Jak łagodzić ataki ransomware obsługiwane przez człowieka: Infografika

W dawnych czasach, jeśli ktoś musiał przejąć kontrolę nad komputerem, było to zwykle możliwe przez przejęcie komputera przez fizyczne przebywanie na nim lub przez zdalny dostęp. Podczas gdy świat posunął się naprzód w dziedzinie automatyzacji, bezpieczeństwo komputerowe uległo zaostrzeniu, jedna rzecz, która się nie zmieniła, to ludzkie błędy. W tym miejscu pojawiają się ataki ransomware obsługiwane przez człowieka(Human-operated Ransomware Attacks) . Są to ręcznie wykonane ataki, które wykrywają lukę lub źle skonfigurowane zabezpieczenia na komputerze i uzyskują dostęp. Firma Microsoft(Microsoft) opracowała wyczerpujące studium przypadku, z którego wynika, że ​​administrator IT może w znacznym stopniu złagodzić te ataki ransomware obsługiwane przez człowieka.(Ransomware attacks)

łagodzić ataki ransomware obsługiwane przez ludzi

Łagodzenie ataków ransomware obsługiwanych przez człowieka(Human-operated Ransomware Attacks)

Według Microsoft najlepszym sposobem na ograniczenie tego rodzaju oprogramowania ransomware i ręcznie tworzonych kampanii jest zablokowanie wszelkiej niepotrzebnej komunikacji między punktami końcowymi. Równie ważne jest również przestrzeganie najlepszych praktyk dotyczących higieny poświadczeń, takich jak uwierzytelnianie wieloskładnikowe(Multi-Factor Authentication) , monitorowanie prób siłowych, instalowanie najnowszych aktualizacji zabezpieczeń i nie tylko. Oto pełna lista środków obronnych, które należy podjąć:

  • Upewnij się, że stosujesz zalecane przez firmę Microsoft ustawienia konfiguracyjne,(recommended configuration settings) aby chronić komputery podłączone do Internetu.
  • Defender ATP oferuje zarządzanie zagrożeniami i lukami w zabezpieczeniach(threat and vulnerability management) . Możesz go używać do regularnego kontrolowania maszyn pod kątem luk w zabezpieczeniach, błędnych konfiguracji i podejrzanej aktywności.
  • Użyj bramy MFA,(MFA gateway) takiej jak Azure Multi-Factor Authentication ( MFA ) lub włącz uwierzytelnianie na poziomie sieci ( NLA ).
  • Oferuj konta o najniższych uprawnieniach(least-privilege to accounts) i włączaj dostęp tylko wtedy, gdy jest to wymagane. Każde konto z dostępem na poziomie administratora w całej domenie powinno mieć minimum lub zero.
  • Narzędzia takie jak narzędzie Local Administrator Password Solution ( LAPS ) mogą konfigurować unikalne losowe hasła dla kont administratorów. Możesz przechowywać je w Active Directory (AD) i chronić za pomocą ACL .
  • Monitoruj próby siłowe. Powinieneś być zaniepokojony, zwłaszcza jeśli jest wiele nieudanych prób uwierzytelnienia. (failed authentication attempts. )Filtruj(Filter) przy użyciu identyfikatora zdarzenia 4625(ID 4625) , aby znaleźć takie wpisy.
  • Atakujący zwykle czyszczą dzienniki zdarzeń zabezpieczeń i dziennik operacyjny programu PowerShell,(Security Event logs and PowerShell Operational log) aby usunąć wszystkie ich ślady. W takim przypadku usługa Microsoft Defender ATP(Microsoft Defender ATP) generuje identyfikator zdarzenia 1102(Event ID 1102) .
  • Włącz funkcje ochrony przed manipulacją(Tamper protection)(Tamper protection) , aby uniemożliwić atakującym wyłączenie funkcji zabezpieczeń.
  • (Investigate)Sprawdź identyfikator(ID 4624) zdarzenia 4624 , aby dowiedzieć się, gdzie logują się konta z wysokimi uprawnieniami. Jeśli dostaną się do sieci lub komputera, który jest zagrożony, może to stanowić poważniejsze zagrożenie.
  • Włącz ochronę w chmurze(Turn on cloud-delivered protection) i automatyczne przesyłanie próbek w programie antywirusowym Windows Defender(Windows Defender Antivirus) . Zabezpiecza Cię przed nieznanymi zagrożeniami.
  • Włącz zasady redukcji powierzchni ataku. Oprócz tego włącz reguły, które blokują kradzież poświadczeń, aktywność oprogramowania ransomware oraz podejrzane użycie PsExec i WMI .
  • Włącz  AMSI dla Office VBA  , jeśli masz Office 365.
  • Zapobiegaj komunikacji RPC(Prevent RPC) i SMB między punktami końcowymi, gdy tylko jest to możliwe.

Przeczytaj(Read) : Ochrona przed ransomware w systemie Windows 10(Ransomware protection in Windows 10) .

Microsoft przedstawił studium przypadku Wadhramy(Wadhrama) , Doppelpaymera(Doppelpaymer) , Ryuka(Ryuk) , Samasa(REvil) , REvil(Samas)

  • Wadhrama jest dostarczana przy użyciu brutalnych sił, które trafiają na serwery z Pulpitem zdalnym(Remote Desktop) . Zwykle odkrywają niezałatane systemy i wykorzystują ujawnione luki w zabezpieczeniach, aby uzyskać wstępny dostęp lub podnieść uprawnienia.
  • Doppelpaymer jest ręcznie rozpowszechniany w zaatakowanych sieciach przy użyciu skradzionych danych uwierzytelniających dla kont uprzywilejowanych. Dlatego konieczne jest przestrzeganie zalecanych ustawień konfiguracyjnych dla wszystkich komputerów.
  • Ryuk dystrybuuje ładunek za pośrednictwem poczty e-mail ( Trickboat ), oszukując użytkownika końcowego o coś innego. Ostatnio hakerzy wykorzystali strach przed koronawirusem , aby oszukać użytkownika końcowego. Jeden z nich był również w stanie dostarczyć ładunek Emotet .

Wspólną cechą każdego z nich(common thing about each of them) jest to, że są budowane w oparciu o sytuacje. Wydaje się, że stosują taktykę goryla, w której przenoszą się z jednej maszyny na drugą, aby dostarczyć ładunek. Bardzo ważne jest, aby administratorzy IT nie tylko śledzili trwający atak, nawet na małą skalę, i edukowali pracowników, jak mogą pomóc chronić sieć.

Mam nadzieję, że wszyscy administratorzy IT mogą postępować zgodnie z sugestią i upewnić się, że złagodzą ataki ransomware obsługiwane przez ludzi.(Ransomware)

Powiązane przeczytaj(Related read) : Co zrobić po ataku ransomware na komputer z systemem Windows?(What to do after a Ransomware attack on your Windows computer?)



About the author

Jestem informatykiem z ponad 10-letnim doświadczeniem. W wolnym czasie lubię pomagać przy biurku i uczyć dzieci korzystania z Internetu. Moje umiejętności obejmują wiele rzeczy, ale najważniejsze jest to, że wiem, jak pomagać ludziom w rozwiązywaniu problemów. Jeśli potrzebujesz kogoś, kto pomoże Ci w pilnej sprawie lub po prostu potrzebujesz podstawowych wskazówek, skontaktuj się ze mną!



Related posts