Antigamente, se alguém tinha que seqüestrar seu computador, geralmente era possível se apossar do seu computador estando fisicamente lá ou usando o acesso remoto. Enquanto o mundo avançou com a automação, a segurança dos computadores aumentou, uma coisa que não mudou são os erros humanos. É aí que os ataques de ransomware operados por humanos^{(Human-operated Ransomware Attacks)} entram em cena. São ataques artesanais que encontram uma vulnerabilidade ou uma segurança mal configurada no computador e obtêm acesso. A Microsoft^(Microsoft) apresentou um estudo de caso exaustivo que conclui que o administrador de TI pode mitigar esses ataques de Ransomware^{(Ransomware attacks)} operados por humanos por uma margem significativa.

Mitigação de ataques de ransomware operados por humanos^{(Human-operated Ransomware Attacks)}

Segundo a Microsoft , a melhor maneira de mitigar esses tipos de ransomware e campanhas artesanais é bloquear toda comunicação desnecessária entre os endpoints. Também é igualmente importante seguir as práticas recomendadas para higiene de credenciais, como autenticação multifator^{(Multi-Factor Authentication)} , monitoramento de tentativas de força bruta, instalação das atualizações de segurança mais recentes e muito mais. Aqui está a lista completa de medidas de defesa a serem tomadas:

• Certifique-se de aplicar as configurações recomendadas^{(recommended configuration settings)} pela Microsoft para proteger os computadores conectados à Internet.
• O Defender ATP oferece gerenciamento de ameaças e vulnerabilidades^{(threat and vulnerability management)} . Você pode usá-lo para auditar máquinas regularmente em busca de vulnerabilidades, configurações incorretas e atividades suspeitas.
• Use o gateway MFA^{(MFA gateway)} , como a autenticação multifator do Azure^{(Azure Multi-Factor Authentication)} ( MFA ) ou habilite a autenticação em nível de rede ( NLA ).
• Ofereça privilégios mínimos às contas^{(least-privilege to accounts)} e ative o acesso apenas quando necessário. Qualquer conta com acesso de nível de administrador em todo o domínio deve ter o mínimo ou zero.
• Ferramentas como a ferramenta Local Administrator Password Solution ( LAPS ) podem configurar senhas aleatórias exclusivas para contas de administrador. Você pode armazená-los no Active Directory (AD) e protegê-los usando ACL .
• Monitore as tentativas de força bruta. Você deve ficar alarmado, especialmente se houver muitas tentativas de autenticação com falha. ^{(failed authentication attempts. )}Filtre^(Filter) usando o ID de evento 4625^{(ID 4625)} para localizar essas entradas.
• Os invasores geralmente limpam os logs de eventos de segurança e o log operacional do PowerShell^{(Security Event logs and PowerShell Operational log)} para remover todas as suas pegadas. O Microsoft defender ATP^{(Microsoft Defender ATP)} gera uma identificação de evento 1102^{(Event ID 1102)} quando isso ocorre.
• Ative os recursos de proteção contra adulteração^{(Tamper protection)(Tamper protection)} para impedir que invasores desativem os recursos de segurança.
• Investigue^{(Investigate)} a ID de evento 4624^{(ID 4624)} para descobrir onde as contas com privilégios altos estão fazendo logon. Se eles entrarem em uma rede ou um computador comprometido, pode ser uma ameaça mais significativa.
• Ative a proteção fornecida na nuvem^{(Turn on cloud-delivered protection)} e o envio automático de amostras no Windows Defender Antivirus . Ele protege você de ameaças desconhecidas.
• Ative as regras de redução da superfície de ataque. Junto com isso, habilite regras que bloqueiem roubo de credenciais, atividade de ransomware e uso suspeito de PsExec e WMI .
• Ative  o AMSI^(AMSI) para Office VBA  se você tiver o Office 365.
• Impeça a comunicação RPC^{(Prevent RPC)} e SMB entre terminais sempre que possível.

Leia^(Read) : Proteção contra ransomware no Windows 10^{(Ransomware protection in Windows 10)} .

A Microsoft^(Microsoft) apresentou um estudo de caso de Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama é entregue usando forças brutas em servidores que possuem Área de Trabalho Remota^{(Remote Desktop)} . Eles geralmente descobrem sistemas não corrigidos e usam vulnerabilidades divulgadas para obter acesso inicial ou elevar privilégios.
• O Doppelpaymer^{(Doppelpaymer)} é distribuído manualmente através de redes comprometidas usando credenciais roubadas para contas privilegiadas. É por isso que é essencial seguir as configurações recomendadas para todos os computadores.
• Ryuk distribui carga útil por e-mail ( Trickboat ) enganando o usuário final sobre outra coisa. Recentemente , os hackers usaram o susto do Coronavírus para enganar o usuário final. Um deles também conseguiu entregar a carga útil do Emotet .

O comum em cada um deles^{(common thing about each of them)} é que eles são construídos com base em situações. Eles parecem estar executando táticas de gorilas onde eles se movem de uma máquina para outra para entregar a carga útil. É essencial que os administradores de TI não apenas acompanhem o ataque em andamento, mesmo que seja em pequena escala, e instruam os funcionários sobre como eles podem ajudar a proteger a rede.

Espero que todos os administradores de TI possam seguir a sugestão e certificar-se de mitigar os ataques de Ransomware operados por humanos.^(Ransomware)

Leitura relacionada^{(Related read)} : O que fazer após um ataque de Ransomware no seu computador Windows?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In eаrlier days, if someоne has to hijack your computer, it was usually possible by getting hold of your computer either by phуsically being there or usіng remоtе accеss. While the wоrld has moved ahead wіth automation, computеr security has tіghtened, one thing that hasn’t changed is human mistаkes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware Attacks, Definition, Examples, Protection, Removal

• Anti-Ransomware software grátis para Windows Computadores

• Create email Regras para prevenir Ransomware no negócio Microsoft 365

• Ativar e configurar Ransomware Protection em Windows Defender

• Ransomware protection em Windows 10

• Lista de Free Ransomware Decryption Tools para desbloquear arquivos

• DDoS Distributed Denial de Service Attacks: Proteção, Prevention

• Brute Force Attacks - Definition and Prevention

• Ransomware Response Playbook mostra como lidar com o malware

• CyberGhost Immunizer vai ajudar a prevenir ataques ransomware

• McAfee Ransomware Recover (Mr2) pode ajudar na descriptografia de arquivos

• Devo reportar Ransomware? Onde eu relato Ransomware?

• Como evitar o Phishing Scams and Attacks?

• O que fazer depois de um Ransomware attack no seu Windows computer?

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Cyber Attacks - Definição, Types, Prevenção

• Fileless Malware Attacks, Protection and Detection

• Como se proteger e evitar Ransomware ataques e infecções

• O que é Ransom Denial de Service (RDoS)? Prevention and precautions