В по-ранни дни, ако някой трябва да отнеме компютъра ви, обикновено е било възможно, като завладее компютъра ви или чрез физическо присъствие или чрез отдалечен достъп. Докато светът върви напред с автоматизацията, компютърната сигурност се затяга, едно нещо, което не се е променило, са човешките грешки. Ето къде се появяват управляваните от човека Ransomware атаки^{(Human-operated Ransomware Attacks)} . Това са ръчно изработени атаки, които намират уязвимост или неправилно конфигурирана защита на компютъра и получават достъп. Microsoft излезе с изчерпателен казус, който заключава, че ИТ администраторът може да смекчи значително тези управлявани от хора Ransomware атаки^{(Ransomware attacks)} .

Смекчаване на управлявани от човека атаки на Ransomware^{(Human-operated Ransomware Attacks)}

Според Microsoft , най-добрият начин за смекчаване на тези видове откуп и ръчно изработени кампании е да се блокира цялата ненужна комуникация между крайните точки. Също толкова важно е да се следват най-добрите практики за хигиена на идентификационните данни като многофакторна автентификация^{(Multi-Factor Authentication)} , наблюдение на опитите за груба сила, инсталиране на най-новите актуализации на защитата и др. Ето пълния списък на защитните мерки, които трябва да се предприемат:

• Не забравяйте да приложите препоръчаните от Microsoft настройки за конфигурация,^{(recommended configuration settings)} за да защитите компютрите, свързани към интернет.
• Defender ATP предлага управление на заплахи и уязвимости^{(threat and vulnerability management)} . Можете да го използвате за редовен одит на машини за уязвимости, неправилни конфигурации и подозрителна дейност.
• Използвайте MFA шлюз^{(MFA gateway)} , като многофакторно удостоверяване на Azure^{(Azure Multi-Factor Authentication)} ( MFA ) или активирайте удостоверяване на мрежово ниво ( NLA ).
• Предложете най-малко привилегии на акаунти^{(least-privilege to accounts)} и разрешете достъп само когато е необходимо. Всеки акаунт с достъп на ниво администратор в целия домейн трябва да е минимум или нула.
• Инструменти като Local Administrator Password Solution ( LAPS ) могат да конфигурират уникални произволни пароли за администраторски акаунти. Можете да ги съхранявате в Active Directory (AD) и да ги защитавате с помощта на ACL .
• Следете за опити за груба сила. Трябва да се тревожите, особено ако има много неуспешни опити за удостоверяване. ^{(failed authentication attempts. )}Филтрирайте^(Filter) , като използвате идентификатор на събитие 4625^{(ID 4625)} , за да намерите такива записи.
• Нападателите обикновено изчистват регистрационните файлове за събития за сигурност и оперативния регистър на PowerShell, за^{(Security Event logs and PowerShell Operational log)} да премахнат всичките си отпечатъци. Microsoft Defender ATP генерира идентификатор на събитие 1102^{(Event ID 1102)} , когато това се случи.
• Включете функциите за защита^{(Tamper protection)(Tamper protection)} от подправяне , за да предотвратите нападателите да изключат функциите за сигурност.
• Проучете^{(Investigate)} събитие с идентификатор 4624^{(ID 4624)} , за да откриете къде влизат акаунти с високи привилегии. Ако попаднат в мрежа или компютър, който е компрометиран, това може да бъде по-значителна заплаха.
• Включете защитата, доставяна в облак,^{(Turn on cloud-delivered protection)} и автоматичното изпращане на проби в Windows Defender Antivirus . Той ви предпазва от неизвестни заплахи.
• Включете правилата за намаляване на повърхността на атака. Заедно с това активирайте правила, които блокират кражба на идентификационни данни, активност за рансъмуер и подозрително използване на PsExec и WMI .
• Включете  AMSI за Office VBA  , ако имате Office 365.
• Предотвратете RPC^{(Prevent RPC)} и SMB комуникацията между крайните точки, когато е възможно.

Прочетете^(Read) : Защита от Ransomware в Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft представи казус на Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama се доставя с помощта на груба сила в сървъри, които имат отдалечен работен плот^{(Remote Desktop)} . Те обикновено откриват непокрити системи и използват разкрити уязвимости, за да получат първоначален достъп или да повишат привилегиите.
• Doppelpaymer се разпространява ръчно чрез компрометирани мрежи, използвайки откраднати идентификационни данни за привилегировани акаунти. Ето защо е важно да следвате препоръчителните настройки за конфигурация за всички компютри.
• Ryuk разпределя полезен товар по имейл ( Trickboat ), като подмамва крайния потребител за нещо друго. Наскоро хакери използваха уплахата от коронавирус, за да измамят крайния потребител. Един от тях също успя да достави полезния товар на Emotet .

Общото за всеки от тях^{(common thing about each of them)} е, че са изградени въз основа на ситуации. Изглежда, че изпълняват тактика на горила, при която се движат от една машина на друга машина, за да доставят полезния товар. Важно е ИТ администраторите не само да следят текущата атака, дори ако тя е в малък мащаб, и да обучават служителите как могат да помогнат за защитата на мрежата.

Надявам се, че всички ИТ администратори могат да следват предложението и да се погрижат да смекчат атаките на Ransomware , управлявани от хора .

Свързано четене^{(Related read)} : Какво да направите след Ransomware атака на вашия компютър с Windows?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack уour computer, іt was usually possible by getting hold оf your сomрuter either by physically being there or usіng remote access. Whilе the world has moνed ahead with automatіon, computer secυrity has tightened, one thing that hasn’t changed is human mistakеs.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware атаки, определение, примери, защита, премахване

• Безплатен анти-рансъмуер софтуер за компютри с Windows

• Създайте правила за имейл, за да предотвратите Ransomware в Microsoft 365 Business

• Активирайте и конфигурирайте защитата от Ransomware в Windows Defender

• Защита от рансъмуер в Windows 11/10

• Какво да направите след Ransomware атака на вашия компютър с Windows?

• Кибер атаки – определение, видове, превенция

• Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване

• Списък с безплатни инструменти за декриптиране на Ransomware за отключване на файлове

• Безфайлови злонамерени атаки, защита и откриване

• DDoS разпределени атаки за отказ на услуга: защита, превенция

• McAfee Ransomware Recover (Mr2) може да помогне при декриптирането на файлове

• Атаки с груба сила - определение и превенция

• Какво представлява отказ на услуга от откуп (RDoS)? Профилактика и предпазни мерки

• CyberGhost Immunizer ще помогне за предотвратяване на атаки на ransomware

• Ръководството за отговор на Ransomware показва как да се справите със злонамерения софтуер

• Как да избегнем фишинг измами и атаки?

• Как да се предпазим и предотвратим атаки и инфекции на Ransomware

• Трябва ли да докладвам за Ransomware? Къде да докладвам за Ransomware?