Como mitigar ataques de ransomware operados por humanos: infográfico
Antigamente, se alguém tinha que seqüestrar seu computador, geralmente era possível se apossar do seu computador estando fisicamente lá ou usando o acesso remoto. Enquanto o mundo avançou com a automação, a segurança dos computadores aumentou, uma coisa que não mudou são os erros humanos. É aí que os ataques de ransomware operados por humanos(Human-operated Ransomware Attacks) entram em cena. São ataques artesanais que encontram uma vulnerabilidade ou uma segurança mal configurada no computador e obtêm acesso. A Microsoft(Microsoft) apresentou um estudo de caso exaustivo que conclui que o administrador de TI pode mitigar esses ataques de Ransomware(Ransomware attacks) operados por humanos por uma margem significativa.
Mitigação de ataques de ransomware operados por humanos(Human-operated Ransomware Attacks)
Segundo a Microsoft , a melhor maneira de mitigar esses tipos de ransomware e campanhas artesanais é bloquear toda comunicação desnecessária entre os endpoints. Também é igualmente importante seguir as práticas recomendadas para higiene de credenciais, como autenticação multifator(Multi-Factor Authentication) , monitoramento de tentativas de força bruta, instalação das atualizações de segurança mais recentes e muito mais. Aqui está a lista completa de medidas de defesa a serem tomadas:
- Certifique-se de aplicar as configurações recomendadas(recommended configuration settings) pela Microsoft para proteger os computadores conectados à Internet.
- O Defender ATP oferece gerenciamento de ameaças e vulnerabilidades(threat and vulnerability management) . Você pode usá-lo para auditar máquinas regularmente em busca de vulnerabilidades, configurações incorretas e atividades suspeitas.
- Use o gateway MFA(MFA gateway) , como a autenticação multifator do Azure(Azure Multi-Factor Authentication) ( MFA ) ou habilite a autenticação em nível de rede ( NLA ).
- Ofereça privilégios mínimos às contas(least-privilege to accounts) e ative o acesso apenas quando necessário. Qualquer conta com acesso de nível de administrador em todo o domínio deve ter o mínimo ou zero.
- Ferramentas como a ferramenta Local Administrator Password Solution ( LAPS ) podem configurar senhas aleatórias exclusivas para contas de administrador. Você pode armazená-los no Active Directory (AD) e protegê-los usando ACL .
- Monitore as tentativas de força bruta. Você deve ficar alarmado, especialmente se houver muitas tentativas de autenticação com falha. (failed authentication attempts. )Filtre(Filter) usando o ID de evento 4625(ID 4625) para localizar essas entradas.
- Os invasores geralmente limpam os logs de eventos de segurança e o log operacional do PowerShell(Security Event logs and PowerShell Operational log) para remover todas as suas pegadas. O Microsoft defender ATP(Microsoft Defender ATP) gera uma identificação de evento 1102(Event ID 1102) quando isso ocorre.
- Ative os recursos de proteção contra adulteração(Tamper protection)(Tamper protection) para impedir que invasores desativem os recursos de segurança.
- Investigue(Investigate) a ID de evento 4624(ID 4624) para descobrir onde as contas com privilégios altos estão fazendo logon. Se eles entrarem em uma rede ou um computador comprometido, pode ser uma ameaça mais significativa.
- Ative a proteção fornecida na nuvem(Turn on cloud-delivered protection) e o envio automático de amostras no Windows Defender Antivirus . Ele protege você de ameaças desconhecidas.
- Ative as regras de redução da superfície de ataque. Junto com isso, habilite regras que bloqueiem roubo de credenciais, atividade de ransomware e uso suspeito de PsExec e WMI .
- Ative o AMSI(AMSI) para Office VBA se você tiver o Office 365.
- Impeça a comunicação RPC(Prevent RPC) e SMB entre terminais sempre que possível.
Leia(Read) : Proteção contra ransomware no Windows 10(Ransomware protection in Windows 10) .
A Microsoft(Microsoft) apresentou um estudo de caso de Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Wadhrama é entregue usando forças brutas em servidores que possuem Área de Trabalho Remota(Remote Desktop) . Eles geralmente descobrem sistemas não corrigidos e usam vulnerabilidades divulgadas para obter acesso inicial ou elevar privilégios.
- O Doppelpaymer(Doppelpaymer) é distribuído manualmente através de redes comprometidas usando credenciais roubadas para contas privilegiadas. É por isso que é essencial seguir as configurações recomendadas para todos os computadores.
- Ryuk distribui carga útil por e-mail ( Trickboat ) enganando o usuário final sobre outra coisa. Recentemente , os hackers usaram o susto do Coronavírus para enganar o usuário final. Um deles também conseguiu entregar a carga útil do Emotet .
O comum em cada um deles(common thing about each of them) é que eles são construídos com base em situações. Eles parecem estar executando táticas de gorilas onde eles se movem de uma máquina para outra para entregar a carga útil. É essencial que os administradores de TI não apenas acompanhem o ataque em andamento, mesmo que seja em pequena escala, e instruam os funcionários sobre como eles podem ajudar a proteger a rede.
Espero que todos os administradores de TI possam seguir a sugestão e certificar-se de mitigar os ataques de Ransomware operados por humanos.(Ransomware)
Leitura relacionada(Related read) : O que fazer após um ataque de Ransomware no seu computador Windows?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware Attacks, Definition, Examples, Protection, Removal
Anti-Ransomware software grátis para Windows Computadores
Create email Regras para prevenir Ransomware no negócio Microsoft 365
Ativar e configurar Ransomware Protection em Windows Defender
Ransomware protection em Windows 10
Lista de Free Ransomware Decryption Tools para desbloquear arquivos
DDoS Distributed Denial de Service Attacks: Proteção, Prevention
Brute Force Attacks - Definition and Prevention
Ransomware Response Playbook mostra como lidar com o malware
CyberGhost Immunizer vai ajudar a prevenir ataques ransomware
McAfee Ransomware Recover (Mr2) pode ajudar na descriptografia de arquivos
Devo reportar Ransomware? Onde eu relato Ransomware?
Como evitar o Phishing Scams and Attacks?
O que fazer depois de um Ransomware attack no seu Windows computer?
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Cyber Attacks - Definição, Types, Prevenção
Fileless Malware Attacks, Protection and Detection
Como se proteger e evitar Ransomware ataques e infecções
O que é Ransom Denial de Service (RDoS)? Prevention and precautions