Hur man mildrar mänskligt drivna Ransomware-attacker: Infographic
Tidigare, om någon måste kapa din dator, var det vanligtvis möjligt genom att få tag i din dator antingen genom att fysiskt vara där eller använda fjärråtkomst. Medan världen har gått framåt med automatisering, har datorsäkerheten skärpts, en sak som inte har förändrats är mänskliga misstag. Det är där de mänskligt drivna ransomware-attackerna(Human-operated Ransomware Attacks) kommer in i bilden. Dessa är handgjorda attacker som hittar en sårbarhet eller en felkonfigurerad säkerhet på datorn och får åtkomst. Microsoft har kommit med en uttömmande fallstudie som drar slutsatsen att IT-administratören kan mildra dessa mänskligt drivna Ransomware-attacker(Ransomware attacks) med stor marginal.
Dämpa mänskligt drivna Ransomware-attacker(Human-operated Ransomware Attacks)
Enligt Microsoft är det bästa sättet att lindra den här typen av ransomware och handgjorda kampanjer att blockera all onödig kommunikation mellan slutpunkter. Det är också lika viktigt att följa bästa praxis för autentiseringshygien som Multi-Factor Authentication , övervakning av brute force-försök, installera de senaste säkerhetsuppdateringarna och mer. Här är den kompletta listan över försvarsåtgärder som ska vidtas:
- Se till att tillämpa Microsofts rekommenderade konfigurationsinställningar(recommended configuration settings) för att skydda datorer som är anslutna till internet.
- Defender ATP erbjuder hot- och sårbarhetshantering(threat and vulnerability management) . Du kan använda den för att granska maskiner regelbundet för sårbarheter, felkonfigurationer och misstänkt aktivitet.
- Använd MFA-gateway som Azure Multi-Factor Authentication ( MFA ) eller aktivera nätverksnivåautentisering ( NLA ).
- Erbjud minsta rättigheter till konton(least-privilege to accounts) och aktivera endast åtkomst när det behövs. Alla konton med åtkomst på administratörsnivå över hela domänen bör vara minst eller noll.
- Verktyg som Local Administrator Password Solution ( LAPS ) kan konfigurera unika slumpmässiga lösenord för administratörskonton. Du kan lagra dem i Active Directory (AD) och skydda med ACL .
- Övervaka efter brute-force-försök. Du bör vara orolig, särskilt om det finns många misslyckade autentiseringsförsök. (failed authentication attempts. )Filtrera(Filter) med händelse -ID 4625 för att hitta sådana poster.
- Angripare rensar vanligtvis säkerhetshändelsloggarna och PowerShell Operations-loggen(Security Event logs and PowerShell Operational log) för att ta bort alla sina fotspår. Microsoft Defender ATP genererar ett händelse-ID 1102(Event ID 1102) när detta inträffar.
- Aktivera sabotageskyddsfunktioner för(Tamper protection)(Tamper protection) att förhindra angripare från att stänga av säkerhetsfunktioner.
- Undersök(Investigate) händelse -ID 4624 för att se var konton med hög behörighet loggar in. Om de kommer in i ett nätverk eller en dator som är intrång kan det vara ett mer betydande hot.
- Aktivera molnlevererat skydd(Turn on cloud-delivered protection) och automatisk provinlämning på Windows Defender Antivirus . Det skyddar dig från okända hot.
- Aktivera regler för minskning av attackytan. Tillsammans med detta, aktivera regler som blockerar identitetsstöld, ransomware-aktivitet och misstänkt användning av PsExec och WMI .
- Slå på AMSI för Office VBA om du har Office 365.
- Förhindra RPC-(Prevent RPC) och SMB- kommunikation mellan slutpunkter när det är möjligt.
Läs(Read) : Ransomware-skydd i Windows 10(Ransomware protection in Windows 10) .
Microsoft har lagt upp en fallstudie av Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Wadhrama levereras med hjälp av brute forces som tar sig in i servrar som har Remote Desktop . De upptäcker vanligtvis oparpade system och använder avslöjade sårbarheter för att få initial åtkomst eller höja privilegier.
- Doppelpaymer sprids manuellt genom komprometterade nätverk med hjälp av stulna referenser för privilegierade konton. Det är därför det är viktigt att följa de rekommenderade konfigurationsinställningarna för alla datorer.
- Ryuk distribuerar nyttolast över e-post ( Trickboat ) genom att lura slutanvändaren om något annat. Nyligen använde hackare skräcken från Coronaviruset för att lura slutanvändaren. En av dem kunde också leverera Emotet-nyttolasten .
Det gemensamma med var och en av dem(common thing about each of them) är att de är byggda utifrån situationer. De verkar utföra gorilla-taktik där de flyttar från en maskin till en annan för att leverera nyttolasten. Det är viktigt att IT-administratörer inte bara håller koll på den pågående attacken, även om den är i liten skala, och utbildar anställda om hur de kan hjälpa till att skydda nätverket.
Jag hoppas att alla IT-administratörer kan följa förslaget och se till att mildra mänskligt styrda Ransomware(Ransomware) - attacker.
Relaterad läsning(Related read) : Vad ska man göra efter en Ransomware-attack på din Windows-dator?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware-attacker, definition, exempel, skydd, borttagning
Gratis Anti-Ransomware-programvara för Windows-datorer
Skapa e-postregler för att förhindra Ransomware i Microsoft 365 Business
Aktivera och konfigurera Ransomware Protection i Windows Defender
Ransomware-skydd i Windows 11/10
Fillösa attacker, skydd och upptäckt av skadlig programvara
Lista över gratis Ransomware-dekrypteringsverktyg för att låsa upp filer
CyberGhost Immunizer hjälper till att förhindra ransomware-attacker
Hur man skyddar mot och förhindrar Ransomware-attacker och infektioner
Brute Force Attacks - Definition och förebyggande
Vad är Ransom Denial of Service (RDoS)? Förebyggande och försiktighetsåtgärder
Vad ska man göra efter en Ransomware-attack på din Windows-dator?
DLL-kapning av sårbarhetsattacker, förebyggande och upptäckt
Cyberattacker - definition, typer, förebyggande
DDoS Distribuerade Denial of Service-attacker: Skydd, Förebyggande
Hur undviker man nätfiske och attacker?
Ska jag rapportera Ransomware? Var rapporterar jag Ransomware?
McAfee Ransomware Recover (Mr2) kan hjälpa till med att dekryptera filer
Ransomware Response Playbook visar hur man hanterar skadlig programvara