Как да смекчим управляваните от човека атаки на Ransomware: Инфографика
В по-ранни дни, ако някой трябва да отнеме компютъра ви, обикновено е било възможно, като завладее компютъра ви или чрез физическо присъствие или чрез отдалечен достъп. Докато светът върви напред с автоматизацията, компютърната сигурност се затяга, едно нещо, което не се е променило, са човешките грешки. Ето къде се появяват управляваните от човека Ransomware атаки(Human-operated Ransomware Attacks) . Това са ръчно изработени атаки, които намират уязвимост или неправилно конфигурирана защита на компютъра и получават достъп. Microsoft излезе с изчерпателен казус, който заключава, че ИТ администраторът може да смекчи значително тези управлявани от хора Ransomware атаки(Ransomware attacks) .
Смекчаване на управлявани от човека атаки на Ransomware(Human-operated Ransomware Attacks)
Според Microsoft , най-добрият начин за смекчаване на тези видове откуп и ръчно изработени кампании е да се блокира цялата ненужна комуникация между крайните точки. Също толкова важно е да се следват най-добрите практики за хигиена на идентификационните данни като многофакторна автентификация(Multi-Factor Authentication) , наблюдение на опитите за груба сила, инсталиране на най-новите актуализации на защитата и др. Ето пълния списък на защитните мерки, които трябва да се предприемат:
- Не забравяйте да приложите препоръчаните от Microsoft настройки за конфигурация,(recommended configuration settings) за да защитите компютрите, свързани към интернет.
- Defender ATP предлага управление на заплахи и уязвимости(threat and vulnerability management) . Можете да го използвате за редовен одит на машини за уязвимости, неправилни конфигурации и подозрителна дейност.
- Използвайте MFA шлюз(MFA gateway) , като многофакторно удостоверяване на Azure(Azure Multi-Factor Authentication) ( MFA ) или активирайте удостоверяване на мрежово ниво ( NLA ).
- Предложете най-малко привилегии на акаунти(least-privilege to accounts) и разрешете достъп само когато е необходимо. Всеки акаунт с достъп на ниво администратор в целия домейн трябва да е минимум или нула.
- Инструменти като Local Administrator Password Solution ( LAPS ) могат да конфигурират уникални произволни пароли за администраторски акаунти. Можете да ги съхранявате в Active Directory (AD) и да ги защитавате с помощта на ACL .
- Следете за опити за груба сила. Трябва да се тревожите, особено ако има много неуспешни опити за удостоверяване. (failed authentication attempts. )Филтрирайте(Filter) , като използвате идентификатор на събитие 4625(ID 4625) , за да намерите такива записи.
- Нападателите обикновено изчистват регистрационните файлове за събития за сигурност и оперативния регистър на PowerShell, за(Security Event logs and PowerShell Operational log) да премахнат всичките си отпечатъци. Microsoft Defender ATP генерира идентификатор на събитие 1102(Event ID 1102) , когато това се случи.
- Включете функциите за защита(Tamper protection)(Tamper protection) от подправяне , за да предотвратите нападателите да изключат функциите за сигурност.
- Проучете(Investigate) събитие с идентификатор 4624(ID 4624) , за да откриете къде влизат акаунти с високи привилегии. Ако попаднат в мрежа или компютър, който е компрометиран, това може да бъде по-значителна заплаха.
- Включете защитата, доставяна в облак,(Turn on cloud-delivered protection) и автоматичното изпращане на проби в Windows Defender Antivirus . Той ви предпазва от неизвестни заплахи.
- Включете правилата за намаляване на повърхността на атака. Заедно с това активирайте правила, които блокират кражба на идентификационни данни, активност за рансъмуер и подозрително използване на PsExec и WMI .
- Включете AMSI за Office VBA , ако имате Office 365.
- Предотвратете RPC(Prevent RPC) и SMB комуникацията между крайните точки, когато е възможно.
Прочетете(Read) : Защита от Ransomware в Windows 10(Ransomware protection in Windows 10) .
Microsoft представи казус на Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Wadhrama се доставя с помощта на груба сила в сървъри, които имат отдалечен работен плот(Remote Desktop) . Те обикновено откриват непокрити системи и използват разкрити уязвимости, за да получат първоначален достъп или да повишат привилегиите.
- Doppelpaymer се разпространява ръчно чрез компрометирани мрежи, използвайки откраднати идентификационни данни за привилегировани акаунти. Ето защо е важно да следвате препоръчителните настройки за конфигурация за всички компютри.
- Ryuk разпределя полезен товар по имейл ( Trickboat ), като подмамва крайния потребител за нещо друго. Наскоро хакери използваха уплахата от коронавирус, за да измамят крайния потребител. Един от тях също успя да достави полезния товар на Emotet .
Общото за всеки от тях(common thing about each of them) е, че са изградени въз основа на ситуации. Изглежда, че изпълняват тактика на горила, при която се движат от една машина на друга машина, за да доставят полезния товар. Важно е ИТ администраторите не само да следят текущата атака, дори ако тя е в малък мащаб, и да обучават служителите как могат да помогнат за защитата на мрежата.
Надявам се, че всички ИТ администратори могат да следват предложението и да се погрижат да смекчат атаките на Ransomware , управлявани от хора .
Свързано четене(Related read) : Какво да направите след Ransomware атака на вашия компютър с Windows?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware атаки, определение, примери, защита, премахване
Безплатен анти-рансъмуер софтуер за компютри с Windows
Създайте правила за имейл, за да предотвратите Ransomware в Microsoft 365 Business
Активирайте и конфигурирайте защитата от Ransomware в Windows Defender
Защита от рансъмуер в Windows 11/10
Какво да направите след Ransomware атака на вашия компютър с Windows?
Кибер атаки – определение, видове, превенция
Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване
Списък с безплатни инструменти за декриптиране на Ransomware за отключване на файлове
Безфайлови злонамерени атаки, защита и откриване
DDoS разпределени атаки за отказ на услуга: защита, превенция
McAfee Ransomware Recover (Mr2) може да помогне при декриптирането на файлове
Атаки с груба сила - определение и превенция
Какво представлява отказ на услуга от откуп (RDoS)? Профилактика и предпазни мерки
CyberGhost Immunizer ще помогне за предотвратяване на атаки на ransomware
Ръководството за отговор на Ransomware показва как да се справите със злонамерения софтуер
Как да избегнем фишинг измами и атаки?
Как да се предпазим и предотвратим атаки и инфекции на Ransomware
Трябва ли да докладвам за Ransomware? Къде да докладвам за Ransomware?