Microsoft hôm thứ Tư cho biết tính năng ngăn chặn người dùng trong Microsoft Defender dành cho Endpoint đã giúp ngăn chặn “nỗ lực mã hóa từ xa quy mô lớn” do các tác nhân ransomware Akira thực hiện nhắm vào một tổ chức công nghiệp không xác định vào đầu tháng 6 năm 2023.
Nhóm tình báo mối đe dọa của gã khổng lồ công nghệ đang theo dõi nhà điều hành với tên gọi Storm-1567.
Cuộc tấn công lợi dụng các thiết bị chưa được tích hợp vào Microsoft Defender cho Endpoint như một chiến thuật trốn tránh phòng thủ, đồng thời tiến hành một loạt hoạt động trinh sát và di chuyển ngang trước khi mã hóa các thiết bị bằng tài khoản người dùng bị xâm nhập.
Nhưng khả năng gián đoạn tấn công tự động mới có nghĩa là các tài khoản bị vi phạm bị ngăn “truy cập vào điểm cuối và các tài nguyên khác trong mạng, hạn chế khả năng di chuyển ngang của kẻ tấn công bất kể trạng thái Active Directory hoặc cấp đặc quyền của tài khoản”.
Nói cách khác, ý tưởng là cắt đứt mọi liên lạc trong và ngoài nước, đồng thời cấm các cuộc tấn công do con người thực hiện truy cập vào các thiết bị khác trong mạng.
Redmond cũng cho biết nền tảng bảo mật điểm cuối doanh nghiệp của họ đã làm gián đoạn các nỗ lực chống lại một phòng thí nghiệm nghiên cứu y tế vào tháng 8 năm 2023, trong đó đối thủ đặt lại mật khẩu cho tài khoản quản trị viên miền mặc định cho các hành động tiếp theo.
Microsoft cho biết : “Tài khoản người dùng có đặc quyền cao được cho là tài sản quan trọng nhất đối với những kẻ tấn công” . "Các tài khoản cấp quản trị viên miền bị xâm phạm trong môi trường sử dụng các giải pháp truyền thống sẽ cung cấp cho kẻ tấn công quyền truy cập vào Active Directory và có thể phá hoại các cơ chế bảo mật truyền thống."
"Do đó, việc xác định và quản lý các tài khoản người dùng bị xâm nhập này sẽ ngăn chặn các cuộc tấn công tiến triển, ngay cả khi những kẻ tấn công có được quyền truy cập ban đầu."