Aikaisemmin, jos jonkun on kaapattava tietokoneesi, se oli yleensä mahdollista hankkimalla tietokoneesi joko fyysisesti paikalla tai käyttämällä etäkäyttöä. Vaikka maailma on edennyt automaation kanssa, tietoturva on kiristynyt, yksi asia, joka ei ole muuttunut, ovat inhimilliset virheet. Siellä ihmisen toimittamat Ransomware Attacks -hyökkäykset^{(Human-operated Ransomware Attacks)} tulevat kuvaan. Nämä ovat käsintehtyjä hyökkäyksiä, jotka löytävät tietokoneelta haavoittuvuuden tai väärin määritetyn suojauksen ja pääsevät niihin käsiksi. Microsoft on laatinut kattavan tapaustutkimuksen, jonka johtopäätöksenä on, että IT-järjestelmänvalvoja voi lieventää näitä ihmisen toimittamia Ransomware-hyökkäyksiä^{(Ransomware attacks)} huomattavasti.

Ihmisten aiheuttamien kiristyshaittaohjelmien torjunta^{(Human-operated Ransomware Attacks)}

Microsoftin^(Microsoft) mukaan paras tapa vähentää tällaisia ​​kiristysohjelmia ja käsintehtyjä kampanjoita on estää kaikki tarpeeton kommunikaatio päätepisteiden välillä. On myös yhtä tärkeää noudattaa parhaita valtuushygienian käytäntöjä, kuten monitekijätodennusta^{(Multi-Factor Authentication)} , raa'an voiman yritysten valvontaa, uusimpien tietoturvapäivitysten asentamista ja paljon muuta. Tässä on täydellinen luettelo tarvittavista puolustustoimenpiteistä:

• Varmista, että käytät Microsoftin suosittelemia kokoonpanoasetuksia^{(recommended configuration settings)} Internet-yhteyttä käyttävien tietokoneiden suojaamiseksi.
• Defender ATP tarjoaa uhkien ja haavoittuvuuksien hallinnan^{(threat and vulnerability management)} . Voit käyttää sitä tarkastaaksesi koneita säännöllisesti haavoittuvuuksien, virheellisten määritysten ja epäilyttävän toiminnan varalta.
• Käytä MFA-yhdyskäytävää^{(MFA gateway)} , kuten Azure Multi-Factor Authentication ( MFA ) tai ota verkkotason todennus ( NLA ) käyttöön.
• Tarjoa pienimmät oikeudet tileille^{(least-privilege to accounts)} ja salli pääsy vain tarvittaessa. Kaikkien tilien, joilla on verkkotunnuksen laajuiset järjestelmänvalvojatason käyttöoikeudet, on oltava vähintään tai nolla.
• Työkaluilla, kuten Local Administrator Password Solution ( LAPS ) -työkalulla, voidaan määrittää yksilölliset satunnaiset salasanat järjestelmänvalvojatileille. Voit tallentaa ne Active Directoryyn^{(Active Directory)} (AD) ja suojata ACL :llä .
• Tarkkaile raakoja yrityksiä. Sinun tulee olla huolissasi, varsinkin jos epäonnistuneita todennusyrityksiä on paljon. ^{(failed authentication attempts. )}Suodata^(Filter) käyttämällä tapahtumatunnusta 4625^{(ID 4625)} löytääksesi tällaiset merkinnät.
• Hyökkääjät yleensä tyhjentävät suojaustapahtumalokit ja PowerShell-toimintalokin^{(Security Event logs and PowerShell Operational log)} poistaakseen kaikki jalanjälkensä. Microsoft Defender ATP luo tapahtumatunnuksen 1102^{(Event ID 1102)} , kun tämä tapahtuu.
• Ota peukalointisuojausominaisuudet^{(Tamper protection)(Tamper protection)} käyttöön estääksesi hyökkääjiä poistamasta suojausominaisuuksia käytöstä.
• Tutki^{(Investigate)} tapahtumatunnusta 4624^{(ID 4624)} saadaksesi selville, missä tilit, joilla on korkeat oikeudet, kirjautuvat sisään. Jos he pääsevät verkkoon tai tietokoneeseen, joka on vaarantunut, se voi olla merkittävämpi uhka.
• Ota käyttöön pilven kautta toimitettu suojaus^{(Turn on cloud-delivered protection)} ja automaattinen näytelähetys Windows Defender Antivirus -sovelluksessa^{(Windows Defender Antivirus)} . Se suojaa sinut tuntemattomilta uhilta.
• Ota hyökkäyspinnan vähentämissäännöt käyttöön. Tämän lisäksi ota käyttöön säännöt, jotka estävät kirjautumistietojen varkauden, kiristysohjelmatoiminnan ja PsExecin^(PsExec) ja WMI :n epäilyttävän käytön .
• Ota käyttöön  AMSI for Office VBA  , jos sinulla on Office 365.
• Estä RPC-^{(Prevent RPC)} ja SMB- viestintä päätepisteiden välillä aina kun mahdollista.

Lue^(Read) : Ransomware-suojaus Windows 10^{(Ransomware protection in Windows 10)} :ssä .

Microsoft on julkaissut tapaustutkimuksen Wadhramasta^(Wadhrama) , Doppelpaymerista^{(Doppelpaymer)} , Ryukista^(Ryuk) , Samasista^(Samas) ja REvilistä^(REvil)

• Wadhrama toimitetaan käyttämällä raakoja voimia tiensä palvelimille, joissa on etätyöpöytä^{(Remote Desktop)} . He löytävät yleensä korjaamattomia järjestelmiä ja käyttävät paljastettuja haavoittuvuuksia saadakseen alkupääsyn tai nostaakseen käyttöoikeuksia.
• Doppelpaymer levitetään manuaalisesti vaarantuneiden verkkojen kautta käyttämällä etuoikeutettujen tilien varastettuja valtuustietoja. Tästä syystä on tärkeää noudattaa suositeltuja kokoonpanoasetuksia kaikille tietokoneille.
• Ryuk jakaa hyötykuorman sähköpostitse ( Trickboat ) huijaamalla loppukäyttäjää jostain muusta. Äskettäin hakkerit käyttivät koronaviruspelotusta huijatakseen loppukäyttäjää. Yksi heistä pystyi myös toimittamaan Emotetin hyötykuorman .

Yhteistä jokaisessa niistä^{(common thing about each of them)} on, että ne on rakennettu tilanteiden perusteella. He näyttävät suorittavan gorillataktiikoita, joissa he siirtyvät koneesta toiseen kuljettaakseen hyötykuorman. On tärkeää, että IT-järjestelmänvalvojat eivät vain seuraa käynnissä olevaa hyökkäystä, vaikka se olisi pienimuotoista, ja kouluttavat työntekijöitä siitä, kuinka he voivat auttaa suojaamaan verkkoa.

Toivon, että kaikki IT-järjestelmänvalvojat voivat noudattaa ehdotusta ja varmistaa, että he vähentävät ihmisen toimittamia Ransomware - hyökkäyksiä.

Aiheeseen liittyvää luettavaa^{(Related read)} : Mitä tehdä Ransomware-hyökkäyksen jälkeen Windows-tietokoneellesi?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier dаys, if sоmeone has tо hijack your comрuter, it was usually possible by getting hold of your computer either by physically being there or using remote access. While the world has moved аhead with automation, computer securіty hаs tightened, one thing that hasn’t changed is human mistakеs.  That is where thе Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware-hyökkäykset, määritelmä, esimerkit, suojaus, poistaminen

• Ilmainen ransomware-torjuntaohjelmisto Windows-tietokoneille

• Luo sähköpostisääntöjä estääksesi Ransomwaren Microsoft 365 Businessissa

• Ota Ransomware Protection käyttöön ja määritä se Windows Defenderissä

• Ransomware-suojaus Windows 11/10:ssä

• Mitä tehdä Ransomware-hyökkäyksen jälkeen Windows-tietokoneellesi?

• McAfee Ransomware Recover (Mr2) voi auttaa tiedostojen salauksen purkamisessa

• Kyberhyökkäykset – määritelmä, tyypit, ehkäisy

• Kuinka suojautua ja estää Ransomware-hyökkäyksiä ja -infektioita

• CyberGhost Immunizer auttaa estämään kiristysohjelmahyökkäyksiä

• Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen

• Kuinka välttää tietojenkalasteluhuijaukset ja -hyökkäykset?

• Pitäisikö minun ilmoittaa Ransomwaresta? Mihin voin ilmoittaa Ransomwaresta?

• Luettelo ilmaisista Ransomware Decryption Tools -työkaluista tiedostojen lukituksen avaamiseen

• Ransomware Response Playbook näyttää kuinka käsitellä haittaohjelmia

• Mikä on Ransom Denial of Service (RDoS)? Ennaltaehkäisy ja varotoimet

• DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

• Brute Force Attacks - määritelmä ja ehkäisy

• DDoS:n hajautetut palvelunestohyökkäykset: suojaus, ehkäisy