Kako ublažiti napade ransomwarea kojima upravljaju ljudi: Infografika
U ranijim danima, ako je netko morao oteti vaše računalo, to je obično bilo moguće tako da se dočepa vašeg računala fizičkim prisustvom ili korištenjem daljinskog pristupa. Iako je svijet napredovao s automatizacijom, računalna sigurnost je pooštrena, jedna stvar koja se nije promijenila su ljudske pogreške. Tu se pojavljuju napadi ransomwarea kojima upravljaju ljudi(Human-operated Ransomware Attacks) . To su ručno izrađeni napadi koji pronalaze ranjivost ili pogrešno konfiguriranu sigurnost na računalu i dobivaju pristup. Microsoft je došao do iscrpne studije slučaja koja zaključuje da IT administrator može značajno ublažiti ove napade Ransomwarea(Ransomware attacks) kojima upravljaju ljudi .
Ublažavanje napada ransomwarea kojima upravljaju ljudi(Human-operated Ransomware Attacks)
Prema Microsoftu(Microsoft) , najbolji način za ublažavanje ovih vrsta ransomwarea i ručno izrađenih kampanja je blokiranje svake nepotrebne komunikacije između krajnjih točaka. Također je jednako važno slijediti najbolje prakse za higijenu vjerodajnica kao što je višefaktorska provjera autentičnosti(Multi-Factor Authentication) , praćenje pokušaja grube sile, instaliranje najnovijih sigurnosnih ažuriranja i još mnogo toga. Ovdje je kompletan popis obrambenih mjera koje treba poduzeti:
- Obavezno primijenite postavke konfiguracije koje preporučuje(recommended configuration settings) Microsoft kako biste zaštitili računala povezana s internetom.
- Defender ATP nudi upravljanje prijetnjama i ranjivostima(threat and vulnerability management) . Možete ga koristiti za redovitu reviziju strojeva radi otkrivanja ranjivosti, pogrešnih konfiguracija i sumnjivih aktivnosti.
- Koristite MFA pristupnik(MFA gateway) kao što je Azure višefaktorska provjera autentičnosti(Azure Multi-Factor Authentication) ( MFA ) ili omogućite provjeru autentičnosti na razini mreže ( NLA ).
- Ponudite najmanje privilegije računima(least-privilege to accounts) i omogućite pristup samo kada je to potrebno. Svaki račun s pristupom na razini administratora na razini cijele domene trebao bi biti na minimumu ili nuli.
- Alati poput Local Administrator Password Solution ( LAPS ) mogu konfigurirati jedinstvene nasumične lozinke za administratorske račune. Možete ih pohraniti u Active Directory (AD) i zaštititi pomoću ACL -a .
- Pratite pokušaje grube sile. Trebali biste biti uznemireni, osobito ako postoji mnogo neuspjelih pokušaja provjere autentičnosti. (failed authentication attempts. )Filtrirajte(Filter) pomoću ID-a događaja 4625(ID 4625) da biste pronašli takve unose.
- Napadači obično brišu zapisnike sigurnosnih događaja i PowerShell operativni dnevnik(Security Event logs and PowerShell Operational log) kako bi uklonili sve svoje tragove. Microsoft Defender ATP generira ID događaja 1102(Event ID 1102) kada se to dogodi.
- Uključite značajke zaštite od neovlaštenog pristupa(Tamper protection)(Tamper protection) kako biste spriječili napadače da isključe sigurnosne značajke.
- Istražite(Investigate) događaj ID 4624 kako biste pronašli gdje se prijavljuju računi s visokim privilegijama. Ako uđu u mrežu ili računalo koje je ugroženo, onda to može biti značajnija prijetnja.
- Uključite zaštitu isporučenu u oblaku(Turn on cloud-delivered protection) i automatsko slanje uzorka na Windows Defender Antivirus . Štiti vas od nepoznatih prijetnji.
- Uključite pravila smanjenja površine napada. Uz to, omogućite pravila koja blokiraju krađu vjerodajnica, aktivnost ransomwarea i sumnjivu upotrebu PsExec i WMI .
- Uključite AMSI za Office VBA ako imate Office 365.
- Spriječite RPC(Prevent RPC) i SMB komunikaciju među krajnjim točkama kad god je to moguće.
Pročitajte(Read) : Zaštita od ransomwarea u sustavu Windows 10(Ransomware protection in Windows 10) .
Microsoft je postavio studiju slučaja Wadhrama , Doppelpaymer(Ryuk) , Ryuk(Doppelpaymer) , Samas , REvil
- Wadhrama se isporučuje grubom silom do poslužitelja koji imaju udaljenu radnu površinu(Remote Desktop) . Obično otkrivaju nezakrpljene sustave i koriste otkrivene ranjivosti za dobivanje početnog pristupa ili podizanje privilegija.
- Doppelpaymer se ručno širi putem ugroženih mreža koristeći ukradene vjerodajnice za privilegirane račune. Zato je bitno slijediti preporučene postavke konfiguracije za sva računala.
- Ryuk distribuira teret putem e-pošte ( Trickboat ) prevarivši krajnjeg korisnika o nečem drugom. Nedavno su hakeri upotrijebili strah od koronavirusa kako bi prevarili krajnjeg korisnika. Jedan od njih također je uspio isporučiti Emotet teret .
Zajednička stvar svakog od njih(common thing about each of them) je da su izgrađene na temelju situacija. Čini se da izvode taktiku gorila gdje prelaze s jednog stroja na drugi stroj kako bi isporučili teret. Bitno je da IT administratori ne samo da prate tekući napad, čak i ako je u malim razmjerima, i educiraju zaposlenike o tome kako mogu pomoći u zaštiti mreže.
Nadam se da će svi IT administratori moći slijediti prijedlog i pobrinuti se da ublaže napade Ransomwarea kojima upravljaju ljudi.(Ransomware)
Povezano čitanje(Related read) : Što učiniti nakon Ransomware napada na vaše Windows računalo?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware napadi, definicija, primjeri, zaštita, uklanjanje
Besplatni anti-Ransomware softver za Windows računala
Stvorite pravila e-pošte kako biste spriječili Ransomware u Microsoft 365 Business
Omogućite i konfigurirajte zaštitu od Ransomware-a u Windows Defenderu
Zaštita od ransomwarea u sustavu Windows 11/10
DDoS distribuirani napadi uskraćivanja usluge: zaštita, prevencija
Što je Ransom Denial of Service (RDoS)? Prevencija i mjere opreza
Što učiniti nakon Ransomware napada na vaše Windows računalo?
Kako se zaštititi i spriječiti Ransomware napade i infekcije
Kako izbjeći phishing prijevare i napade?
Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje
Priručnik za odgovore na ransomware pokazuje kako se nositi sa zlonamjernim softverom
Napadi grube sile - definicija i prevencija
Popis besplatnih alata za dešifriranje ransomwarea za otključavanje datoteka
Napadi zlonamjernog softvera bez datoteka, zaštita i otkrivanje
McAfee Ransomware Recover (Mr2) može pomoći u dešifriranju datoteka
Cyber napadi - definicija, vrste, prevencija
CyberGhost Immunizer pomoći će spriječiti napade ransomwarea
Trebam li prijaviti Ransomware? Gdje mogu prijaviti Ransomware?