Vroeger, als iemand uw computer moet kapen, was dit meestal mogelijk door uw computer te pakken te krijgen, hetzij door fysiek aanwezig te zijn, hetzij door externe toegang te gebruiken. Terwijl de wereld vooruit is gegaan met automatisering, is de computerbeveiliging aangescherpt, een ding dat niet is veranderd, zijn menselijke fouten. Dat is waar de door mensen bediende Ransomware-aanvallen^{(Human-operated Ransomware Attacks)} in beeld komen. Dit zijn handgemaakte aanvallen die een kwetsbaarheid of een verkeerd geconfigureerde beveiliging op de computer vinden en toegang krijgen. Microsoft heeft een uitgebreide casestudy opgesteld waaruit blijkt dat de IT-beheerder deze door mensen bediende ransomware-aanvallen^{(Ransomware attacks)} met een aanzienlijke marge kan verminderen.

Door mensen bediende ransomware-aanvallen^{(Human-operated Ransomware Attacks)} beperken

Volgens Microsoft is de beste manier om dit soort ransomware en handgemaakte campagnes te verminderen, het blokkeren van alle onnodige communicatie tussen eindpunten. Het is ook even belangrijk om de best practices voor hygiëne van referenties te volgen, zoals Multi-Factor Authentication , het monitoren van brute force-pogingen, het installeren van de nieuwste beveiligingsupdates en meer. Hier is de volledige lijst van te nemen verdedigingsmaatregelen:

• Zorg ervoor dat u de door Microsoft aanbevolen configuratie-instellingen^{(recommended configuration settings)} toepast om computers die met internet zijn verbonden te beschermen.
• Defender ATP biedt beheer van bedreigingen en kwetsbaarheden^{(threat and vulnerability management)} . U kunt het gebruiken om machines regelmatig te controleren op kwetsbaarheden, verkeerde configuraties en verdachte activiteiten.
• Gebruik MFA-gateway zoals Azure Multi-Factor Authentication ( MFA ) of schakel verificatie op netwerkniveau in ( NLA ).
• Bied accounts met de minste rechten^{(least-privilege to accounts)} en schakel alleen toegang in als dat nodig is. Elk account met domeinbrede beheerderstoegang moet minimaal of nul zijn.
• Tools zoals Local Administrator Password Solution ( LAPS ) tool kunnen unieke willekeurige wachtwoorden configureren voor beheerdersaccounts. U kunt ze opslaan in Active Directory (AD) en beveiligen met ACL .
• Controleer op brute-force pogingen. U moet gealarmeerd zijn, vooral als er veel mislukte authenticatiepogingen zijn. ^{(failed authentication attempts. )}Filter met gebeurtenis - ID 4625 om dergelijke vermeldingen te vinden.
• Aanvallers wissen meestal de beveiligingsgebeurtenislogboeken en het PowerShell Operational-logboek^{(Security Event logs and PowerShell Operational log)} om al hun footprints te verwijderen. Microsoft Defender ATP genereert een gebeurtenis-ID 1102^{(Event ID 1102)} wanneer dit gebeurt.
• Schakel sabotagebeveiligingsfuncties^{(Tamper protection)(Tamper protection)} in om te voorkomen dat aanvallers beveiligingsfuncties uitschakelen.
• Onderzoek^{(Investigate)} gebeurtenis -ID 4624 om te zien waar accounts met hoge privileges zich aanmelden. Als ze in een netwerk of een gecompromitteerde computer terechtkomen, kan dit een grotere bedreiging vormen.
• Schakel cloud-geleverde bescherming^{(Turn on cloud-delivered protection)} en automatische voorbeeldverzending in op Windows Defender Antivirus . Het beveiligt u tegen onbekende bedreigingen.
• Schakel regels voor het verminderen van aanvalsoppervlakken in. Schakel daarnaast regels in die diefstal van inloggegevens, ransomware-activiteit en verdacht gebruik van PsExec en WMI blokkeren .
• Schakel  AMSI voor Office VBA  in als u Office 365 hebt.
• Voorkom RPC-^{(Prevent RPC)} en SMB -communicatie tussen eindpunten waar mogelijk.

Lezen^(Read) : Bescherming tegen ransomware in Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft heeft een casestudy opgesteld van Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama wordt geleverd met behulp van brute krachten die hun weg vinden naar servers met Remote Desktop . Ze ontdekken meestal niet-gepatchte systemen en gebruiken onthulde kwetsbaarheden om initiële toegang te krijgen of privileges te verhogen.
• Doppelpaymer wordt handmatig verspreid via gecompromitteerde netwerken met behulp van gestolen inloggegevens voor geprivilegieerde accounts. Daarom is het essentieel om de aanbevolen configuratie-instellingen voor alle computers te volgen.
• Ryuk distribueert payload via e-mail ( Trickboat ) door de eindgebruiker te misleiden over iets anders. Onlangs gebruikten hackers de Coronavirus -schrik om de eindgebruiker te misleiden. Een van hen kon ook de Emotet-lading afleveren .

Het gemeenschappelijke aan elk van hen^{(common thing about each of them)} is dat ze zijn gebouwd op basis van situaties. Ze lijken gorilla-tactieken uit te voeren waarbij ze van de ene machine naar de andere machine gaan om de lading af te leveren. Het is essentieel dat IT-beheerders niet alleen de voortdurende aanval in de gaten houden, ook al is het op kleine schaal, en werknemers informeren over hoe ze kunnen helpen het netwerk te beschermen.

Ik hoop dat alle IT-beheerders de suggestie kunnen volgen en ervoor zorgen dat door mensen bediende Ransomware - aanvallen worden beperkt.

Gerelateerd lezen^{(Related read)} : Wat te doen na een Ransomware-aanval op uw Windows-computer?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usuаlly possible by getting hold of your computer either by physically being there or using remote аccess. While thе world has moved ahead with automation, compυter security has tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware-aanvallen, definitie, voorbeelden, bescherming, verwijdering

• Gratis anti-ransomware-software voor Windows-computers

• Maak e-mailregels om Ransomware te voorkomen in Microsoft 365 Business

• Bescherming tegen ransomware inschakelen en configureren in Windows Defender

• Bescherming tegen ransomware in Windows 11/10

• McAfee Ransomware Recover (Mr2) kan helpen bij het decoderen van bestanden

• Brute Force-aanvallen - Definitie en preventie

• Cyberaanvallen - Definitie, typen, preventie

• Malware-aanvallen, bescherming en detectie zonder bestanden

• DDoS Distributed Denial of Service-aanvallen: bescherming, preventie

• Lijst met gratis Ransomware-decoderingstools om bestanden te ontgrendelen

• DLL-kaping van kwetsbaarheidsaanvallen, preventie en detectie

• Hoe phishing-zwendel en -aanvallen te voorkomen?

• Hoe te beschermen tegen en voorkomen van Ransomware-aanvallen en infecties

• Wat te doen na een ransomware-aanval op uw Windows-computer?

• Ransomware Response Playbook laat zien hoe om te gaan met de malware

• Wat is Ransom Denial of Service (RDoS)? Preventie en voorzorgsmaatregelen

• CyberGhost Immunizer helpt ransomware-aanvallen te voorkomen

• Moet ik Ransomware melden? Waar meld ik Ransomware?