V skorších dobách, ak niekto musel uniesť váš počítač, bolo to zvyčajne možné tak, že sa zmocnil vášho počítača buď fyzicky, alebo pomocou vzdialeného prístupu. Kým sa svet posunul vpred s automatizáciou, počítačová bezpečnosť sa sprísnila, jedna vec, ktorá sa nezmenila, sú ľudské chyby. To je miesto, kde prichádzajú do úvahy útoky ransomvéru ovládané ľuďmi . ^{(Human-operated Ransomware Attacks)}Ide o ručne vyrobené útoky, ktoré nájdu zraniteľnosť alebo nesprávne nakonfigurované zabezpečenie v počítači a získajú prístup. Microsoft prišiel s vyčerpávajúcou prípadovou štúdiou, ktorá dospela k záveru, že správca IT môže zmierniť tieto útoky ransomvéru^{(Ransomware attacks)} ovládané ľuďmi so značným náskokom.

Zmiernenie útokov ransomvéru prevádzkovaných ľuďmi^{(Human-operated Ransomware Attacks)}

Podľa spoločnosti Microsoft je najlepším spôsobom, ako zmierniť tieto druhy ransomvéru a ručne vyrábané kampane, zablokovať všetku nepotrebnú komunikáciu medzi koncovými bodmi. Rovnako dôležité je dodržiavať osvedčené postupy pre hygienu poverení, ako je napríklad viacfaktorová autentifikácia^{(Multi-Factor Authentication)} , monitorovanie pokusov hrubou silou, inštalácia najnovších bezpečnostných aktualizácií a ďalšie. Tu je úplný zoznam obranných opatrení, ktoré je potrebné prijať:

• Uistite sa, že používate konfiguračné nastavenia odporúčané^{(recommended configuration settings)} spoločnosťou Microsoft na ochranu počítačov pripojených na internet.
• Defender ATP ponúka správu hrozieb a zraniteľností^{(threat and vulnerability management)} . Môžete ho použiť na pravidelný audit počítačov, či neobsahujú zraniteľné miesta, nesprávne konfigurácie a podozrivé aktivity.
• Použite bránu MFA^{(MFA gateway)} , ako je Azure Multi-Factor Authentication ( MFA ) alebo povoľte autentifikáciu na úrovni siete ( NLA ).
• Ponúknite účtom minimálne privilégiá^{(least-privilege to accounts)} a povoľte prístup iba v prípade potreby. Každý účet s prístupom na úrovni správcu v celej doméne by mal byť minimálne alebo nulový.
• Nástroje ako nástroj Local Administrator Password Solution ( LAPS ) môžu konfigurovať jedinečné náhodné heslá pre správcovské účty. Môžete ich uložiť v Active Directory (AD) a chrániť pomocou ACL .
• Sledujte pokusy hrubou silou. Mali by ste byť znepokojení, najmä ak existuje veľa neúspešných pokusov o overenie. ^{(failed authentication attempts. )}Filtrujte^(Filter) pomocou ID udalosti 4625^{(ID 4625)} a nájdite takéto položky.
• Útočníci zvyčajne vyčistia denníky udalostí zabezpečenia a prevádzkový denník PowerShell^{(Security Event logs and PowerShell Operational log)} , aby odstránili všetky svoje stopy. Keď k tomu dôjde, Microsoft Defender ATP vygeneruje ID udalosti 1102 .^{(Event ID 1102)}
• Zapnite funkcie ochrany pred manipuláciou^{(Tamper protection)(Tamper protection)} , aby ste zabránili útočníkom vypnúť bezpečnostné funkcie.
• Preskúmajte^{(Investigate)} udalosť ID 4624 a zistite, kde sa prihlasujú účty s vysokými oprávneniami. Ak sa dostanú do siete alebo počítača, ktorý je kompromitovaný, potom to môže byť významnejšia hrozba.
• Zapnite cloudovú ochranu^{(Turn on cloud-delivered protection)} a automatické odosielanie vzoriek v programe Windows Defender Antivirus . Chráni vás pred neznámymi hrozbami.
• Zapnite pravidlá redukcie útočnej plochy. Spolu s tým povoľte pravidlá, ktoré blokujú krádež poverení, aktivitu ransomvéru a podozrivé používanie PsExec a WMI .
•  Ak máte Office 365, zapnite  AMSI pre Office VBA .
• Zabráňte RPC^{(Prevent RPC)} a SMB komunikácii medzi koncovými bodmi vždy, keď je to možné.

Prečítajte si^(Read) : Ochrana pred ransomvérom v systéme Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft predložil prípadovú štúdiu Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama sa dodáva pomocou brutálnych síl, ktoré sa dostanú na servery so vzdialenou^{(Remote Desktop)} pracovnou plochou . Zvyčajne objavia neopravené systémy a použijú odhalené zraniteľnosti na získanie počiatočného prístupu alebo zvýšenie privilégií.
• Doppelpaymer sa manuálne šíri cez napadnuté siete pomocou ukradnutých poverení pre privilegované účty. Preto je nevyhnutné dodržiavať odporúčané konfiguračné nastavenia pre všetky počítače.
• Ryuk distribuuje užitočné zaťaženie e-mailom ( Trickboat ) oklamaním koncového používateľa o niečom inom. Hackeri nedávno použili vystrašenie z koronavírusu , aby oklamali koncového používateľa. Jeden z nich bol tiež schopný dopraviť náklad Emotet .

Spoločnou vecou každého z nich^{(common thing about each of them)} je, že sú postavené na základe situácií. Zdá sa, že vykonávajú gorilú taktiku, pri ktorej sa presúvajú z jedného stroja na druhý, aby doručili užitočné zaťaženie. Je nevyhnutné, aby správcovia IT nielen sledovali prebiehajúci útok, aj keď ide o malý útok, a aby vzdelávali zamestnancov o tom, ako môžu pomôcť chrániť sieť.

Dúfam, že všetci správcovia IT môžu nasledovať tento návrh a uistiť sa, že zmiernia útoky ransomvéru spôsobené^(Ransomware) ľuďmi .

Súvisiace čítanie^{(Related read)} : Čo robiť po útoku ransomvéru na váš počítač so systémom Windows?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usuаlly possіble by gеtting hold of your computеr either by phyѕicallу beіng there or using remote access. While the world has moved ahead with automation, computer security has tightened, one thing that hasn’t changed is hυman mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware útoky, definícia, príklady, ochrana, odstránenie

• Bezplatný softvér Anti-Ransomware pre počítače so systémom Windows

• Vytvorte e-mailové pravidlá na zabránenie Ransomvéru v Microsoft 365 Business

• Povoľte a nakonfigurujte ochranu pred ransomvérom v programe Windows Defender

• Ochrana pred ransomvérom v systéme Windows 11/10

• CyberGhost Immunizer pomôže predchádzať útokom ransomvéru

• Zoznam bezplatných nástrojov na dešifrovanie ransomvéru na odomknutie súborov

• Ako sa chrániť pred ransomvérovými útokmi a infekciami a ako im predchádzať

• Čo robiť po útoku ransomvéru na váš počítač so systémom Windows?

• Útoky hrubou silou – definícia a prevencia

• Čo je Ransom Denial of Service (RDoS)? Prevencia a preventívne opatrenia

• DDoS distribuované útoky odmietnutia služby: ochrana, prevencia

• Mám nahlásiť Ransomware? Kde nahlásim ransomvér?

• Ransomware Response Playbook ukazuje, ako sa vysporiadať s malvérom

• McAfee Ransomware Recover (Mr2) môže pomôcť pri dešifrovaní súborov

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Bezsúborové útoky, ochrana a detekcia škodlivého softvéru

• DLL Hijacking Vulnerability Útoky, prevencia a detekcia

• Kybernetické útoky – definícia, typy, prevencia