘用戶開啟惡意檔案附件,或點擊裝載惡意檔案的網站連結。 自 2022 年以來,Microsoft 針對使用此惡意軟體的行動採取的緩解措施似乎已影響其效用。
與勒索軟體活動相關聯的普遍威脅執行者
- LockBit – 在 2023 到 2024 年期間,具有財務動機的勒索軟體即服務(RaaS)活動和最多產的勒索軟體威脅行為者
- Black Basta – 透過魚叉式網路釣魚電子郵件取得存取權,並使用 PowerShell 執行加密程序載荷
- Storm-1674 (DarkGate 和 ZLoader) - Storm-1674 是一個存取代理程式,以散發 DarkGate、SectopRAT 和 Zloader 而聞名,並移交對 Storm-0506 和 Sangria Tempest 等威脅動作專案的存取權。
同時,Storm-1811 是一個以社交工程攻擊聞名的威脅行為者,進而使用 Qakbot 和其他惡意軟體來部署 BlackBasta。 10月下旬至11月初,觀察到Storm-1811向目標電子郵件位址大量發送垃圾郵件(電子郵件爆炸攻擊),然後偽裝成技術支持人員提議協助解決垃圾郵件問題。 在這次新活動中,觀察到 Storm-1811 部署了一個名為 ReedBed 的新惡意軟體加載器。
Microsoft Defender 數據顯示,2024 年第四季度最常見的勒索軟體變異是 Akira、FOG、Qilin、Lynx 和上述 RansomHub 和 BlackBasta。 這段時期還看到了新的勒索軟體變體 SafePay 和 Hellcat。 2025年3月,齊林勒索軟體通過威脅行為者Moonstone Sleet重新出現。
Microsoft如何協助進行中的勒索軟體攻擊
為了協助緩解進行中的勒索軟體攻擊,Microsoft事件回應可以利用並部署 適用於身分識別的 Microsoft Defender — 雲端式安全性解決方案,可協助偵測和回應身分識別相關威脅。 早期將身分識別監視帶入事件回應支援受影響的組織安全性作業小組,以重新取得控制權。 Microsoft事件回應會使用適用於身分識別的 Defender 來協助識別事件範圍和受影響的帳戶、保護重要基礎結構,以及收回威脅執行者。 回應小組接著引進 適用於端點的 Microsoft Defender 來追蹤威脅執行者的動作,並中斷其使用遭入侵帳戶重新進入環境的嘗試。 在控制住事件並重新取得對環境的完整系統管理控制權後,Microsoft 事件回應會與客戶共同合作,以協助防止未來的網路攻擊。
自動化勒索軟體攻擊
商品勒索軟體攻擊 通常是自動化的。 這些網路攻擊可能像病毒一樣散佈、透過電子郵件網路釣魚和傳遞惡意程式碼等方法來感染裝置,而且需要惡意程式碼補救。
因此,您可以使用適用於 Office 365 的 Microsoft Defender,來保護您的電子郵件系統,防範惡意代碼和網路釣魚傳遞。 Microsoft Defender for Endpoint 與 Defender for Office 365 一同運作,自動偵測及封鎖您設備上的可疑活動,而 Microsoft Defender XDR 能夠在早期階段偵測到惡意軟體和網路釣魚企圖。
人為操作的勒索軟體攻擊
人為操作的勒索軟體是網路犯罪分子主動攻擊的結果,該網路犯罪分子滲透到組織的內部部署或雲端IT基礎結構、提高其許可權,並將勒索軟體部署到重要數據。
這些「實際操作鍵盤」攻擊通常以組織為目標,而不是單一裝置。
人為操作 也意味著有一個人類威脅攻擊者利用他們對於常見系統和安全性錯誤配置的見解。 他們的目標是滲透組織、瀏覽網路,並適應環境及其弱點。
這些人為操作勒索軟體攻擊的特色通常包括認證竊取和橫向移動,並提升遭竊帳戶中的權限。
活動可能會在維護期間進行,並涉及網路罪犯所發現的安全性設定鴻溝。 目標是 將勒索軟體承載 部署到威脅執行者選擇的任何 高業務影響資源 。
重要
這些攻擊對商務營運可能會造成 摧毀性打擊,而且難以清除,需要完全驅逐對手,才能防範未來的攻擊。 不同於通常只需要惡意代碼補救的商品勒索軟體, 人為操作的勒索軟體會在初次遇到之後繼續威脅您的商務作業。
組織的勒索軟體防護
首先,使用適用於 Office 365 的 Microsoft Defender 來防止網路釣魚和惡意程式的傳遞,適用於端點的 Microsoft Defender 自動偵測和封鎖裝置上的可疑活動,及Microsoft Defender XDR 以早期偵測惡意程式和網路釣魚的嘗試。
如需勒索軟體和敲詐與如何保護組織的完整檢視,請使用人類操作勒索軟體風險降低專案方案 PowerPoint 簡報中的資訊。
遵循Microsoft事件回應的勒索軟體防護和風險降低方法。
分析讓您團隊警覺到攻擊的可疑活動,以評估情況。
您第一次瞭解事件的時間/日期為何? 有哪些日誌可供查看,並且是否有任何跡象顯示行為者目前正在存取系統?
識別受影響的企業營運 (LOB) 應用程式,並讓任何受影響的系統重新上線。 受影響的應用程式是否需要可能遭到入侵的身分識別?
應用程式、組態和數據備份是否可用,並使用還原練習定期驗證?
判斷妥協恢復(CR)流程,以便從環境中移除威脅行為者。
以下是Microsoft人操作勒索軟體風險降低項目計劃指引的摘要:
- 勒索軟體和敲詐型攻擊的風險很高。
- 不過,攻擊有弱點,可減少遭受攻擊的可能性。
- 設定基礎結構以利用攻擊弱點有三個步驟。
如需利用攻擊弱點的三個步驟,請參閱 保護貴組織抵禦勒索軟體和敲詐 解決方案,以 快速 設定IT基礎結構以獲得最佳保護:
- 為您的組織做好準備,以便在遭受攻擊後能夠復原,而無需支付贖金。
- 藉由保護特殊權限角色來限制勒索軟體攻擊的破壞範圍。
- 藉由累加移除風險,讓威脅執行者更難存取您的環境。
下載名為 「保護貴組織免受勒索軟體侵害」的海報,以了解三個階段作為應對勒索軟體攻擊的防護層級。
其他勒索軟體防護資源
來自Microsoft的重要資訊:
Microsoft的最新勒索軟體趨勢,Microsoft最新的勒索軟體部落格
2024 Microsoft 數位防禦報告 Microsoft 365:
Microsoft Defender XDR 全面偵測回應:
適用於雲端的 Microsoft Defender 應用程式:
Microsoft Azure:
Microsoft Copilot for Security:
根據 ChatGPT 的說法,主要的 OpenAI 金鑰勒索軟體緩解策略包括:
訓練數據策展
安全層和篩選器
經驗測試和紅隊演練
連續監視
對齊和安全性研究
社群報告和意見反應
合作關係和原則
如需詳細資訊,請參閱 OpenAI 的官方文件,瞭解其 AI 安全性和誤用風險降低的方法。
Microsoft安全性勒索軟體風險降低資源:
請參閱Microsoft安全性部落格中最新的勒索軟體文章清單。