Hoe door mensen bediende ransomware-aanvallen te verminderen: infographic

Vroeger, als iemand uw computer moet kapen, was dit meestal mogelijk door uw computer te pakken te krijgen, hetzij door fysiek aanwezig te zijn, hetzij door externe toegang te gebruiken. Terwijl de wereld vooruit is gegaan met automatisering, is de computerbeveiliging aangescherpt, een ding dat niet is veranderd, zijn menselijke fouten. Dat is waar de door mensen bediende Ransomware-aanvallen(Human-operated Ransomware Attacks) in beeld komen. Dit zijn handgemaakte aanvallen die een kwetsbaarheid of een verkeerd geconfigureerde beveiliging op de computer vinden en toegang krijgen. Microsoft heeft een uitgebreide casestudy opgesteld waaruit blijkt dat de IT-beheerder deze door mensen bediende ransomware-aanvallen(Ransomware attacks) met een aanzienlijke marge kan verminderen.

door mensen bediende Ransomware-aanvallen verminderen

Door mensen bediende ransomware-aanvallen(Human-operated Ransomware Attacks) beperken

Volgens Microsoft is de beste manier om dit soort ransomware en handgemaakte campagnes te verminderen, het blokkeren van alle onnodige communicatie tussen eindpunten. Het is ook even belangrijk om de best practices voor hygiëne van referenties te volgen, zoals Multi-Factor Authentication , het monitoren van brute force-pogingen, het installeren van de nieuwste beveiligingsupdates en meer. Hier is de volledige lijst van te nemen verdedigingsmaatregelen:

  • Zorg ervoor dat u de door Microsoft aanbevolen configuratie-instellingen(recommended configuration settings) toepast om computers die met internet zijn verbonden te beschermen.
  • Defender ATP biedt beheer van bedreigingen en kwetsbaarheden(threat and vulnerability management) . U kunt het gebruiken om machines regelmatig te controleren op kwetsbaarheden, verkeerde configuraties en verdachte activiteiten.
  • Gebruik MFA-gateway zoals Azure Multi-Factor Authentication ( MFA ) of schakel verificatie op netwerkniveau in ( NLA ).
  • Bied accounts met de minste rechten(least-privilege to accounts) en schakel alleen toegang in als dat nodig is. Elk account met domeinbrede beheerderstoegang moet minimaal of nul zijn.
  • Tools zoals Local Administrator Password Solution ( LAPS ) tool kunnen unieke willekeurige wachtwoorden configureren voor beheerdersaccounts. U kunt ze opslaan in Active Directory (AD) en beveiligen met ACL .
  • Controleer op brute-force pogingen. U moet gealarmeerd zijn, vooral als er veel mislukte authenticatiepogingen zijn. (failed authentication attempts. )Filter met gebeurtenis - ID 4625 om dergelijke vermeldingen te vinden.
  • Aanvallers wissen meestal de beveiligingsgebeurtenislogboeken en het PowerShell Operational-logboek(Security Event logs and PowerShell Operational log) om al hun footprints te verwijderen. Microsoft Defender ATP genereert een gebeurtenis-ID 1102(Event ID 1102) wanneer dit gebeurt.
  • Schakel sabotagebeveiligingsfuncties(Tamper protection)(Tamper protection) in om te voorkomen dat aanvallers beveiligingsfuncties uitschakelen.
  • Onderzoek(Investigate) gebeurtenis -ID 4624 om te zien waar accounts met hoge privileges zich aanmelden. Als ze in een netwerk of een gecompromitteerde computer terechtkomen, kan dit een grotere bedreiging vormen.
  • Schakel cloud-geleverde bescherming(Turn on cloud-delivered protection) en automatische voorbeeldverzending in op Windows Defender Antivirus . Het beveiligt u tegen onbekende bedreigingen.
  • Schakel regels voor het verminderen van aanvalsoppervlakken in. Schakel daarnaast regels in die diefstal van inloggegevens, ransomware-activiteit en verdacht gebruik van PsExec en WMI blokkeren .
  • Schakel  AMSI voor Office VBA  in als u Office 365 hebt.
  • Voorkom RPC-(Prevent RPC) en SMB -communicatie tussen eindpunten waar mogelijk.

Lezen(Read) : Bescherming tegen ransomware in Windows 10(Ransomware protection in Windows 10) .

Microsoft heeft een casestudy opgesteld van Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhrama wordt geleverd met behulp van brute krachten die hun weg vinden naar servers met Remote Desktop . Ze ontdekken meestal niet-gepatchte systemen en gebruiken onthulde kwetsbaarheden om initiële toegang te krijgen of privileges te verhogen.
  • Doppelpaymer wordt handmatig verspreid via gecompromitteerde netwerken met behulp van gestolen inloggegevens voor geprivilegieerde accounts. Daarom is het essentieel om de aanbevolen configuratie-instellingen voor alle computers te volgen.
  • Ryuk distribueert payload via e-mail ( Trickboat ) door de eindgebruiker te misleiden over iets anders. Onlangs gebruikten hackers de Coronavirus -schrik om de eindgebruiker te misleiden. Een van hen kon ook de Emotet-lading afleveren .

Het gemeenschappelijke aan elk van hen(common thing about each of them) is dat ze zijn gebouwd op basis van situaties. Ze lijken gorilla-tactieken uit te voeren waarbij ze van de ene machine naar de andere machine gaan om de lading af te leveren. Het is essentieel dat IT-beheerders niet alleen de voortdurende aanval in de gaten houden, ook al is het op kleine schaal, en werknemers informeren over hoe ze kunnen helpen het netwerk te beschermen.

Ik hoop dat alle IT-beheerders de suggestie kunnen volgen en ervoor zorgen dat door mensen bediende Ransomware - aanvallen worden beperkt.

Gerelateerd lezen(Related read) : Wat te doen na een Ransomware-aanval op uw Windows-computer?(What to do after a Ransomware attack on your Windows computer?)



About the author

Ik ben een computerwetenschapper met meer dan 10 jaar ervaring in softwareontwikkeling en beveiliging. Ik heb een sterke interesse in Firefox-, Chrome- en Xbox-games. Ik ben vooral geïnteresseerd in hoe ik ervoor kan zorgen dat mijn code veilig en efficiënt is.



Related posts