Πώς να μετριάζετε τις επιθέσεις Ransomware που λειτουργούν από ανθρώπους: Infographic
Τις προηγούμενες μέρες, εάν κάποιος έπρεπε να κλέψει τον υπολογιστή σας, ήταν συνήθως δυνατό κρατώντας τον υπολογιστή σας είτε όντας φυσικά εκεί είτε χρησιμοποιώντας απομακρυσμένη πρόσβαση. Ενώ ο κόσμος έχει προχωρήσει με την αυτοματοποίηση, η ασφάλεια των υπολογιστών έχει ενισχυθεί, ένα πράγμα που δεν έχει αλλάξει είναι τα ανθρώπινα λάθη. Εκεί εμφανίζονται οι επιθέσεις Ransomware που λειτουργούν(Human-operated Ransomware Attacks) από τον άνθρωπο . Πρόκειται για χειροποίητες επιθέσεις που εντοπίζουν μια ευπάθεια ή μια εσφαλμένη ρύθμιση παραμέτρων ασφαλείας στον υπολογιστή και αποκτούν πρόσβαση. Η Microsoft(Microsoft) έχει καταλήξει σε μια εξαντλητική μελέτη περίπτωσης η οποία καταλήγει στο συμπέρασμα ότι ο διαχειριστής IT μπορεί να μετριάσει αυτές τις επιθέσεις Ransomware(Ransomware attacks) που λειτουργούν από ανθρώπους με σημαντικό περιθώριο.
Μετριασμός επιθέσεων ransomware που λειτουργούν από τον άνθρωπο(Human-operated Ransomware Attacks)
Σύμφωνα με τη Microsoft , ο καλύτερος τρόπος για να μετριαστούν αυτά τα είδη ransomware και οι χειροποίητες καμπάνιες είναι να αποκλείσετε κάθε περιττή επικοινωνία μεταξύ τελικών σημείων. Είναι επίσης εξίσου σημαντικό να ακολουθείτε τις βέλτιστες πρακτικές για την υγιεινή των διαπιστευτηρίων, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων(Multi-Factor Authentication) , η παρακολούθηση προσπαθειών ωμής βίας, η εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας και πολλά άλλα. Ακολουθεί η πλήρης λίστα των αμυντικών μέτρων που πρέπει να ληφθούν:
- Βεβαιωθείτε ότι εφαρμόζετε τις συνιστώμενες ρυθμίσεις διαμόρφωσης(recommended configuration settings) της Microsoft για την προστασία των υπολογιστών που είναι συνδεδεμένοι στο Διαδίκτυο.
- Το Defender ATP προσφέρει διαχείριση απειλών και ευπάθειας(threat and vulnerability management) . Μπορείτε να το χρησιμοποιήσετε για να ελέγχετε τακτικά μηχανήματα για τρωτά σημεία, εσφαλμένες διαμορφώσεις και ύποπτες δραστηριότητες.
- Χρησιμοποιήστε πύλη MFA(MFA gateway) , όπως Azure Multi-Factor Authentication ( MFA ) ή ενεργοποιήστε τον έλεγχο ταυτότητας σε επίπεδο δικτύου ( NLA ).
- Προσφέρετε ελάχιστα προνόμια σε λογαριασμούς(least-privilege to accounts) και ενεργοποιήστε την πρόσβαση μόνο όταν απαιτείται. Οποιοσδήποτε λογαριασμός με πρόσβαση σε επίπεδο διαχειριστή σε επίπεδο τομέα θα πρέπει να είναι στο ελάχιστο ή στο μηδέν.
- Εργαλεία όπως το εργαλείο Local Administrator Password Solution ( LAPS ) μπορούν να διαμορφώσουν μοναδικούς τυχαίους κωδικούς πρόσβασης για λογαριασμούς διαχειριστή. Μπορείτε να τα αποθηκεύσετε στην υπηρεσία καταλόγου Active Directory(Active Directory) (AD) και να προστατεύσετε χρησιμοποιώντας το ACL .
- Παρακολούθηση για προσπάθειες ωμής βίας. Θα πρέπει να ανησυχείτε, ειδικά εάν υπάρχουν πολλές αποτυχημένες προσπάθειες ελέγχου ταυτότητας. (failed authentication attempts. )Φιλτράρετε(Filter) χρησιμοποιώντας το αναγνωριστικό συμβάντος 4625(ID 4625) για να βρείτε τέτοιες εγγραφές.
- Οι εισβολείς συνήθως εκκαθαρίζουν τα αρχεία καταγραφής συμβάντων ασφαλείας και το αρχείο καταγραφής λειτουργίας του PowerShell(Security Event logs and PowerShell Operational log) για να αφαιρέσουν όλα τα αποτυπώματά τους. Το Microsoft Defender ATP(Microsoft Defender ATP) δημιουργεί ένα Αναγνωριστικό συμβάντος 1102(Event ID 1102) όταν συμβεί αυτό.
- Ενεργοποιήστε τις λειτουργίες προστασίας από παραβίαση(Tamper protection)(Tamper protection) για να αποτρέψετε τους εισβολείς να απενεργοποιήσουν τις λειτουργίες ασφαλείας.
- Διερευνήστε(Investigate) το Αναγνωριστικό συμβάντος 4624(ID 4624) για να βρείτε πού συνδέονται λογαριασμοί με υψηλά προνόμια. Εάν εισέλθουν σε ένα δίκτυο ή έναν υπολογιστή που έχει παραβιαστεί, τότε μπορεί να είναι πιο σημαντική απειλή.
- Ενεργοποιήστε την προστασία που παρέχεται από το cloud(Turn on cloud-delivered protection) και την αυτόματη υποβολή δειγμάτων στο Windows Defender Antivirus . Σας προστατεύει από άγνωστες απειλές.
- Ενεργοποιήστε τους κανόνες μείωσης επιφάνειας επίθεσης. Μαζί με αυτό, ενεργοποιήστε κανόνες που αποκλείουν την κλοπή διαπιστευτηρίων, τη δραστηριότητα ransomware και την ύποπτη χρήση του PsExec και του WMI .
- Ενεργοποιήστε το AMSI για το Office VBA εάν έχετε Office 365.
- Αποτρέψτε την επικοινωνία RPC(Prevent RPC) και SMB μεταξύ των τελικών σημείων όποτε είναι δυνατόν.
Διαβάστε(Read) : Προστασία ransomware στα Windows 10(Ransomware protection in Windows 10) .
Η Microsoft(Microsoft) έχει εκπονήσει μια μελέτη περίπτωσης των Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Το Wadhrama(Wadhrama) παραδίδεται χρησιμοποιώντας ωμές δυνάμεις στους διακομιστές που διαθέτουν απομακρυσμένη επιφάνεια εργασίας(Remote Desktop) . Συνήθως ανακαλύπτουν μη επιδιορθωμένα συστήματα και χρησιμοποιούν αποκαλυπτόμενα τρωτά σημεία για να αποκτήσουν αρχική πρόσβαση ή να αυξήσουν τα προνόμια.
- Το Doppelpaymer(Doppelpaymer) διαδίδεται με μη αυτόματο τρόπο μέσω παραβιασμένων δικτύων χρησιμοποιώντας κλεμμένα διαπιστευτήρια για προνομιούχους λογαριασμούς. Γι' αυτό είναι απαραίτητο να ακολουθείτε τις προτεινόμενες ρυθμίσεις διαμόρφωσης για όλους τους υπολογιστές.
- Ο Ryuk(Ryuk) διανέμει ωφέλιμο φορτίο μέσω email ( Trickboat ) εξαπατώντας τον τελικό χρήστη για κάτι άλλο. Πρόσφατα χάκερ χρησιμοποίησαν τον τρόμο Coronavirus για να ξεγελάσουν τον τελικό χρήστη. Ένας από αυτούς ήταν επίσης σε θέση να παραδώσει το ωφέλιμο φορτίο Emotet .
Το κοινό πράγμα για καθένα από αυτά(common thing about each of them) είναι ότι χτίζονται με βάση τις καταστάσεις. Φαίνεται να εκτελούν τακτικές γορίλων όπου μετακινούνται από τη μια μηχανή στην άλλη για να παραδώσουν το ωφέλιμο φορτίο. Είναι σημαντικό οι διαχειριστές IT όχι μόνο να παρακολουθούν τη συνεχιζόμενη επίθεση, ακόμη και αν είναι μικρής κλίμακας, και να εκπαιδεύουν τους υπαλλήλους για το πώς μπορούν να βοηθήσουν στην προστασία του δικτύου.
Ελπίζω ότι όλοι οι διαχειριστές IT μπορούν να ακολουθήσουν την πρόταση και να φροντίσουν να μετριάσουν τις επιθέσεις Ransomware που λειτουργούν από ανθρώπους.(Ransomware)
Σχετικό διάβασμα(Related read) : Τι πρέπει να κάνετε μετά από μια επίθεση Ransomware στον υπολογιστή σας με Windows;(What to do after a Ransomware attack on your Windows computer?)
Related posts
Επιθέσεις Ransomware, Ορισμός, Παραδείγματα, Προστασία, Αφαίρεση
Δωρεάν λογισμικό Anti-Ransomware για υπολογιστές με Windows
Δημιουργήστε κανόνες ηλεκτρονικού ταχυδρομείου για να αποτρέψετε το Ransomware στο Microsoft 365 Business
Ενεργοποιήστε και ρυθμίστε το Ransomware Protection στο Windows Defender
Προστασία ransomware στα Windows 11/10
Κυβερνοεπιθέσεις - Ορισμός, Τύποι, Πρόληψη
Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;
Πρέπει να αναφέρω Ransomware; Πού μπορώ να αναφέρω Ransomware;
Το CyberGhost Immunizer θα βοηθήσει στην αποτροπή επιθέσεων ransomware
Τι είναι το Ransom Denial of Service (RDoS); Πρόληψη και προφυλάξεις
Επιθέσεις Brute Force - Ορισμός και Πρόληψη
Λίστα με τα δωρεάν Εργαλεία αποκρυπτογράφησης Ransomware για ξεκλείδωμα αρχείων
Πώς να προστατεύσετε και να αποτρέψετε επιθέσεις και μολύνσεις Ransomware
Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL
Επιθέσεις DDoS Distributed Denial of Service: Προστασία, Πρόληψη
Τι να κάνετε μετά από μια επίθεση Ransomware στον υπολογιστή σας με Windows;
Το McAfee Ransomware Recover (Mr2) μπορεί να βοηθήσει στην αποκρυπτογράφηση αρχείων
Επιθέσεις, προστασία και ανίχνευση κακόβουλου λογισμικού χωρίς αρχεία
Το Ransomware Response Playbook δείχνει πώς να αντιμετωπίσετε το κακόβουλο λογισμικό