در روزهای قبل، اگر شخصی مجبور به ربودن رایانه شما شود، معمولاً با در دست گرفتن رایانه شما یا با حضور فیزیکی در آنجا یا استفاده از دسترسی از راه دور امکان پذیر بود. در حالی که جهان با اتوماسیون جلوتر رفته است، امنیت رایانه تشدید شده است، چیزی که تغییر نکرده اشتباهات انسانی است. اینجاست که حملات باج‌افزاری که توسط انسان کار^{(Human-operated Ransomware Attacks)} می‌کنند به تصویر کشیده می‌شوند. اینها حملات دست ساز هستند که آسیب پذیری یا تنظیمات امنیتی نادرست را در رایانه پیدا می کنند و دسترسی پیدا می کنند. مایکروسافت^(Microsoft) یک مطالعه موردی جامع ارائه کرده است که به این نتیجه رسیده است که سرپرست فناوری اطلاعات می‌تواند این حملات باج‌افزاری^{(Ransomware attacks)} که توسط انسان انجام می‌شود را با حاشیه قابل توجهی کاهش دهد.

کاهش حملات باج افزاری که توسط انسان انجام می شود

کاهش حملات باج افزارهای انسانی^{(Human-operated Ransomware Attacks)}

به گفته مایکروسافت^(Microsoft) ، بهترین راه برای کاهش این نوع باج افزارها و کمپین های دست ساز این است که تمام ارتباطات غیر ضروری بین نقاط پایانی را مسدود کنید. همچنین پیروی از بهترین شیوه‌ها برای بهداشت اعتبارنامه مانند تأیید هویت چند عاملی^{(Multi-Factor Authentication)} ، نظارت بر تلاش‌های brute force، نصب آخرین به‌روزرسانی‌های امنیتی و موارد دیگر به همان اندازه مهم است. در اینجا لیست کامل اقدامات دفاعی قابل انجام است:

مطمئن شوید که تنظیمات پیکربندی توصیه شده^{(recommended configuration settings)} مایکروسافت را برای محافظت از رایانه های متصل به اینترنت اعمال می کنید.
Defender ATP مدیریت تهدید و آسیب پذیری^{(threat and vulnerability management)} را ارائه می دهد . می‌توانید از آن برای بررسی منظم ماشین‌ها برای آسیب‌پذیری‌ها، پیکربندی‌های نادرست و فعالیت‌های مشکوک استفاده کنید.
از دروازه MFA^{(MFA gateway)} مانند Azure Multi-Factor Authentication ( MFA ) استفاده کنید یا احراز هویت در سطح شبکه ( NLA ) را فعال کنید.
حداقل امتیاز را به حساب ها^{(least-privilege to accounts)} ارائه دهید و فقط در صورت لزوم دسترسی را فعال کنید. هر حسابی با دسترسی در سطح مدیریت دامنه باید حداقل یا صفر باشد.
ابزارهایی مانند ابزار Local Administrator Password Solution ( LAPS ) می توانند رمزهای عبور تصادفی منحصر به فرد را برای حساب های مدیریت پیکربندی کنند. می توانید آنها را در Active Directory (AD) ذخیره کنید و با استفاده از ACL محافظت کنید.
نظارت بر تلاش‌های brute-force. شما باید نگران باشید، به خصوص اگر تعداد زیادی تلاش برای احراز هویت ناموفق وجود داشته باشد. ^{(failed authentication attempts. )}برای یافتن چنین ورودی هایی با استفاده از شناسه رویداد 4625 ^{(ID 4625)}فیلتر کنید.^(Filter)
مهاجمان معمولاً گزارش‌های رویداد امنیتی و گزارش عملیاتی PowerShell^{(Security Event logs and PowerShell Operational log)} را پاک می‌کنند تا تمام ردپای خود را حذف کنند. Microsoft Defender ATP زمانی که این اتفاق می افتد، شناسه رویداد 1102^{(Event ID 1102)} تولید می کند.
ویژگی‌های حفاظت از Tamper^{(Tamper protection)}^{(Tamper protection)} را روشن کنید تا مهاجمان نتوانند ویژگی‌های امنیتی را خاموش کنند.
^{(Investigate)}شناسه رویداد 4624 را ^{(ID 4624)}بررسی کنید تا ببینید حساب‌های دارای امتیازات بالا کجا وارد می‌شوند. اگر آنها وارد یک شبکه یا رایانه ای شوند که در معرض خطر است، می تواند تهدید مهم تری باشد.
حفاظت ارائه شده توسط ابر و ارسال^{(Turn on cloud-delivered protection)} خودکار نمونه در آنتی ویروس Windows Defender^{(Windows Defender Antivirus)} را روشن کنید. شما را از تهدیدات ناشناخته ایمن می کند.
قوانین کاهش سطح حمله را روشن کنید. علاوه بر این، قوانینی را فعال کنید که سرقت اعتبار، فعالیت باج افزار و استفاده مشکوک از PsExec و WMI را مسدود می کند.
اگر Office 365 دارید، AMSI را برای Office VBA روشن کنید .
^{(Prevent RPC)}تا حد امکان از ارتباط RPC و SMB بین نقاط پایانی جلوگیری کنید.^(SMB)

بخوانید^(Read) : حفاظت از باج افزار در ویندوز 10^{(Ransomware protection in Windows 10)} .

مایکروسافت^(Microsoft) مطالعه موردی Wadhrama ، Doppelpaymer ، Ryuk ، Samas ، REvil را انجام داده است.^(REvil)

Wadhrama با استفاده از نیروهای بی رحمانه وارد سرورهایی می شود که دارای دسکتاپ از راه دور^{(Remote Desktop)} هستند . آن‌ها معمولاً سیستم‌های اصلاح‌نشده را کشف می‌کنند و از آسیب‌پذیری‌های فاش شده برای دستیابی به دسترسی اولیه یا افزایش امتیازات استفاده می‌کنند.
Doppelpaymer به صورت دستی از طریق شبکه های در معرض خطر با استفاده از اعتبارنامه های سرقت شده برای حساب های دارای امتیاز پخش می شود. به همین دلیل ضروری است که تنظیمات پیکربندی توصیه شده برای همه رایانه ها را دنبال کنید.
Ryuk بار را از طریق ایمیل ( Trickboat ) با فریب دادن کاربر نهایی در مورد چیز دیگری توزیع می کند. اخیراً هکرها از ترس ویروس کرونا برای فریب دادن کاربر نهایی استفاده کردند. یکی از آنها همچنین توانست محموله Emotet را تحویل دهد .

نکته رایج در مورد هر یک از آنها^{(common thing about each of them)} این است که آنها بر اساس موقعیت ها ساخته شده اند. به نظر می رسد که آنها تاکتیک های گوریل را انجام می دهند که در آن از یک ماشین به ماشین دیگر برای تحویل محموله حرکت می کنند. ضروری است که مدیران فناوری اطلاعات نه تنها در مورد حمله مداوم، حتی اگر در مقیاس کوچک باشد، اطلاعاتی داشته باشند، و به کارکنان آموزش دهند که چگونه می توانند به محافظت از شبکه کمک کنند.

امیدوارم همه مدیران فناوری اطلاعات بتوانند این پیشنهاد را دنبال کنند و مطمئن شوند که حملات باج‌افزاری که توسط انسان انجام می‌شود را کاهش می‌دهند.^(Ransomware)

مطالب مرتبط^{(Related read)} : پس از حمله Ransomware به رایانه ویندوزی خود چه باید کرد؟^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usually possible by gеtting hold of yoυr computer еither by phyѕically being there or υѕing remote aсcess. Whіle the world has moved ahead with automation, computer security has tightened, one thing that hasn’t changеd is human mistakes. That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

mitigate human-operated Ransomware attacks

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
Turn on Tamper protection features to prevent attackers from turning off security features.
Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
Turn on AMSI for Office VBA if you have Office 365.
Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

کاساندان اعتبار

About the author

وقتی صحبت از تکنولوژی می شود، هیچ چیز مهمتر از دقت و کیفیت نیست. در مایکروسافت، ما به توانایی خود در ارائه بهترین تجربه ممکن برای مشتریان خود افتخار می کنیم. محصولات ویندوز و iOS ما برخی از نوآورانه‌ترین محصولات در این صنعت هستند و ما دائماً در حال تلاش برای بهبود آنها هستیم. پی دی اف های بدون خطا دلیل دیگری برای موفقیت محصولات ما است. ما می دانیم که کنترل کیفیت در مورد گردش کار و ارتباطات ضروری است، بنابراین ما در حصول اطمینان از اینکه تمام PDF های ما بدون خطا هستند بسیار مراقب هستیم. و در نهایت، به عنوان یک عاشق ابزار، می‌دانیم که آسان‌تر کردن زندگی همیشه یک اولویت کلیدی است. ما مطمئن می شویم که همه دستگاه های Lumia ما دارای ویژگی هایی مانند NFC و CarPlay هستند تا بتوانید به راحتی فایل ها را با دوستان و خانواده به اشتراک بگذارید. با این مهارت ها،

نحوه کاهش حملات باج افزارهای انسانی: اینفوگرافیک

کاهش حملات باج افزارهای انسانی^{(Human-operated Ransomware Attacks)}

مایکروسافت^(Microsoft) مطالعه موردی Wadhrama ، Doppelpaymer ، Ryuk ، Samas ، REvil را انجام داده است.^(REvil)

How to mitigate Human-operated Ransomware Attacks: Infographic

Mitigating Human-operated Ransomware Attacks

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

کاساندان اعتبار

About the author

Related posts

Ransomware Attacks، Definition، Examples، Protection، Removal، Removal

Anti-Ransomware software رایگان برای Windows کامپیوتر

Create email قوانین برای جلوگیری از Ransomware در Microsoft 365 کسب و کار

فعال و پیکربندی Ransomware Protection در Windows Defender

Ransomware protection در Windows 10

Cyber Attacks - تعریف، Types، پیشگیری

آیا باید Ransomware را گزارش کنم؟ Ransomware از کجا گزارش می دهم؟

فهرست Ransomware Decryption Tools رایگان به فایل های باز کردن قفل

DDoS Distributed Denial از Service Attacks: حفاظت، Prevention

CyberGhost Immunizer به جلوگیری از حملات ransomware کمک خواهد کرد

Fileless Malware Attacks، Protection and Detection

Ransomware Response Playbook نشان می دهد که چگونه با نرم افزارهای مخرب مقابله کنید

DLL Hijacking Vulnerability Attacks، Prevention & Detection

Brute Force Attacks - Definition and Prevention

Ransom Denial از Service (RDoS) چیست؟ Prevention and precautions

چگونه برای جلوگیری از Phishing Scams and Attacks؟

McAfee Ransomware Recover (Mr2) می توانید در رمزگشایی فایل های کمک

چگونه برای محافظت در برابر و جلوگیری از حملات Ransomware و عفونت ها

چه تا پس از یک Ransomware attack در Windows computer خود را انجام دهید؟

نحوه کاهش حملات باج افزارهای انسانی: اینفوگرافیک

کاهش حملات باج افزارهای انسانی(Human-operated Ransomware Attacks)

مایکروسافت(Microsoft) مطالعه موردی Wadhrama ، Doppelpaymer ، Ryuk ، Samas ، REvil را انجام داده است.(REvil)

How to mitigate Human-operated Ransomware Attacks: Infographic

Mitigating Human-operated Ransomware Attacks

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

کاساندان اعتبار

About the author

Related posts

Ransomware Attacks، Definition، Examples، Protection، Removal، Removal

Anti-Ransomware software رایگان برای Windows کامپیوتر

Create email قوانین برای جلوگیری از Ransomware در Microsoft 365 کسب و کار

فعال و پیکربندی Ransomware Protection در Windows Defender

Ransomware protection در Windows 10

Cyber Attacks - تعریف، Types، پیشگیری

آیا باید Ransomware را گزارش کنم؟ Ransomware از کجا گزارش می دهم؟

فهرست Ransomware Decryption Tools رایگان به فایل های باز کردن قفل

DDoS Distributed Denial از Service Attacks: حفاظت، Prevention

CyberGhost Immunizer به جلوگیری از حملات ransomware کمک خواهد کرد

Fileless Malware Attacks، Protection and Detection

Ransomware Response Playbook نشان می دهد که چگونه با نرم افزارهای مخرب مقابله کنید

DLL Hijacking Vulnerability Attacks، Prevention & Detection

Brute Force Attacks - Definition and Prevention

Ransom Denial از Service (RDoS) چیست؟ Prevention and precautions

چگونه برای جلوگیری از Phishing Scams and Attacks؟

McAfee Ransomware Recover (Mr2) می توانید در رمزگشایی فایل های کمک

چگونه برای محافظت در برابر و جلوگیری از حملات Ransomware و عفونت ها

چه تا پس از یک Ransomware attack در Windows computer خود را انجام دهید؟

کاهش حملات باج افزارهای انسانی^{(Human-operated Ransomware Attacks)}

مایکروسافت^(Microsoft) مطالعه موردی Wadhrama ، Doppelpaymer ، Ryuk ، Samas ، REvil را انجام داده است.^(REvil)