Ранијих дана, ако је неко морао да вам отме рачунар, то је обично било могуће тако што се дочепа вашег рачунара или физичким присуством или коришћењем даљинског приступа. Док је свет напредовао са аутоматизацијом, компјутерска безбедност је пооштрена, једна ствар која се није променила су људске грешке. Ту се појављују напади рансомвера којима управљају људи^{(Human-operated Ransomware Attacks)} . Ово су ручно израђени напади који проналазе рањивост или погрешно конфигурисану безбедност на рачунару и добијају приступ. Мицрософт^(Microsoft) је осмислио исцрпну студију случаја у којој се закључује да ИТ администратор може значајно ублажити ове нападе Рансомваре^{(Ransomware attacks)} - а којима управљају људи.

Ублажавање напада рансомваре-а којима управљају људи^{(Human-operated Ransomware Attacks)}

Према Мицрософт^(Microsoft) -у, најбољи начин да се ублажи ова врста рансомваре-а и ручно израђених кампања је блокирање сваке непотребне комуникације између крајњих тачака. Такође је подједнако важно пратити најбоље праксе за хигијену акредитива као што је вишефакторска аутентификација^{(Multi-Factor Authentication)} , праћење покушаја грубе силе, инсталирање најновијих безбедносних ажурирања и још много тога. Ево комплетне листе одбрамбених мера које треба предузети:

• Обавезно примените подешавања конфигурације које препоручује^{(recommended configuration settings)} Мицрософт да бисте заштитили рачунаре повезане на интернет.
• Дефендер АТП нуди управљање претњама и рањивостима^{(threat and vulnerability management)} . Можете га користити за редовну ревизију машина у потрази за рањивостима, погрешним конфигурацијама и сумњивим активностима.
• Користите МФА мрежни пролаз^{(MFA gateway)} као што је Азуре вишефакторска аутентикација^{(Azure Multi-Factor Authentication)} ( МФА^(MFA) ) или омогућите аутентификацију на нивоу мреже ( НЛА^(NLA) ).
• Понудите најмање привилегије налозима^{(least-privilege to accounts)} и омогућите приступ само када је то потребно. Сваки налог са приступом на нивоу администратора на нивоу домена треба да буде на минимуму или на нули.
• Алати као што је Лоцал Администратор Пассворд Солутион ( ЛАПС^(LAPS) ) могу да конфигуришу јединствене насумичне лозинке за администраторске налоге. Можете их ускладиштити у Ацтиве Дирецтори^{(Active Directory)} (АД) и заштитити помоћу АЦЛ^(ACL) -а .
• Пратите покушаје грубе силе. Требало би да будете узнемирени, посебно ако има много неуспешних покушаја аутентификације. ^{(failed authentication attempts. )}Филтрирајте^(Filter) користећи ИД догађаја 4625^{(ID 4625)} да бисте пронашли такве уносе.
• Нападачи обично бришу евиденције безбедносних догађаја и ПоверСхелл оперативни дневник^{(Security Event logs and PowerShell Operational log)} да би уклонили све своје трагове. Мицрософт Дефендер АТП^{(Microsoft Defender ATP)} генерише ИД догађаја 1102^{(Event ID 1102)} када се то догоди.
• Укључите функције заштите^{(Tamper protection)(Tamper protection)} од неовлашћеног приступа да спречите нападаче да искључе безбедносне функције.
• Истражите^{(Investigate)} ИД догађаја 4624^{(ID 4624)} да бисте пронашли где се налози са високим привилегијама пријављују. Ако уђу у мрежу или рачунар који је компромитован, онда то може бити значајнија претња.
• Укључите заштиту испоручену у облаку^{(Turn on cloud-delivered protection)} и аутоматско слање узорка на Виндовс Дефендер Антивирус^{(Windows Defender Antivirus)} . Штити вас од непознатих претњи.
• Укључите правила смањења површине напада. Уз то, омогућите правила која блокирају крађу акредитива, активност рансомвера и сумњиву употребу ПсЕкец^(PsExec) и ВМИ^(WMI) .
• Укључите  АМСИ^(AMSI) за Оффице ВБА^{(Office VBA)}  ако имате Оффице 365.
• Спречите РПЦ^{(Prevent RPC)} и СМБ^(SMB) комуникацију између крајњих тачака кад год је то могуће.

Прочитајте^(Read) : Заштита од рансомваре-а у оперативном систему Виндовс 10^{(Ransomware protection in Windows 10)} .

Мицрософт^(Microsoft) је поставио студију случаја Вадхрама^(Wadhrama) , Доппелпаимер^{(Doppelpaymer)} , Риук^(Ryuk) , Самас^(Samas) , РЕвил^(REvil)

• Вадхрама^(Wadhrama) се испоручује коришћењем грубе силе до сервера који имају удаљену радну површину^{(Remote Desktop)} . Обично откривају незакрпљене системе и користе откривене рањивости да би добили почетни приступ или подигли привилегије.
• Доппелпаимер^{(Doppelpaymer)} се ручно шири кроз компромитоване мреже користећи украдене акредитиве за привилеговане налоге. Због тога је неопходно пратити препоручена подешавања конфигурације за све рачунаре.
• Риук^(Ryuk) дистрибуира корисни терет преко е-поште ( Трицкбоат^(Trickboat) ) преваривши крајњег корисника о нечем другом. Недавно су хакери користили страх од корона вируса да преваре крајњег корисника. Један од њих је такође био у могућности да испоручи Емотет корисни терет .

Заједничка ствар код сваког од њих^{(common thing about each of them)} је да су изграђене на основу ситуација. Чини се да изводе тактику гориле где се крећу са једне машине на другу машину како би испоручили терет. Од суштинског је значаја да ИТ администратори не само да прате текући напад, чак и ако је у малом обиму, већ и да едукују запослене о томе како могу да помогну у заштити мреже.

Надам се да ће сви ИТ администратори моћи да прате предлог и да се постарају да ублаже нападе Рансомваре^(Ransomware) -а које управљају људи .

Повезано читање^{(Related read)} : Шта учинити након Рансомваре напада на ваш Виндовс рачунар?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijаck уour computer, it was uѕually possible by getting hold of your computer either by physically being there or using remоtе access. While the world has moνed ahead with automation, computer security haѕ tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Рансомваре напади, дефиниција, примери, заштита, уклањање

• Бесплатан софтвер против рансомваре-а за Виндовс рачунаре

• Креирајте правила е-поште да бисте спречили Рансомваре у Мицрософт 365 Бусинесс

• Омогућите и конфигуришите заштиту од Рансомваре-а у Виндовс Дефендер-у

• Заштита од рансомваре-а у оперативном систему Виндовс 11/10

• Како се заштитити од и спречити Рансомваре нападе и инфекције

• Како избећи пхисхинг преваре и нападе?

• Сајбер напади – дефиниција, врсте, превенција

• ДДоС дистрибуирани напади ускраћивања услуге: заштита, превенција

• Напади злонамерног софтвера без датотека, заштита и откривање

• Листа бесплатних алата за дешифровање рансомвера за откључавање датотека

• Приручник за одговоре на рансомваре показује како се носити са малвером

• Напади рањивости на отмицу ДЛЛ-а, превенција и откривање

• МцАфее Рансомваре Рецовер (Мр2) може помоћи у дешифровању датотека

• ЦиберГхост Иммунизер ће помоћи у спречавању напада рансомваре-а

• Напади грубом силом - дефиниција и превенција

• Шта је ускраћивање услуге откупнином (РДоС)? Превенција и мере предострожности

• Шта учинити након Рансомваре напада на ваш Виндовс рачунар?

• Да ли треба да пријавим Рансомваре? Где да пријавим Рансомваре?