Hoe door mensen bediende ransomware-aanvallen te verminderen: infographic
Vroeger, als iemand uw computer moet kapen, was dit meestal mogelijk door uw computer te pakken te krijgen, hetzij door fysiek aanwezig te zijn, hetzij door externe toegang te gebruiken. Terwijl de wereld vooruit is gegaan met automatisering, is de computerbeveiliging aangescherpt, een ding dat niet is veranderd, zijn menselijke fouten. Dat is waar de door mensen bediende Ransomware-aanvallen(Human-operated Ransomware Attacks) in beeld komen. Dit zijn handgemaakte aanvallen die een kwetsbaarheid of een verkeerd geconfigureerde beveiliging op de computer vinden en toegang krijgen. Microsoft heeft een uitgebreide casestudy opgesteld waaruit blijkt dat de IT-beheerder deze door mensen bediende ransomware-aanvallen(Ransomware attacks) met een aanzienlijke marge kan verminderen.
Door mensen bediende ransomware-aanvallen(Human-operated Ransomware Attacks) beperken
Volgens Microsoft is de beste manier om dit soort ransomware en handgemaakte campagnes te verminderen, het blokkeren van alle onnodige communicatie tussen eindpunten. Het is ook even belangrijk om de best practices voor hygiëne van referenties te volgen, zoals Multi-Factor Authentication , het monitoren van brute force-pogingen, het installeren van de nieuwste beveiligingsupdates en meer. Hier is de volledige lijst van te nemen verdedigingsmaatregelen:
- Zorg ervoor dat u de door Microsoft aanbevolen configuratie-instellingen(recommended configuration settings) toepast om computers die met internet zijn verbonden te beschermen.
- Defender ATP biedt beheer van bedreigingen en kwetsbaarheden(threat and vulnerability management) . U kunt het gebruiken om machines regelmatig te controleren op kwetsbaarheden, verkeerde configuraties en verdachte activiteiten.
- Gebruik MFA-gateway zoals Azure Multi-Factor Authentication ( MFA ) of schakel verificatie op netwerkniveau in ( NLA ).
- Bied accounts met de minste rechten(least-privilege to accounts) en schakel alleen toegang in als dat nodig is. Elk account met domeinbrede beheerderstoegang moet minimaal of nul zijn.
- Tools zoals Local Administrator Password Solution ( LAPS ) tool kunnen unieke willekeurige wachtwoorden configureren voor beheerdersaccounts. U kunt ze opslaan in Active Directory (AD) en beveiligen met ACL .
- Controleer op brute-force pogingen. U moet gealarmeerd zijn, vooral als er veel mislukte authenticatiepogingen zijn. (failed authentication attempts. )Filter met gebeurtenis - ID 4625 om dergelijke vermeldingen te vinden.
- Aanvallers wissen meestal de beveiligingsgebeurtenislogboeken en het PowerShell Operational-logboek(Security Event logs and PowerShell Operational log) om al hun footprints te verwijderen. Microsoft Defender ATP genereert een gebeurtenis-ID 1102(Event ID 1102) wanneer dit gebeurt.
- Schakel sabotagebeveiligingsfuncties(Tamper protection)(Tamper protection) in om te voorkomen dat aanvallers beveiligingsfuncties uitschakelen.
- Onderzoek(Investigate) gebeurtenis -ID 4624 om te zien waar accounts met hoge privileges zich aanmelden. Als ze in een netwerk of een gecompromitteerde computer terechtkomen, kan dit een grotere bedreiging vormen.
- Schakel cloud-geleverde bescherming(Turn on cloud-delivered protection) en automatische voorbeeldverzending in op Windows Defender Antivirus . Het beveiligt u tegen onbekende bedreigingen.
- Schakel regels voor het verminderen van aanvalsoppervlakken in. Schakel daarnaast regels in die diefstal van inloggegevens, ransomware-activiteit en verdacht gebruik van PsExec en WMI blokkeren .
- Schakel AMSI voor Office VBA in als u Office 365 hebt.
- Voorkom RPC-(Prevent RPC) en SMB -communicatie tussen eindpunten waar mogelijk.
Lezen(Read) : Bescherming tegen ransomware in Windows 10(Ransomware protection in Windows 10) .
Microsoft heeft een casestudy opgesteld van Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Wadhrama wordt geleverd met behulp van brute krachten die hun weg vinden naar servers met Remote Desktop . Ze ontdekken meestal niet-gepatchte systemen en gebruiken onthulde kwetsbaarheden om initiële toegang te krijgen of privileges te verhogen.
- Doppelpaymer wordt handmatig verspreid via gecompromitteerde netwerken met behulp van gestolen inloggegevens voor geprivilegieerde accounts. Daarom is het essentieel om de aanbevolen configuratie-instellingen voor alle computers te volgen.
- Ryuk distribueert payload via e-mail ( Trickboat ) door de eindgebruiker te misleiden over iets anders. Onlangs gebruikten hackers de Coronavirus -schrik om de eindgebruiker te misleiden. Een van hen kon ook de Emotet-lading afleveren .
Het gemeenschappelijke aan elk van hen(common thing about each of them) is dat ze zijn gebouwd op basis van situaties. Ze lijken gorilla-tactieken uit te voeren waarbij ze van de ene machine naar de andere machine gaan om de lading af te leveren. Het is essentieel dat IT-beheerders niet alleen de voortdurende aanval in de gaten houden, ook al is het op kleine schaal, en werknemers informeren over hoe ze kunnen helpen het netwerk te beschermen.
Ik hoop dat alle IT-beheerders de suggestie kunnen volgen en ervoor zorgen dat door mensen bediende Ransomware - aanvallen worden beperkt.
Gerelateerd lezen(Related read) : Wat te doen na een Ransomware-aanval op uw Windows-computer?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware-aanvallen, definitie, voorbeelden, bescherming, verwijdering
Gratis anti-ransomware-software voor Windows-computers
Maak e-mailregels om Ransomware te voorkomen in Microsoft 365 Business
Bescherming tegen ransomware inschakelen en configureren in Windows Defender
Bescherming tegen ransomware in Windows 11/10
McAfee Ransomware Recover (Mr2) kan helpen bij het decoderen van bestanden
Brute Force-aanvallen - Definitie en preventie
Cyberaanvallen - Definitie, typen, preventie
Malware-aanvallen, bescherming en detectie zonder bestanden
DDoS Distributed Denial of Service-aanvallen: bescherming, preventie
Lijst met gratis Ransomware-decoderingstools om bestanden te ontgrendelen
DLL-kaping van kwetsbaarheidsaanvallen, preventie en detectie
Hoe phishing-zwendel en -aanvallen te voorkomen?
Hoe te beschermen tegen en voorkomen van Ransomware-aanvallen en infecties
Wat te doen na een ransomware-aanval op uw Windows-computer?
Ransomware Response Playbook laat zien hoe om te gaan met de malware
Wat is Ransom Denial of Service (RDoS)? Preventie en voorzorgsmaatregelen
CyberGhost Immunizer helpt ransomware-aanvallen te voorkomen
Moet ik Ransomware melden? Waar meld ik Ransomware?