В прежние дни, если кто-то должен был захватить ваш компьютер, обычно это было возможно, завладев вашим компьютером либо физически, либо используя удаленный доступ. В то время как мир продвинулся вперед с автоматизацией, компьютерная безопасность ужесточилась, одна вещь, которая не изменилась, — это человеческие ошибки. Вот где на сцену выходят управляемые людьми атаки программ-вымогателей. ^{(Human-operated Ransomware Attacks)}Это созданные вручную атаки, которые находят уязвимость или неправильно настроенную систему безопасности на компьютере и получают доступ. Microsoft представила исчерпывающее тематическое исследование, в котором делается вывод о том, что ИТ-администратор может значительно смягчить эти атаки^{(Ransomware attacks)} программ-вымогателей, управляемых человеком.

Противодействие атакам программ-вымогателей, управляемых человеком^{(Human-operated Ransomware Attacks)}

Согласно Microsoft , лучший способ смягчить такие виды программ-вымогателей и созданных вручную кампаний — заблокировать все ненужные связи между конечными точками. Также не менее важно следовать рекомендациям по гигиене учетных данных, таким как многофакторная аутентификация^{(Multi-Factor Authentication)} , отслеживание попыток грубой силы, установка последних обновлений безопасности и многое другое. Вот полный список мер защиты, которые необходимо предпринять:

• Обязательно примените параметры конфигурации, рекомендованные^{(recommended configuration settings)} Microsoft, для защиты компьютеров, подключенных к Интернету.
• Defender ATP предлагает управление угрозами и уязвимостями^{(threat and vulnerability management)} . Вы можете использовать его для регулярного аудита компьютеров на наличие уязвимостей, неправильных конфигураций и подозрительной активности.
• Используйте шлюз MFA^{(MFA gateway)} , например Многофакторную идентификацию Azure^{(Azure Multi-Factor Authentication)} ( MFA ), или включите проверку подлинности на уровне сети ( NLA ).
• Предлагайте учетным записям минимальные привилегии^{(least-privilege to accounts)} и разрешайте доступ только при необходимости. Любая учетная запись с доступом на уровне администратора домена должна быть минимальной или нулевой.
• Такие инструменты, как Local Administrator Password Solution ( LAPS ), могут настраивать уникальные случайные пароли для учетных записей администраторов. Вы можете хранить их в Active Directory (AD) и защищать с помощью ACL .
• Следите за попытками грубой силы. Вы должны быть встревожены, особенно если есть много неудачных попыток аутентификации. ^{(failed authentication attempts. )}Отфильтруйте^(Filter) , используя идентификатор события 4625^{(ID 4625)} , чтобы найти такие записи.
• Злоумышленники обычно очищают журналы событий безопасности и операционный журнал PowerShell,^{(Security Event logs and PowerShell Operational log)} чтобы удалить все свои следы. Когда это происходит , Microsoft Defender ATP создает событие с кодом 1102 .^{(Event ID 1102)}
• Включите функции защиты^{(Tamper protection)(Tamper protection)} от несанкционированного доступа , чтобы злоумышленники не могли отключить функции безопасности.
• Исследуйте^{(Investigate)} событие с идентификатором 4624^{(ID 4624)} , чтобы узнать, где выполняются входы учетных записей с высокими привилегиями. Если они попадут в сеть или на скомпрометированный компьютер, то это может представлять более серьезную угрозу.
• Включите облачную защиту^{(Turn on cloud-delivered protection)} и автоматическую отправку образцов в антивирусной программе "Защитник Windows"^{(Windows Defender Antivirus)} . Он защищает вас от неизвестных угроз.
• Включите правила уменьшения поверхности атаки. Наряду с этим включите правила, которые блокируют кражу учетных данных, активность программ-вымогателей и подозрительное использование PsExec и WMI .
• Включите  AMSI для Office VBA  , если у вас есть Office 365.
• ^{(Prevent RPC)}По возможности запрещайте взаимодействие RPC и SMB между конечными точками.^(SMB)

Читайте^(Read) : Защита от программ-вымогателей в Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft выставила кейс Wadhrama , Doppelpaymer , Ryuk^(Samas) , Samas^(Ryuk) , REvil

• Wadhrama доставляется с помощью грубой силы на серверы с удаленным рабочим столом^{(Remote Desktop)} . Обычно они обнаруживают неисправленные системы и используют обнаруженные уязвимости для получения первоначального доступа или повышения привилегий.
• Доппельпеймер^{(Doppelpaymer)} вручную распространяется через скомпрометированные сети, используя украденные учетные данные для привилегированных учетных записей. Вот почему важно следовать рекомендуемым параметрам конфигурации для всех компьютеров.
• Ryuk распространяет полезную нагрузку по электронной почте ( Trickboat ), обманывая конечного пользователя в чем-то другом. Недавно хакеры использовали панику Коронавируса, чтобы обмануть конечного пользователя. Один из них также смог доставить полезную нагрузку Emotet .

Общим для каждого из них^{(common thing about each of them)} является то, что они строятся на основе ситуаций. Похоже, они выполняют тактику горилл, передвигаясь с одной машины на другую, чтобы доставить полезную нагрузку. Крайне важно, чтобы ИТ-администраторы не только следили за текущими атаками, даже если они имеют небольшой масштаб, но и обучали сотрудников тому, как они могут помочь защитить сеть.

Я надеюсь, что все ИТ-администраторы смогут последовать этому предложению и обязательно смягчить атаки программ- вымогателей , управляемых людьми.^(Ransomware)

Связанное чтение^{(Related read)} : Что делать после атаки программ-вымогателей на ваш компьютер с Windows?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hіјack your computеr, it was usually possiblе by getting hold of your сomputer either bу physically beіng there or using remote access. While the world has moved ahead with automation, computer security has tightened, one thing that hasn’t changed іs human miѕtakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware Attacks, Definition, Examples, Protection, Removal

• Бесплатный Anti-Ransomware software для компьютеров Windows

• Create email правила для предотвращения Ransomware в Microsoft 365 бизнеса

• Включить и настроить Ransomware Protection в Windows Defender

• Ransomware protection в Windows 10

• Что делать после Ransomware attack на вашем Windows computer?

• Как избежать Phishing Scams and Attacks?

• Brute Force Attacks - Definition and Prevention

• Что такое Ransom Denial Service (RDoS)? Prevention and precautions

• Должен ли я сообщать Ransomware? Где я сообщу Ransomware?

• Список бесплатный Ransomware Decryption Tools, чтобы разблокировать файлы

• CyberGhost Immunizer поможет предотвратить вымогателей атаки

• DDoS Distributed Denial Service Attacks: защита, Prevention

• Ransomware Response Playbook показывает, как иметь дело с вредоносным ПО

• Cyber Attacks - Определение, Types, профилактика

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Как защитить и предотвращать атаки и инфекции Ransomware

• McAfee Ransomware Recover (Mr2) может помочь в расшифровках файлов

• Fileless Malware Attacks, Protection and Detection