Τις προηγούμενες μέρες, εάν κάποιος έπρεπε να κλέψει τον υπολογιστή σας, ήταν συνήθως δυνατό κρατώντας τον υπολογιστή σας είτε όντας φυσικά εκεί είτε χρησιμοποιώντας απομακρυσμένη πρόσβαση. Ενώ ο κόσμος έχει προχωρήσει με την αυτοματοποίηση, η ασφάλεια των υπολογιστών έχει ενισχυθεί, ένα πράγμα που δεν έχει αλλάξει είναι τα ανθρώπινα λάθη. Εκεί εμφανίζονται οι επιθέσεις Ransomware που λειτουργούν^{(Human-operated Ransomware Attacks)} από τον άνθρωπο . Πρόκειται για χειροποίητες επιθέσεις που εντοπίζουν μια ευπάθεια ή μια εσφαλμένη ρύθμιση παραμέτρων ασφαλείας στον υπολογιστή και αποκτούν πρόσβαση. Η Microsoft^(Microsoft) έχει καταλήξει σε μια εξαντλητική μελέτη περίπτωσης η οποία καταλήγει στο συμπέρασμα ότι ο διαχειριστής IT μπορεί να μετριάσει αυτές τις επιθέσεις Ransomware^{(Ransomware attacks)} που λειτουργούν από ανθρώπους με σημαντικό περιθώριο.

Μετριασμός επιθέσεων ransomware που λειτουργούν από τον άνθρωπο^{(Human-operated Ransomware Attacks)}

Σύμφωνα με τη Microsoft , ο καλύτερος τρόπος για να μετριαστούν αυτά τα είδη ransomware και οι χειροποίητες καμπάνιες είναι να αποκλείσετε κάθε περιττή επικοινωνία μεταξύ τελικών σημείων. Είναι επίσης εξίσου σημαντικό να ακολουθείτε τις βέλτιστες πρακτικές για την υγιεινή των διαπιστευτηρίων, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων^{(Multi-Factor Authentication)} , η παρακολούθηση προσπαθειών ωμής βίας, η εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας και πολλά άλλα. Ακολουθεί η πλήρης λίστα των αμυντικών μέτρων που πρέπει να ληφθούν:

• Βεβαιωθείτε ότι εφαρμόζετε τις συνιστώμενες ρυθμίσεις διαμόρφωσης^{(recommended configuration settings)} της Microsoft για την προστασία των υπολογιστών που είναι συνδεδεμένοι στο Διαδίκτυο.
• Το Defender ATP προσφέρει διαχείριση απειλών και ευπάθειας^{(threat and vulnerability management)} . Μπορείτε να το χρησιμοποιήσετε για να ελέγχετε τακτικά μηχανήματα για τρωτά σημεία, εσφαλμένες διαμορφώσεις και ύποπτες δραστηριότητες.
• Χρησιμοποιήστε πύλη MFA^{(MFA gateway)} , όπως Azure Multi-Factor Authentication ( MFA ) ή ενεργοποιήστε τον έλεγχο ταυτότητας σε επίπεδο δικτύου ( NLA ).
• Προσφέρετε ελάχιστα προνόμια σε λογαριασμούς^{(least-privilege to accounts)} και ενεργοποιήστε την πρόσβαση μόνο όταν απαιτείται. Οποιοσδήποτε λογαριασμός με πρόσβαση σε επίπεδο διαχειριστή σε επίπεδο τομέα θα πρέπει να είναι στο ελάχιστο ή στο μηδέν.
• Εργαλεία όπως το εργαλείο Local Administrator Password Solution ( LAPS ) μπορούν να διαμορφώσουν μοναδικούς τυχαίους κωδικούς πρόσβασης για λογαριασμούς διαχειριστή. Μπορείτε να τα αποθηκεύσετε στην υπηρεσία καταλόγου Active Directory^{(Active Directory)} (AD) και να προστατεύσετε χρησιμοποιώντας το ACL .
• Παρακολούθηση για προσπάθειες ωμής βίας. Θα πρέπει να ανησυχείτε, ειδικά εάν υπάρχουν πολλές αποτυχημένες προσπάθειες ελέγχου ταυτότητας. ^{(failed authentication attempts. )}Φιλτράρετε^(Filter) χρησιμοποιώντας το αναγνωριστικό συμβάντος 4625^{(ID 4625)} για να βρείτε τέτοιες εγγραφές.
• Οι εισβολείς συνήθως εκκαθαρίζουν τα αρχεία καταγραφής συμβάντων ασφαλείας και το αρχείο καταγραφής λειτουργίας του PowerShell^{(Security Event logs and PowerShell Operational log)} για να αφαιρέσουν όλα τα αποτυπώματά τους. Το Microsoft Defender ATP^{(Microsoft Defender ATP)} δημιουργεί ένα Αναγνωριστικό συμβάντος 1102^{(Event ID 1102)} όταν συμβεί αυτό.
• Ενεργοποιήστε τις λειτουργίες προστασίας από παραβίαση^{(Tamper protection)(Tamper protection)} για να αποτρέψετε τους εισβολείς να απενεργοποιήσουν τις λειτουργίες ασφαλείας.
• Διερευνήστε^{(Investigate)} το Αναγνωριστικό συμβάντος 4624^{(ID 4624)} για να βρείτε πού συνδέονται λογαριασμοί με υψηλά προνόμια. Εάν εισέλθουν σε ένα δίκτυο ή έναν υπολογιστή που έχει παραβιαστεί, τότε μπορεί να είναι πιο σημαντική απειλή.
• Ενεργοποιήστε την προστασία που παρέχεται από το cloud^{(Turn on cloud-delivered protection)} και την αυτόματη υποβολή δειγμάτων στο Windows Defender Antivirus . Σας προστατεύει από άγνωστες απειλές.
• Ενεργοποιήστε τους κανόνες μείωσης επιφάνειας επίθεσης. Μαζί με αυτό, ενεργοποιήστε κανόνες που αποκλείουν την κλοπή διαπιστευτηρίων, τη δραστηριότητα ransomware και την ύποπτη χρήση του PsExec και του WMI .
• Ενεργοποιήστε το  AMSI για το Office VBA  εάν έχετε Office 365.
• Αποτρέψτε την επικοινωνία RPC^{(Prevent RPC)} και SMB μεταξύ των τελικών σημείων όποτε είναι δυνατόν.

Διαβάστε^(Read) : Προστασία ransomware στα Windows 10^{(Ransomware protection in Windows 10)} .

Η Microsoft^(Microsoft) έχει εκπονήσει μια μελέτη περίπτωσης των Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Το Wadhrama^(Wadhrama) παραδίδεται χρησιμοποιώντας ωμές δυνάμεις στους διακομιστές που διαθέτουν απομακρυσμένη επιφάνεια εργασίας^{(Remote Desktop)} . Συνήθως ανακαλύπτουν μη επιδιορθωμένα συστήματα και χρησιμοποιούν αποκαλυπτόμενα τρωτά σημεία για να αποκτήσουν αρχική πρόσβαση ή να αυξήσουν τα προνόμια.
• Το Doppelpaymer^{(Doppelpaymer)} διαδίδεται με μη αυτόματο τρόπο μέσω παραβιασμένων δικτύων χρησιμοποιώντας κλεμμένα διαπιστευτήρια για προνομιούχους λογαριασμούς. Γι' αυτό είναι απαραίτητο να ακολουθείτε τις προτεινόμενες ρυθμίσεις διαμόρφωσης για όλους τους υπολογιστές.
• Ο Ryuk^(Ryuk) διανέμει ωφέλιμο φορτίο μέσω email ( Trickboat ) εξαπατώντας τον τελικό χρήστη για κάτι άλλο. Πρόσφατα χάκερ χρησιμοποίησαν τον τρόμο Coronavirus για να ξεγελάσουν τον τελικό χρήστη. Ένας από αυτούς ήταν επίσης σε θέση να παραδώσει το ωφέλιμο φορτίο Emotet .

Το κοινό πράγμα για καθένα από αυτά^{(common thing about each of them)} είναι ότι χτίζονται με βάση τις καταστάσεις. Φαίνεται να εκτελούν τακτικές γορίλων όπου μετακινούνται από τη μια μηχανή στην άλλη για να παραδώσουν το ωφέλιμο φορτίο. Είναι σημαντικό οι διαχειριστές IT όχι μόνο να παρακολουθούν τη συνεχιζόμενη επίθεση, ακόμη και αν είναι μικρής κλίμακας, και να εκπαιδεύουν τους υπαλλήλους για το πώς μπορούν να βοηθήσουν στην προστασία του δικτύου.

Ελπίζω ότι όλοι οι διαχειριστές IT μπορούν να ακολουθήσουν την πρόταση και να φροντίσουν να μετριάσουν τις επιθέσεις Ransomware που λειτουργούν από ανθρώπους.^(Ransomware)

Σχετικό διάβασμα^{(Related read)} : Τι πρέπει να κάνετε μετά από μια επίθεση Ransomware στον υπολογιστή σας με Windows;^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usually possible by getting hold of your computеr either by physiсally being there or using remote access. While the world has moved ahead with automation, computer security has tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Επιθέσεις Ransomware, Ορισμός, Παραδείγματα, Προστασία, Αφαίρεση

• Δωρεάν λογισμικό Anti-Ransomware για υπολογιστές με Windows

• Δημιουργήστε κανόνες ηλεκτρονικού ταχυδρομείου για να αποτρέψετε το Ransomware στο Microsoft 365 Business

• Ενεργοποιήστε και ρυθμίστε το Ransomware Protection στο Windows Defender

• Προστασία ransomware στα Windows 11/10

• Κυβερνοεπιθέσεις - Ορισμός, Τύποι, Πρόληψη

• Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;

• Πρέπει να αναφέρω Ransomware; Πού μπορώ να αναφέρω Ransomware;

• Το CyberGhost Immunizer θα βοηθήσει στην αποτροπή επιθέσεων ransomware

• Τι είναι το Ransom Denial of Service (RDoS); Πρόληψη και προφυλάξεις

• Επιθέσεις Brute Force - Ορισμός και Πρόληψη

• Λίστα με τα δωρεάν Εργαλεία αποκρυπτογράφησης Ransomware για ξεκλείδωμα αρχείων

• Πώς να προστατεύσετε και να αποτρέψετε επιθέσεις και μολύνσεις Ransomware

• Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL

• Επιθέσεις DDoS Distributed Denial of Service: Προστασία, Πρόληψη

• Τι να κάνετε μετά από μια επίθεση Ransomware στον υπολογιστή σας με Windows;

• Το McAfee Ransomware Recover (Mr2) μπορεί να βοηθήσει στην αποκρυπτογράφηση αρχείων

• Επιθέσεις, προστασία και ανίχνευση κακόβουλου λογισμικού χωρίς αρχεία

• Το Ransomware Response Playbook δείχνει πώς να αντιμετωπίσετε το κακόβουλο λογισμικό