U ranijim danima, ako je netko morao oteti vaše računalo, to je obično bilo moguće tako da se dočepa vašeg računala fizičkim prisustvom ili korištenjem daljinskog pristupa. Iako je svijet napredovao s automatizacijom, računalna sigurnost je pooštrena, jedna stvar koja se nije promijenila su ljudske pogreške. Tu se pojavljuju napadi ransomwarea kojima upravljaju ljudi^{(Human-operated Ransomware Attacks)} . To su ručno izrađeni napadi koji pronalaze ranjivost ili pogrešno konfiguriranu sigurnost na računalu i dobivaju pristup. Microsoft je došao do iscrpne studije slučaja koja zaključuje da IT administrator može značajno ublažiti ove napade Ransomwarea^{(Ransomware attacks)} kojima upravljaju ljudi .

Ublažavanje napada ransomwarea kojima upravljaju ljudi^{(Human-operated Ransomware Attacks)}

Prema Microsoftu^(Microsoft) , najbolji način za ublažavanje ovih vrsta ransomwarea i ručno izrađenih kampanja je blokiranje svake nepotrebne komunikacije između krajnjih točaka. Također je jednako važno slijediti najbolje prakse za higijenu vjerodajnica kao što je višefaktorska provjera autentičnosti^{(Multi-Factor Authentication)} , praćenje pokušaja grube sile, instaliranje najnovijih sigurnosnih ažuriranja i još mnogo toga. Ovdje je kompletan popis obrambenih mjera koje treba poduzeti:

• Obavezno primijenite postavke konfiguracije koje preporučuje^{(recommended configuration settings)} Microsoft kako biste zaštitili računala povezana s internetom.
• Defender ATP nudi upravljanje prijetnjama i ranjivostima^{(threat and vulnerability management)} . Možete ga koristiti za redovitu reviziju strojeva radi otkrivanja ranjivosti, pogrešnih konfiguracija i sumnjivih aktivnosti.
• Koristite MFA pristupnik^{(MFA gateway)} kao što je Azure višefaktorska provjera autentičnosti^{(Azure Multi-Factor Authentication)} ( MFA ) ili omogućite provjeru autentičnosti na razini mreže ( NLA ).
• Ponudite najmanje privilegije računima^{(least-privilege to accounts)} i omogućite pristup samo kada je to potrebno. Svaki račun s pristupom na razini administratora na razini cijele domene trebao bi biti na minimumu ili nuli.
• Alati poput Local Administrator Password Solution ( LAPS ) mogu konfigurirati jedinstvene nasumične lozinke za administratorske račune. Možete ih pohraniti u Active Directory (AD) i zaštititi pomoću ACL -a .
• Pratite pokušaje grube sile. Trebali biste biti uznemireni, osobito ako postoji mnogo neuspjelih pokušaja provjere autentičnosti. ^{(failed authentication attempts. )}Filtrirajte^(Filter) pomoću ID-a događaja 4625^{(ID 4625)} da biste pronašli takve unose.
• Napadači obično brišu zapisnike sigurnosnih događaja i PowerShell operativni dnevnik^{(Security Event logs and PowerShell Operational log)} kako bi uklonili sve svoje tragove. Microsoft Defender ATP generira ID događaja 1102^{(Event ID 1102)} kada se to dogodi.
• Uključite značajke zaštite od neovlaštenog pristupa^{(Tamper protection)(Tamper protection)} kako biste spriječili napadače da isključe sigurnosne značajke.
• Istražite^{(Investigate)} događaj ID 4624 kako biste pronašli gdje se prijavljuju računi s visokim privilegijama. Ako uđu u mrežu ili računalo koje je ugroženo, onda to može biti značajnija prijetnja.
• Uključite zaštitu isporučenu u oblaku^{(Turn on cloud-delivered protection)} i automatsko slanje uzorka na Windows Defender Antivirus . Štiti vas od nepoznatih prijetnji.
• Uključite pravila smanjenja površine napada. Uz to, omogućite pravila koja blokiraju krađu vjerodajnica, aktivnost ransomwarea i sumnjivu upotrebu PsExec i WMI .
• Uključite  AMSI za Office VBA  ako imate Office 365.
• Spriječite RPC^{(Prevent RPC)} i SMB komunikaciju među krajnjim točkama kad god je to moguće.

Pročitajte^(Read) : Zaštita od ransomwarea u sustavu Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft je postavio studiju slučaja Wadhrama , Doppelpaymer^(Ryuk) , Ryuk^{(Doppelpaymer)} , Samas , REvil

• Wadhrama se isporučuje grubom silom do poslužitelja koji imaju udaljenu radnu površinu^{(Remote Desktop)} . Obično otkrivaju nezakrpljene sustave i koriste otkrivene ranjivosti za dobivanje početnog pristupa ili podizanje privilegija.
• Doppelpaymer se ručno širi putem ugroženih mreža koristeći ukradene vjerodajnice za privilegirane račune. Zato je bitno slijediti preporučene postavke konfiguracije za sva računala.
• Ryuk distribuira teret putem e-pošte ( Trickboat ) prevarivši krajnjeg korisnika o nečem drugom. Nedavno su hakeri upotrijebili strah od koronavirusa kako bi prevarili krajnjeg korisnika. Jedan od njih također je uspio isporučiti Emotet teret .

Zajednička stvar svakog od njih^{(common thing about each of them)} je da su izgrađene na temelju situacija. Čini se da izvode taktiku gorila gdje prelaze s jednog stroja na drugi stroj kako bi isporučili teret. Bitno je da IT administratori ne samo da prate tekući napad, čak i ako je u malim razmjerima, i educiraju zaposlenike o tome kako mogu pomoći u zaštiti mreže.

Nadam se da će svi IT administratori moći slijediti prijedlog i pobrinuti se da ublaže napade Ransomwarea kojima upravljaju ljudi.^(Ransomware)

Povezano čitanje^{(Related read)} : Što učiniti nakon Ransomware napada na vaše Windows računalo?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usually possible by getting hold of your computer either by phуsically being there or using remote acсess. While the world has moved ahead with automation, cоmputer secυrity has tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware napadi, definicija, primjeri, zaštita, uklanjanje

• Besplatni anti-Ransomware softver za Windows računala

• Stvorite pravila e-pošte kako biste spriječili Ransomware u Microsoft 365 Business

• Omogućite i konfigurirajte zaštitu od Ransomware-a u Windows Defenderu

• Zaštita od ransomwarea u sustavu Windows 11/10

• DDoS distribuirani napadi uskraćivanja usluge: zaštita, prevencija

• Što je Ransom Denial of Service (RDoS)? Prevencija i mjere opreza

• Što učiniti nakon Ransomware napada na vaše Windows računalo?

• Kako se zaštititi i spriječiti Ransomware napade i infekcije

• Kako izbjeći phishing prijevare i napade?

• Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje

• Priručnik za odgovore na ransomware pokazuje kako se nositi sa zlonamjernim softverom

• Napadi grube sile - definicija i prevencija

• Popis besplatnih alata za dešifriranje ransomwarea za otključavanje datoteka

• Napadi zlonamjernog softvera bez datoteka, zaštita i otkrivanje

• McAfee Ransomware Recover (Mr2) može pomoći u dešifriranju datoteka

• Cyber ​​napadi - definicija, vrste, prevencija

• CyberGhost Immunizer pomoći će spriječiti napade ransomwarea

• Trebam li prijaviti Ransomware? Gdje mogu prijaviti Ransomware?