W dawnych czasach, jeśli ktoś musiał przejąć kontrolę nad komputerem, było to zwykle możliwe przez przejęcie komputera przez fizyczne przebywanie na nim lub przez zdalny dostęp. Podczas gdy świat posunął się naprzód w dziedzinie automatyzacji, bezpieczeństwo komputerowe uległo zaostrzeniu, jedna rzecz, która się nie zmieniła, to ludzkie błędy. W tym miejscu pojawiają się ataki ransomware obsługiwane przez człowieka^{(Human-operated Ransomware Attacks)} . Są to ręcznie wykonane ataki, które wykrywają lukę lub źle skonfigurowane zabezpieczenia na komputerze i uzyskują dostęp. Firma Microsoft^(Microsoft) opracowała wyczerpujące studium przypadku, z którego wynika, że ​​administrator IT może w znacznym stopniu złagodzić te ataki ransomware obsługiwane przez człowieka.^{(Ransomware attacks)}

Łagodzenie ataków ransomware obsługiwanych przez człowieka^{(Human-operated Ransomware Attacks)}

Według Microsoft najlepszym sposobem na ograniczenie tego rodzaju oprogramowania ransomware i ręcznie tworzonych kampanii jest zablokowanie wszelkiej niepotrzebnej komunikacji między punktami końcowymi. Równie ważne jest również przestrzeganie najlepszych praktyk dotyczących higieny poświadczeń, takich jak uwierzytelnianie wieloskładnikowe^{(Multi-Factor Authentication)} , monitorowanie prób siłowych, instalowanie najnowszych aktualizacji zabezpieczeń i nie tylko. Oto pełna lista środków obronnych, które należy podjąć:

• Upewnij się, że stosujesz zalecane przez firmę Microsoft ustawienia konfiguracyjne,^{(recommended configuration settings)} aby chronić komputery podłączone do Internetu.
• Defender ATP oferuje zarządzanie zagrożeniami i lukami w zabezpieczeniach^{(threat and vulnerability management)} . Możesz go używać do regularnego kontrolowania maszyn pod kątem luk w zabezpieczeniach, błędnych konfiguracji i podejrzanej aktywności.
• Użyj bramy MFA,^{(MFA gateway)} takiej jak Azure Multi-Factor Authentication ( MFA ) lub włącz uwierzytelnianie na poziomie sieci ( NLA ).
• Oferuj konta o najniższych uprawnieniach^{(least-privilege to accounts)} i włączaj dostęp tylko wtedy, gdy jest to wymagane. Każde konto z dostępem na poziomie administratora w całej domenie powinno mieć minimum lub zero.
• Narzędzia takie jak narzędzie Local Administrator Password Solution ( LAPS ) mogą konfigurować unikalne losowe hasła dla kont administratorów. Możesz przechowywać je w Active Directory (AD) i chronić za pomocą ACL .
• Monitoruj próby siłowe. Powinieneś być zaniepokojony, zwłaszcza jeśli jest wiele nieudanych prób uwierzytelnienia. ^{(failed authentication attempts. )}Filtruj^(Filter) przy użyciu identyfikatora zdarzenia 4625^{(ID 4625)} , aby znaleźć takie wpisy.
• Atakujący zwykle czyszczą dzienniki zdarzeń zabezpieczeń i dziennik operacyjny programu PowerShell,^{(Security Event logs and PowerShell Operational log)} aby usunąć wszystkie ich ślady. W takim przypadku usługa Microsoft Defender ATP^{(Microsoft Defender ATP)} generuje identyfikator zdarzenia 1102^{(Event ID 1102)} .
• Włącz funkcje ochrony przed manipulacją^{(Tamper protection)(Tamper protection)} , aby uniemożliwić atakującym wyłączenie funkcji zabezpieczeń.
• ^{(Investigate)}Sprawdź identyfikator^{(ID 4624)} zdarzenia 4624 , aby dowiedzieć się, gdzie logują się konta z wysokimi uprawnieniami. Jeśli dostaną się do sieci lub komputera, który jest zagrożony, może to stanowić poważniejsze zagrożenie.
• Włącz ochronę w chmurze^{(Turn on cloud-delivered protection)} i automatyczne przesyłanie próbek w programie antywirusowym Windows Defender^{(Windows Defender Antivirus)} . Zabezpiecza Cię przed nieznanymi zagrożeniami.
• Włącz zasady redukcji powierzchni ataku. Oprócz tego włącz reguły, które blokują kradzież poświadczeń, aktywność oprogramowania ransomware oraz podejrzane użycie PsExec i WMI .
• Włącz  AMSI dla Office VBA  , jeśli masz Office 365.
• Zapobiegaj komunikacji RPC^{(Prevent RPC)} i SMB między punktami końcowymi, gdy tylko jest to możliwe.

Przeczytaj^(Read) : Ochrona przed ransomware w systemie Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft przedstawił studium przypadku Wadhramy^(Wadhrama) , Doppelpaymera^{(Doppelpaymer)} , Ryuka^(Ryuk) , Samasa^(REvil) , REvil^(Samas)

• Wadhrama jest dostarczana przy użyciu brutalnych sił, które trafiają na serwery z Pulpitem zdalnym^{(Remote Desktop)} . Zwykle odkrywają niezałatane systemy i wykorzystują ujawnione luki w zabezpieczeniach, aby uzyskać wstępny dostęp lub podnieść uprawnienia.
• Doppelpaymer jest ręcznie rozpowszechniany w zaatakowanych sieciach przy użyciu skradzionych danych uwierzytelniających dla kont uprzywilejowanych. Dlatego konieczne jest przestrzeganie zalecanych ustawień konfiguracyjnych dla wszystkich komputerów.
• Ryuk dystrybuuje ładunek za pośrednictwem poczty e-mail ( Trickboat ), oszukując użytkownika końcowego o coś innego. Ostatnio hakerzy wykorzystali strach przed koronawirusem , aby oszukać użytkownika końcowego. Jeden z nich był również w stanie dostarczyć ładunek Emotet .

Wspólną cechą każdego z nich^{(common thing about each of them)} jest to, że są budowane w oparciu o sytuacje. Wydaje się, że stosują taktykę goryla, w której przenoszą się z jednej maszyny na drugą, aby dostarczyć ładunek. Bardzo ważne jest, aby administratorzy IT nie tylko śledzili trwający atak, nawet na małą skalę, i edukowali pracowników, jak mogą pomóc chronić sieć.

Mam nadzieję, że wszyscy administratorzy IT mogą postępować zgodnie z sugestią i upewnić się, że złagodzą ataki ransomware obsługiwane przez ludzi.^(Ransomware)

Powiązane przeczytaj^{(Related read)} : Co zrobić po ataku ransomware na komputer z systemem Windows?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone haѕ to hijack your comрuter, it was uѕually possible by getting hold of your computer еither bу physiсally being there or using remоte access. Whіle the world has moved ahead with automation, computer security has tightened, one thing that hasn’t changеd is human mistakes.  That іs where thе Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ataki ransomware, definicja, przykłady, ochrona, usuwanie

• Darmowe oprogramowanie anty-ransomware dla komputerów z systemem Windows

• Utwórz reguły poczty e-mail, aby zapobiec ransomware na platformie Microsoft 365 Business

• Włącz i skonfiguruj ochronę przed ransomware w Windows Defender

• Ochrona przed ransomware w systemie Windows 11/10

• Cyberataki — definicja, rodzaje, zapobieganie

• Rozproszone ataki typu „odmowa usługi” DDoS: ochrona, zapobieganie

• Jak uniknąć oszustw i ataków typu phishing?

• Co zrobić po ataku Ransomware na komputer z systemem Windows?

• McAfee Ransomware Recover (Mr2) może pomóc w odszyfrowaniu plików

• Czy powinienem zgłosić Ransomware? Gdzie mogę zgłosić Ransomware?

• Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking

• Bezplikowe ataki złośliwego oprogramowania, ochrona i wykrywanie

• Lista darmowych narzędzi do odszyfrowywania ransomware do odblokowania plików

• Ataki Brute Force — definicja i zapobieganie

• Co to jest odmowa usługi okupu (RDoS)? Zapobieganie i środki ostrożności

• Poradnik dotyczący odpowiedzi na oprogramowanie ransomware pokazuje, jak radzić sobie ze złośliwym oprogramowaniem

• Jak chronić się przed atakami i infekcjami ransomware i jak im zapobiegać?

• CyberGhost Immunizer pomoże zapobiegać atakom ransomware