Как смягчить атаки программ-вымогателей, управляемых человеком: инфографика

В прежние дни, если кто-то должен был захватить ваш компьютер, обычно это было возможно, завладев вашим компьютером либо физически, либо используя удаленный доступ. В то время как мир продвинулся вперед с автоматизацией, компьютерная безопасность ужесточилась, одна вещь, которая не изменилась, — это человеческие ошибки. Вот где на сцену выходят управляемые людьми атаки программ-вымогателей. (Human-operated Ransomware Attacks)Это созданные вручную атаки, которые находят уязвимость или неправильно настроенную систему безопасности на компьютере и получают доступ. Microsoft представила исчерпывающее тематическое исследование, в котором делается вывод о том, что ИТ-администратор может значительно смягчить эти атаки(Ransomware attacks) программ-вымогателей, управляемых человеком.

смягчить атаки программ-вымогателей, управляемых человеком

Противодействие атакам программ-вымогателей, управляемых человеком(Human-operated Ransomware Attacks)

Согласно Microsoft , лучший способ смягчить такие виды программ-вымогателей и созданных вручную кампаний — заблокировать все ненужные связи между конечными точками. Также не менее важно следовать рекомендациям по гигиене учетных данных, таким как многофакторная аутентификация(Multi-Factor Authentication) , отслеживание попыток грубой силы, установка последних обновлений безопасности и многое другое. Вот полный список мер защиты, которые необходимо предпринять:

  • Обязательно примените параметры конфигурации, рекомендованные(recommended configuration settings) Microsoft, для защиты компьютеров, подключенных к Интернету.
  • Defender ATP предлагает управление угрозами и уязвимостями(threat and vulnerability management) . Вы можете использовать его для регулярного аудита компьютеров на наличие уязвимостей, неправильных конфигураций и подозрительной активности.
  • Используйте шлюз MFA(MFA gateway) , например Многофакторную идентификацию Azure(Azure Multi-Factor Authentication) ( MFA ), или включите проверку подлинности на уровне сети ( NLA ).
  • Предлагайте учетным записям минимальные привилегии(least-privilege to accounts) и разрешайте доступ только при необходимости. Любая учетная запись с доступом на уровне администратора домена должна быть минимальной или нулевой.
  • Такие инструменты, как Local Administrator Password Solution ( LAPS ), могут настраивать уникальные случайные пароли для учетных записей администраторов. Вы можете хранить их в Active Directory (AD) и защищать с помощью ACL .
  • Следите за попытками грубой силы. Вы должны быть встревожены, особенно если есть много неудачных попыток аутентификации. (failed authentication attempts. )Отфильтруйте(Filter) , используя идентификатор события 4625(ID 4625) , чтобы найти такие записи.
  • Злоумышленники обычно очищают журналы событий безопасности и операционный журнал PowerShell,(Security Event logs and PowerShell Operational log) чтобы удалить все свои следы. Когда это происходит , Microsoft Defender ATP создает событие с кодом 1102 .(Event ID 1102)
  • Включите функции защиты(Tamper protection)(Tamper protection) от несанкционированного доступа , чтобы злоумышленники не могли отключить функции безопасности.
  • Исследуйте(Investigate) событие с идентификатором 4624(ID 4624) , чтобы узнать, где выполняются входы учетных записей с высокими привилегиями. Если они попадут в сеть или на скомпрометированный компьютер, то это может представлять более серьезную угрозу.
  • Включите облачную защиту(Turn on cloud-delivered protection) и автоматическую отправку образцов в антивирусной программе "Защитник Windows"(Windows Defender Antivirus) . Он защищает вас от неизвестных угроз.
  • Включите правила уменьшения поверхности атаки. Наряду с этим включите правила, которые блокируют кражу учетных данных, активность программ-вымогателей и подозрительное использование PsExec и WMI .
  • Включите  AMSI для Office VBA  , если у вас есть Office 365.
  • (Prevent RPC)По возможности запрещайте взаимодействие RPC и SMB между конечными точками.(SMB)

Читайте(Read) : Защита от программ-вымогателей в Windows 10(Ransomware protection in Windows 10) .

Microsoft выставила кейс Wadhrama , Doppelpaymer , Ryuk(Samas) , Samas(Ryuk) , REvil

  • Wadhrama доставляется с помощью грубой силы на серверы с удаленным рабочим столом(Remote Desktop) . Обычно они обнаруживают неисправленные системы и используют обнаруженные уязвимости для получения первоначального доступа или повышения привилегий.
  • Доппельпеймер(Doppelpaymer) вручную распространяется через скомпрометированные сети, используя украденные учетные данные для привилегированных учетных записей. Вот почему важно следовать рекомендуемым параметрам конфигурации для всех компьютеров.
  • Ryuk распространяет полезную нагрузку по электронной почте ( Trickboat ), обманывая конечного пользователя в чем-то другом. Недавно хакеры использовали панику Коронавируса, чтобы обмануть конечного пользователя. Один из них также смог доставить полезную нагрузку Emotet .

Общим для каждого из них(common thing about each of them) является то, что они строятся на основе ситуаций. Похоже, они выполняют тактику горилл, передвигаясь с одной машины на другую, чтобы доставить полезную нагрузку. Крайне важно, чтобы ИТ-администраторы не только следили за текущими атаками, даже если они имеют небольшой масштаб, но и обучали сотрудников тому, как они могут помочь защитить сеть.

Я надеюсь, что все ИТ-администраторы смогут последовать этому предложению и обязательно смягчить атаки программ- вымогателей , управляемых людьми.(Ransomware)

Связанное чтение(Related read) : Что делать после атаки программ-вымогателей на ваш компьютер с Windows?(What to do after a Ransomware attack on your Windows computer?)



About the author

Я старший инженер-программист и разработчик изображений и приложений для iPhone с более чем 10-летним опытом. Мои навыки работы с аппаратным и программным обеспечением делают меня идеально подходящим для любого проекта корпоративного или потребительского смартфона. У меня есть глубокое понимание того, как создавать высококачественные изображения и способность работать со всеми различными форматами изображений. Кроме того, я знаком с разработкой для Firefox и iOS.



Related posts