I tidligere dage, hvis nogen skulle kapre din computer, var det normalt muligt ved at få fat i din computer enten ved fysisk at være der eller ved at bruge fjernadgang. Mens verden er gået fremad med automatisering, er computersikkerheden strammet, en ting, der ikke har ændret sig, er menneskelige fejl. Det er her, de menneskestyrede ransomware-angreb^{(Human-operated Ransomware Attacks)} kommer ind i billedet. Disse er håndlavede angreb, som finder en sårbarhed eller en fejlkonfigureret sikkerhed på computeren og får adgang. Microsoft er kommet med et udtømmende casestudie, som konkluderer, at it-administrator kan afbøde disse menneskestyrede Ransomware-angreb^{(Ransomware attacks)} med en betydelig margin.

Afhjælpning af menneske-drevne Ransomware-angreb^{(Human-operated Ransomware Attacks)}

Ifølge Microsoft er den bedste måde at afbøde disse former for ransomware og håndlavede kampagner på at blokere al unødvendig kommunikation mellem endepunkter. Det er også lige så vigtigt at følge bedste praksis for legitimationshygiejne, såsom Multi-Factor Authentication , overvågning af brute force-forsøg, installation af de seneste sikkerhedsopdateringer og mere. Her er den komplette liste over forsvarsforanstaltninger, der skal træffes:

• Sørg for at anvende Microsoft anbefalede konfigurationsindstillinger for^{(recommended configuration settings)} at beskytte computere, der er tilsluttet internettet.
• Defender ATP tilbyder trussels- og sårbarhedsstyring^{(threat and vulnerability management)} . Du kan bruge det til at revidere maskiner regelmæssigt for sårbarheder, fejlkonfigurationer og mistænkelig aktivitet.
• Brug MFA-gateway såsom Azure Multi-Factor Authentication ( MFA ) eller aktiver netværksniveaugodkendelse ( NLA ).
• Tilbyd mindst privilegium til konti^{(least-privilege to accounts)} , og aktiver kun adgang, når det er nødvendigt. Enhver konto med adgang på administratorniveau på hele domænet skal være på minimum eller nul.
• Værktøjer som Local Administrator Password Solution ( LAPS ) værktøj kan konfigurere unikke tilfældige adgangskoder til administratorkonti. Du kan gemme dem i Active Directory (AD) og beskytte ved hjælp af ACL .
• Hold øje med brute-force forsøg. Du bør være foruroliget, især hvis der er mange mislykkede autentificeringsforsøg. ^{(failed authentication attempts. )}Filtrer^(Filter) ved hjælp af hændelses -ID 4625 for at finde sådanne poster.
• Angribere rydder normalt sikkerhedshændelseslogfilerne og PowerShell Operational log^{(Security Event logs and PowerShell Operational log)} for at fjerne alle deres fodspor. Microsoft Defender ATP genererer et hændelses-id 1102^{(Event ID 1102)} , når dette sker.
• Slå manipulationsbeskyttelsesfunktioner^{(Tamper protection)(Tamper protection)} til for at forhindre angribere i at slå sikkerhedsfunktioner fra.
• Undersøg^{(Investigate)} hændelses -ID 4624 for at finde ud af, hvor konti med høje privilegier logger på. Hvis de kommer ind i et netværk eller en computer, der er kompromitteret, så kan det være en mere væsentlig trussel.
• Aktiver sky-leveret beskyttelse^{(Turn on cloud-delivered protection)} og automatisk prøveindsendelse på Windows Defender Antivirus . Det sikrer dig mod ukendte trusler.
• Slå regler for reduktion af angrebsoverflade til. Sammen med dette, aktivere regler, der blokerer legitimationsoplysninger tyveri, ransomware aktivitet og mistænkelig brug af PsExec og WMI .
• Slå  AMSI til for Office VBA  , hvis du har Office 365.
• Forhindr RPC-^{(Prevent RPC)} og SMB- kommunikation mellem endepunkter, når det er muligt.

Læs^(Read) : Ransomware-beskyttelse i Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft har lavet et casestudie af Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama leveres ved hjælp af brute forces deres vej ind i servere, der har Remote Desktop . De opdager normalt ikke-patchede systemer og bruger afslørede sårbarheder til at få indledende adgang eller øge privilegier.
• Doppelpaymer spredes manuelt gennem kompromitterede netværk ved hjælp af stjålne legitimationsoplysninger til privilegerede konti. Derfor er det vigtigt at følge de anbefalede konfigurationsindstillinger for alle computere.
• Ryuk distribuerer nyttelast over e-mail ( Trickboat ) ved at narre slutbrugeren om noget andet. For nylig brugte hackere Coronavirus-forskrækkelsen til at narre slutbrugeren. En af dem var også i stand til at levere Emotet-nyttelasten .

Det fælles ved hver af dem^{(common thing about each of them)} er, at de er bygget ud fra situationer. De ser ud til at udføre gorilla-taktik, hvor de flytter fra en maskine til en anden maskine for at levere nyttelasten. Det er vigtigt, at it-administratorer ikke kun holder øje med det igangværende angreb, selvom det er i lille skala, og uddanner medarbejderne om, hvordan de kan hjælpe med at beskytte netværket.

Jeg håber, at alle it-administratorer kan følge forslaget og sørge for at afbøde menneskestyrede Ransomware - angreb.

Relateret læsning^{(Related read)} : Hvad skal man gøre efter et Ransomware-angreb på din Windows-computer?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier daуs, if someone has to hijack your cоmputer, it was uѕually possible by getting hold of уour computer either by physically being there or using remote access. While the world has moved ahead with аutomаtіon, computer security has tightened, onе thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware-angreb, definition, eksempler, beskyttelse, fjernelse

• Gratis Anti-Ransomware-software til Windows-computere

• Opret e-mail-regler for at forhindre Ransomware i Microsoft 365 Business

• Aktiver og konfigurer Ransomware Protection i Windows Defender

• Ransomware-beskyttelse i Windows 11/10

• Sårbarhedsangreb, forebyggelse og detektion af DLL-kapring

• Hvordan undgår man phishing-svindel og angreb?

• Brute Force Attacks - Definition og forebyggelse

• Ransomware Response Playbook viser, hvordan man håndterer malwaren

• Hvordan man beskytter mod og forhindrer Ransomware-angreb og infektioner

• Hvad er Ransom Denial of Service (RDoS)? Forebyggelse og forholdsregler

• Hvad skal man gøre efter et Ransomware-angreb på din Windows-computer?

• Cyberangreb - definition, typer, forebyggelse

• McAfee Ransomware Recover (Mr2) kan hjælpe med at dekryptere filer

• Skal jeg rapportere Ransomware? Hvor rapporterer jeg Ransomware?

• DDoS Distribuerede Denial of Service-angreb: Beskyttelse, Forebyggelse

• CyberGhost Immunizer hjælper med at forhindre ransomware-angreb

• Liste over gratis Ransomware-dekrypteringsværktøjer til at låse filer op

• Filløse malwareangreb, beskyttelse og detektion