Korábban, ha valakinek el kellett térítenie a számítógépét, az általában úgy volt lehetséges, hogy fizikailag ott volt, vagy távoli hozzáféréssel megszerezte a számítógépét. Miközben a világ előrehaladt az automatizálás terén, a számítógépes biztonság szigorodott, egy dolog, ami nem változott, az emberi hibák. Itt jön a képbe az ember által működtetett Ransomware Attacks^{(Human-operated Ransomware Attacks)} . Ezek kézzel készített támadások, amelyek sebezhetőséget vagy rosszul konfigurált biztonsági rést találnak a számítógépen, és hozzáférést kapnak. A Microsoft^(Microsoft) kimerítő esettanulmányt készített, amely arra a következtetésre jutott, hogy az informatikai rendszergazda jelentős mértékben képes mérsékelni ezeket az ember által működtetett Ransomware támadásokat^{(Ransomware attacks)} .

Az ember által működtetett Ransomware támadások^{(Human-operated Ransomware Attacks)} mérséklése

A Microsoft szerint az ilyen típusú zsarolóvírusok és a kézzel készített kampányok visszaszorításának legjobb módja a végpontok közötti minden szükségtelen kommunikáció blokkolása. Ugyanilyen fontos a bevált gyakorlatok követése a hitelesítő adatok higiéniájára vonatkozóan, mint például a többtényezős hitelesítés^{(Multi-Factor Authentication)} , a nyers erőszakos kísérletek figyelése, a legújabb biztonsági frissítések telepítése stb. Íme a meghozandó védelmi intézkedések teljes listája:

• Ügyeljen arra, hogy alkalmazza a Microsoft által javasolt konfigurációs beállításokat^{(recommended configuration settings)} az internethez csatlakozó számítógépek védelme érdekében.
• A Defender ATP fenyegetés- és sebezhetőségkezelést^{(threat and vulnerability management)} kínál . Segítségével rendszeresen ellenőrizheti a gépeket sebezhetőségek, hibás konfigurációk és gyanús tevékenységek keresésére.
• Használjon MFA-átjárót^{(MFA gateway)} , például az Azure Multi-Factor Authentication- t ( MFA ), vagy engedélyezze a hálózati szintű hitelesítést ( NLA ).
• A legkevesebb jogosultságot kínálja a fiókoknak^{(least-privilege to accounts)} , és csak szükség esetén engedélyezze a hozzáférést. A domainszintű rendszergazdai szintű hozzáféréssel rendelkező fiókoknak minimálisnak vagy nullának kell lenniük.
• Az olyan eszközök, mint a Local Administrator Password Solution ( LAPS ) eszköz egyedi véletlenszerű jelszavakat konfigurálhatnak a rendszergazdai fiókokhoz. Tárolhatja őket az Active Directoryban^{(Active Directory)} (AD), és az ACL használatával védheti őket .
• Nyomon követi a brute force kísérleteket. Meg kell ijedni, különösen, ha sok a sikertelen hitelesítési kísérlet. ^{(failed authentication attempts. )}Szűrjön a ^(Filter)4625^{(ID 4625)} -ös eseményazonosítóval az ilyen bejegyzések kereséséhez.
• A támadók általában törlik a biztonsági eseménynaplókat és a PowerShell működési naplót^{(Security Event logs and PowerShell Operational log)} , hogy eltávolítsák az összes lábnyomukat. A Microsoft Defender ATP ^{(Microsoft Defender ATP)}1102-es eseményazonosítót^{(Event ID 1102)} generál, amikor ez megtörténik.
• Kapcsolja be a Szabotázs elleni védelmi^{(Tamper protection)(Tamper protection)} funkciókat, hogy megakadályozza, hogy a támadók kikapcsolják a biztonsági funkciókat.
• Vizsgálja meg a ^{(Investigate)}4624-es azonosítójú^{(ID 4624)} eseményt , hogy megtudja, hol jelentkeznek be a magas jogosultságokkal rendelkező fiókok. Ha olyan hálózatba vagy számítógépbe kerülnek, amely feltört, akkor az komolyabb veszélyt jelenthet.
• Kapcsolja be a felhőalapú védelmet^{(Turn on cloud-delivered protection)} és az automatikus mintaküldést a Windows Defender Antivirus alkalmazásban . Megvédi Önt az ismeretlen fenyegetésektől.
• Kapcsolja be a támadási felület csökkentésére vonatkozó szabályokat. Ezzel együtt engedélyezze azokat a szabályokat, amelyek blokkolják a hitelesítő adatok ellopását, a zsarolóprogramok tevékenységét, valamint a PsExec és a WMI gyanús használatát .
• Kapcsolja be az  AMSI - t az Office VBA -hoz  , ha rendelkezik Office 365-tel.
• Lehetőleg akadályozza meg az RPC^{(Prevent RPC)} és SMB kommunikációt a végpontok között.

Olvassa el^(Read) : Ransomware elleni védelem a Windows 10 rendszerben^{(Ransomware protection in Windows 10)} .

A Microsoft^(Microsoft) esettanulmányt készített Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• A Wadhramát^(Wadhrama) nyers erők segítségével juttatják el a távoli asztallal^{(Remote Desktop)} rendelkező szerverekre . Általában nem javított rendszereket fedeznek fel, és a felfedett sebezhetőségeket használják fel a kezdeti hozzáférés megszerzésére vagy a jogosultságok növelésére.
• A Doppelpaymert^{(Doppelpaymer)} manuálisan terjesztik feltört hálózatokon, privilegizált fiókokhoz tartozó lopott hitelesítő adatok segítségével. Ezért elengedhetetlen, hogy minden számítógépen kövesse az ajánlott konfigurációs beállításokat.
• A Ryuk^(Ryuk) e- mailen keresztül osztja el a hasznos terhet ( Trickboat ) úgy, hogy valami mással csalja meg a végfelhasználót. A közelmúltban a hackerek a koronavírus -rémülettel próbálták becsapni a végfelhasználót. Egyikük az Emotet rakományát is ki tudta szállítani .

Mindegyikben az a közös,^{(common thing about each of them)} hogy helyzetekre épülnek. Úgy tűnik, hogy gorilla-taktikát hajtanak végre, amikor egyik gépről a másikra költöznek, hogy szállítsák a hasznos terhet. Alapvető fontosságú, hogy az informatikai rendszergazdák ne csak figyeljék a folyamatban lévő támadásokat, még akkor is, ha az kis léptékű, és tájékoztassák az alkalmazottakat arról, hogyan segíthetik a hálózat védelmét.

Remélem, minden informatikai adminisztrátor követni tudja a javaslatot, és gondoskodik az ember által működtetett Ransomware támadások mérsékléséről.

Kapcsolódó olvasmány^{(Related read)} : Mi a teendő a Windows számítógépét ért Ransomware támadás után?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone hаs to hijack your computer, it was usually possible by getting hold of your computer eithеr by physically being there or using remote access. Whilе the world has moved aheаd with automation, cоmputer securіty has tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware támadások, meghatározás, példák, védelem, eltávolítás

• Ingyenes Ransomware elleni szoftver Windows számítógépekhez

• Hozzon létre e-mail szabályokat a Ransomware megelőzésére a Microsoft 365 Business rendszerben

• Engedélyezze és konfigurálja a Ransomware Protectiont a Windows Defenderben

• Ransomware védelem a Windows 11/10 rendszerben

• Jelentsem a Ransomware-t? Hol jelenthetem a Ransomware-t?

• Hogyan védekezzünk a Ransomware támadások és fertőzések ellen, és megelőzzük azokat

• Brute Force Attacks – Meghatározás és megelőzés

• DLL-eltérítési sebezhetőségi támadások, megelőzés és észlelés

• Fájl nélküli rosszindulatú támadások, védelem és észlelés

• A Ransomware Response Playbook bemutatja, hogyan kell kezelni a rosszindulatú programokat

• Az ingyenes Ransomware visszafejtő eszközök listája a fájlok feloldásához

• DDoS elosztott szolgáltatásmegtagadási támadások: védelem, megelőzés

• A McAfee Ransomware Recover (Mr2) segíthet a fájlok visszafejtésében

• Hogyan kerülhetjük el az adathalász csalásokat és támadásokat?

• Mi a teendő a Windows számítógépét ért Ransomware támadás után?

• A CyberGhost Immunizer segít megelőzni a ransomware támadásokat

• Kibertámadások – meghatározás, típusok, megelőzés

• Mi az a Ransom Denial of Service (RDoS)? Megelőzés és óvintézkedések