Как смягчить атаки программ-вымогателей, управляемых человеком: инфографика
В прежние дни, если кто-то должен был захватить ваш компьютер, обычно это было возможно, завладев вашим компьютером либо физически, либо используя удаленный доступ. В то время как мир продвинулся вперед с автоматизацией, компьютерная безопасность ужесточилась, одна вещь, которая не изменилась, — это человеческие ошибки. Вот где на сцену выходят управляемые людьми атаки программ-вымогателей. (Human-operated Ransomware Attacks)Это созданные вручную атаки, которые находят уязвимость или неправильно настроенную систему безопасности на компьютере и получают доступ. Microsoft представила исчерпывающее тематическое исследование, в котором делается вывод о том, что ИТ-администратор может значительно смягчить эти атаки(Ransomware attacks) программ-вымогателей, управляемых человеком.
Противодействие атакам программ-вымогателей, управляемых человеком(Human-operated Ransomware Attacks)
Согласно Microsoft , лучший способ смягчить такие виды программ-вымогателей и созданных вручную кампаний — заблокировать все ненужные связи между конечными точками. Также не менее важно следовать рекомендациям по гигиене учетных данных, таким как многофакторная аутентификация(Multi-Factor Authentication) , отслеживание попыток грубой силы, установка последних обновлений безопасности и многое другое. Вот полный список мер защиты, которые необходимо предпринять:
- Обязательно примените параметры конфигурации, рекомендованные(recommended configuration settings) Microsoft, для защиты компьютеров, подключенных к Интернету.
- Defender ATP предлагает управление угрозами и уязвимостями(threat and vulnerability management) . Вы можете использовать его для регулярного аудита компьютеров на наличие уязвимостей, неправильных конфигураций и подозрительной активности.
- Используйте шлюз MFA(MFA gateway) , например Многофакторную идентификацию Azure(Azure Multi-Factor Authentication) ( MFA ), или включите проверку подлинности на уровне сети ( NLA ).
- Предлагайте учетным записям минимальные привилегии(least-privilege to accounts) и разрешайте доступ только при необходимости. Любая учетная запись с доступом на уровне администратора домена должна быть минимальной или нулевой.
- Такие инструменты, как Local Administrator Password Solution ( LAPS ), могут настраивать уникальные случайные пароли для учетных записей администраторов. Вы можете хранить их в Active Directory (AD) и защищать с помощью ACL .
- Следите за попытками грубой силы. Вы должны быть встревожены, особенно если есть много неудачных попыток аутентификации. (failed authentication attempts. )Отфильтруйте(Filter) , используя идентификатор события 4625(ID 4625) , чтобы найти такие записи.
- Злоумышленники обычно очищают журналы событий безопасности и операционный журнал PowerShell,(Security Event logs and PowerShell Operational log) чтобы удалить все свои следы. Когда это происходит , Microsoft Defender ATP создает событие с кодом 1102 .(Event ID 1102)
- Включите функции защиты(Tamper protection)(Tamper protection) от несанкционированного доступа , чтобы злоумышленники не могли отключить функции безопасности.
- Исследуйте(Investigate) событие с идентификатором 4624(ID 4624) , чтобы узнать, где выполняются входы учетных записей с высокими привилегиями. Если они попадут в сеть или на скомпрометированный компьютер, то это может представлять более серьезную угрозу.
- Включите облачную защиту(Turn on cloud-delivered protection) и автоматическую отправку образцов в антивирусной программе "Защитник Windows"(Windows Defender Antivirus) . Он защищает вас от неизвестных угроз.
- Включите правила уменьшения поверхности атаки. Наряду с этим включите правила, которые блокируют кражу учетных данных, активность программ-вымогателей и подозрительное использование PsExec и WMI .
- Включите AMSI для Office VBA , если у вас есть Office 365.
- (Prevent RPC)По возможности запрещайте взаимодействие RPC и SMB между конечными точками.(SMB)
Читайте(Read) : Защита от программ-вымогателей в Windows 10(Ransomware protection in Windows 10) .
Microsoft выставила кейс Wadhrama , Doppelpaymer , Ryuk(Samas) , Samas(Ryuk) , REvil
- Wadhrama доставляется с помощью грубой силы на серверы с удаленным рабочим столом(Remote Desktop) . Обычно они обнаруживают неисправленные системы и используют обнаруженные уязвимости для получения первоначального доступа или повышения привилегий.
- Доппельпеймер(Doppelpaymer) вручную распространяется через скомпрометированные сети, используя украденные учетные данные для привилегированных учетных записей. Вот почему важно следовать рекомендуемым параметрам конфигурации для всех компьютеров.
- Ryuk распространяет полезную нагрузку по электронной почте ( Trickboat ), обманывая конечного пользователя в чем-то другом. Недавно хакеры использовали панику Коронавируса, чтобы обмануть конечного пользователя. Один из них также смог доставить полезную нагрузку Emotet .
Общим для каждого из них(common thing about each of them) является то, что они строятся на основе ситуаций. Похоже, они выполняют тактику горилл, передвигаясь с одной машины на другую, чтобы доставить полезную нагрузку. Крайне важно, чтобы ИТ-администраторы не только следили за текущими атаками, даже если они имеют небольшой масштаб, но и обучали сотрудников тому, как они могут помочь защитить сеть.
Я надеюсь, что все ИТ-администраторы смогут последовать этому предложению и обязательно смягчить атаки программ- вымогателей , управляемых людьми.(Ransomware)
Связанное чтение(Related read) : Что делать после атаки программ-вымогателей на ваш компьютер с Windows?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware Attacks, Definition, Examples, Protection, Removal
Бесплатный Anti-Ransomware software для компьютеров Windows
Create email правила для предотвращения Ransomware в Microsoft 365 бизнеса
Включить и настроить Ransomware Protection в Windows Defender
Ransomware protection в Windows 10
Что делать после Ransomware attack на вашем Windows computer?
Как избежать Phishing Scams and Attacks?
Brute Force Attacks - Definition and Prevention
Что такое Ransom Denial Service (RDoS)? Prevention and precautions
Должен ли я сообщать Ransomware? Где я сообщу Ransomware?
Список бесплатный Ransomware Decryption Tools, чтобы разблокировать файлы
CyberGhost Immunizer поможет предотвратить вымогателей атаки
DDoS Distributed Denial Service Attacks: защита, Prevention
Ransomware Response Playbook показывает, как иметь дело с вредоносным ПО
Cyber Attacks - Определение, Types, профилактика
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Как защитить и предотвращать атаки и инфекции Ransomware
McAfee Ransomware Recover (Mr2) может помочь в расшифровках файлов
Fileless Malware Attacks, Protection and Detection