Tidigare, om någon måste kapa din dator, var det vanligtvis möjligt genom att få tag i din dator antingen genom att fysiskt vara där eller använda fjärråtkomst. Medan världen har gått framåt med automatisering, har datorsäkerheten skärpts, en sak som inte har förändrats är mänskliga misstag. Det är där de mänskligt drivna ransomware-attackerna^{(Human-operated Ransomware Attacks)} kommer in i bilden. Dessa är handgjorda attacker som hittar en sårbarhet eller en felkonfigurerad säkerhet på datorn och får åtkomst. Microsoft har kommit med en uttömmande fallstudie som drar slutsatsen att IT-administratören kan mildra dessa mänskligt drivna Ransomware-attacker^{(Ransomware attacks)} med stor marginal.

Dämpa mänskligt drivna Ransomware-attacker^{(Human-operated Ransomware Attacks)}

Enligt Microsoft är det bästa sättet att lindra den här typen av ransomware och handgjorda kampanjer att blockera all onödig kommunikation mellan slutpunkter. Det är också lika viktigt att följa bästa praxis för autentiseringshygien som Multi-Factor Authentication , övervakning av brute force-försök, installera de senaste säkerhetsuppdateringarna och mer. Här är den kompletta listan över försvarsåtgärder som ska vidtas:

• Se till att tillämpa Microsofts rekommenderade konfigurationsinställningar^{(recommended configuration settings)} för att skydda datorer som är anslutna till internet.
• Defender ATP erbjuder hot- och sårbarhetshantering^{(threat and vulnerability management)} . Du kan använda den för att granska maskiner regelbundet för sårbarheter, felkonfigurationer och misstänkt aktivitet.
• Använd MFA-gateway som Azure Multi-Factor Authentication ( MFA ) eller aktivera nätverksnivåautentisering ( NLA ).
• Erbjud minsta rättigheter till konton^{(least-privilege to accounts)} och aktivera endast åtkomst när det behövs. Alla konton med åtkomst på administratörsnivå över hela domänen bör vara minst eller noll.
• Verktyg som Local Administrator Password Solution ( LAPS ) kan konfigurera unika slumpmässiga lösenord för administratörskonton. Du kan lagra dem i Active Directory (AD) och skydda med ACL .
• Övervaka efter brute-force-försök. Du bör vara orolig, särskilt om det finns många misslyckade autentiseringsförsök. ^{(failed authentication attempts. )}Filtrera^(Filter) med händelse -ID 4625 för att hitta sådana poster.
• Angripare rensar vanligtvis säkerhetshändelsloggarna och PowerShell Operations-loggen^{(Security Event logs and PowerShell Operational log)} för att ta bort alla sina fotspår. Microsoft Defender ATP genererar ett händelse-ID 1102^{(Event ID 1102)} när detta inträffar.
• Aktivera sabotageskyddsfunktioner för^{(Tamper protection)(Tamper protection)} att förhindra angripare från att stänga av säkerhetsfunktioner.
• Undersök^{(Investigate)} händelse -ID 4624 för att se var konton med hög behörighet loggar in. Om de kommer in i ett nätverk eller en dator som är intrång kan det vara ett mer betydande hot.
• Aktivera molnlevererat skydd^{(Turn on cloud-delivered protection)} och automatisk provinlämning på Windows Defender Antivirus . Det skyddar dig från okända hot.
• Aktivera regler för minskning av attackytan. Tillsammans med detta, aktivera regler som blockerar identitetsstöld, ransomware-aktivitet och misstänkt användning av PsExec och WMI .
• Slå på  AMSI för Office VBA  om du har Office 365.
• Förhindra RPC-^{(Prevent RPC)} och SMB- kommunikation mellan slutpunkter när det är möjligt.

Läs^(Read) : Ransomware-skydd i Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft har lagt upp en fallstudie av Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama levereras med hjälp av brute forces som tar sig in i servrar som har Remote Desktop . De upptäcker vanligtvis oparpade system och använder avslöjade sårbarheter för att få initial åtkomst eller höja privilegier.
• Doppelpaymer sprids manuellt genom komprometterade nätverk med hjälp av stulna referenser för privilegierade konton. Det är därför det är viktigt att följa de rekommenderade konfigurationsinställningarna för alla datorer.
• Ryuk distribuerar nyttolast över e-post ( Trickboat ) genom att lura slutanvändaren om något annat. Nyligen använde hackare skräcken från Coronaviruset för att lura slutanvändaren. En av dem kunde också leverera Emotet-nyttolasten .

Det gemensamma med var och en av dem^{(common thing about each of them)} är att de är byggda utifrån situationer. De verkar utföra gorilla-taktik där de flyttar från en maskin till en annan för att leverera nyttolasten. Det är viktigt att IT-administratörer inte bara håller koll på den pågående attacken, även om den är i liten skala, och utbildar anställda om hur de kan hjälpa till att skydda nätverket.

Jag hoppas att alla IT-administratörer kan följa förslaget och se till att mildra mänskligt styrda Ransomware^(Ransomware) - attacker.

Relaterad läsning^{(Related read)} : Vad ska man göra efter en Ransomware-attack på din Windows-dator?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier dаys, if someone has to hіjack your computer, it was usually possible by getting hold of your cоmputer either by рhysicallу being there or using remote access. While the world has moved ahead with automatiоn, computer sеcurity has tightened, one thing that haѕn’t changed is human mistakes.  That is wherе the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware-attacker, definition, exempel, skydd, borttagning

• Gratis Anti-Ransomware-programvara för Windows-datorer

• Skapa e-postregler för att förhindra Ransomware i Microsoft 365 Business

• Aktivera och konfigurera Ransomware Protection i Windows Defender

• Ransomware-skydd i Windows 11/10

• Fillösa attacker, skydd och upptäckt av skadlig programvara

• Lista över gratis Ransomware-dekrypteringsverktyg för att låsa upp filer

• CyberGhost Immunizer hjälper till att förhindra ransomware-attacker

• Hur man skyddar mot och förhindrar Ransomware-attacker och infektioner

• Brute Force Attacks - Definition och förebyggande

• Vad är Ransom Denial of Service (RDoS)? Förebyggande och försiktighetsåtgärder

• Vad ska man göra efter en Ransomware-attack på din Windows-dator?

• DLL-kapning av sårbarhetsattacker, förebyggande och upptäckt

• Cyberattacker - definition, typer, förebyggande

• DDoS Distribuerade Denial of Service-attacker: Skydd, Förebyggande

• Hur undviker man nätfiske och attacker?

• Ska jag rapportera Ransomware? Var rapporterar jag Ransomware?

• McAfee Ransomware Recover (Mr2) kan hjälpa till med att dekryptera filer

• Ransomware Response Playbook visar hur man hanterar skadlig programvara