Früher war es normalerweise möglich, wenn jemand Ihren Computer hijacken musste, indem er sich Ihren Computer entweder durch physische Anwesenheit oder durch Fernzugriff aneignete. Während die Welt mit der Automatisierung vorangekommen ist, hat sich die Computersicherheit verschärft, eine Sache, die sich nicht geändert hat, sind menschliche Fehler. Hier kommen die von Menschen betriebenen Ransomware-Angriffe^{(Human-operated Ransomware Attacks)} ins Spiel. Dies sind handgefertigte Angriffe, die eine Schwachstelle oder eine falsch konfigurierte Sicherheit auf dem Computer finden und sich Zugang verschaffen. Microsoft hat eine umfassende Fallstudie erstellt, die zu dem Schluss kommt, dass IT-Administratoren diese von Menschen betriebenen Ransomware-Angriffe^{(Ransomware attacks)} erheblich eindämmen können.

Abwehr von durch Menschen verursachte Ransomware-Angriffe^{(Human-operated Ransomware Attacks)}

Laut Microsoft besteht der beste Weg, diese Art von Ransomware und handgefertigten Kampagnen abzuwehren, darin, jegliche unnötige Kommunikation zwischen Endpunkten zu blockieren. Ebenso wichtig ist es, Best Practices für die Hygiene von Anmeldeinformationen zu befolgen, z. B. Multi-Factor Authentication , Überwachung von Brute-Force-Versuchen, Installation der neuesten Sicherheitsupdates und mehr. Hier ist die vollständige Liste der zu ergreifenden Abwehrmaßnahmen:

• Stellen Sie sicher, dass Sie die von Microsoft empfohlenen Konfigurationseinstellungen^{(recommended configuration settings)} anwenden , um mit dem Internet verbundene Computer zu schützen.
• Defender ATP bietet Bedrohungs- und Schwachstellenmanagement^{(threat and vulnerability management)} . Sie können es verwenden, um Computer regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten zu prüfen.
• Verwenden Sie ein MFA-Gateway wie Azure Multi-Factor Authentication ( MFA ) oder aktivieren Sie die Authentifizierung auf Netzwerkebene ( NLA ).
• Bieten Sie Konten die geringsten Rechte^{(least-privilege to accounts)} und aktivieren Sie den Zugriff nur bei Bedarf. Jedes Konto mit domänenweitem Zugriff auf Administratorebene sollte mindestens oder null sein.
• Tools wie das Tool Local Administrator Password Solution ( LAPS ) können eindeutige zufällige Passwörter für Administratorkonten konfigurieren. Sie können sie in Active Directory^{(Active Directory)} (AD) speichern und mit ACL schützen .
• Überwachen Sie Brute-Force-Versuche. Sie sollten alarmiert sein, besonders wenn es viele fehlgeschlagene Authentifizierungsversuche gibt. ^{(failed authentication attempts. )}Filtern^(Filter) Sie mithilfe der Ereignis -ID 4625 , um solche Einträge zu finden.
• Angreifer löschen normalerweise die Sicherheitsereignisprotokolle und das PowerShell-Betriebsprotokoll^{(Security Event logs and PowerShell Operational log)} , um alle ihre Spuren zu entfernen. Microsoft Defender ATP generiert in diesem Fall eine Ereignis-ID 1102^{(Event ID 1102)} .
• Aktivieren Sie die Manipulationsschutzfunktionen^{(Tamper protection)(Tamper protection)} , um zu verhindern, dass Angreifer Sicherheitsfunktionen deaktivieren.
• Untersuchen^{(Investigate)} Sie die Ereignis - ID 4624 , um herauszufinden, wo sich Konten mit hohen Berechtigungen anmelden. Wenn sie in ein Netzwerk oder einen Computer gelangen, der kompromittiert ist, kann dies eine größere Bedrohung darstellen.
• Aktivieren Sie den über die Cloud bereitgestellten Schutz^{(Turn on cloud-delivered protection)} und die automatische Musterübermittlung für Windows Defender Antivirus . Es schützt Sie vor unbekannten Bedrohungen.
• Aktivieren Sie die Regeln zur Reduzierung der Angriffsfläche. Aktivieren Sie außerdem Regeln, die den Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten und die verdächtige Verwendung von PsExec und WMI blockieren .
• Aktivieren Sie AMSI^(AMSI) für  Office VBA^{(Office VBA)}  , wenn Sie über Office 365 verfügen.
• Verhindern Sie nach Möglichkeit die RPC-^{(Prevent RPC)} und SMB- Kommunikation zwischen Endpunkten.

Lesen Sie^(Read) : Ransomware-Schutz in Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft hat eine Fallstudie zu Wadhrama , Doppelpaymer , Ryuk , Samas , REvil erstellt^(REvil)

• Wadhrama wird mithilfe von Brute Forces auf Servern mit Remote Desktop bereitgestellt . Sie entdecken normalerweise nicht gepatchte Systeme und nutzen offengelegte Schwachstellen, um ersten Zugriff zu erhalten oder Berechtigungen zu erhöhen.
• Doppelpaymer wird manuell über kompromittierte Netzwerke verbreitet, wobei gestohlene Zugangsdaten für privilegierte Konten verwendet werden. Aus diesem Grund ist es wichtig, die empfohlenen Konfigurationseinstellungen für alle Computer zu befolgen.
• Ryuk verteilt Nutzdaten per E-Mail ( Trickboat ), indem es den Endbenutzer über etwas anderes hereinlegt. Kürzlich nutzten Hacker die Coronavirus -Angst, um den Endbenutzer auszutricksen. Einer von ihnen konnte auch die Emotet-Nutzlast liefern .

Das Gemeinsame an allen von ihnen^{(common thing about each of them)} ist, dass sie auf der Grundlage von Situationen aufgebaut sind. Sie scheinen Gorilla-Taktiken auszuführen, bei denen sie von einer Maschine zur anderen wechseln, um die Nutzlast zu liefern. Es ist wichtig, dass IT-Administratoren nicht nur den laufenden Angriff im Auge behalten, auch wenn es sich um einen kleinen Angriff handelt, und die Mitarbeiter darüber aufklären, wie sie zum Schutz des Netzwerks beitragen können.

Ich hoffe, dass alle IT-Administratoren dem Vorschlag folgen und sicherstellen können, dass von Menschen verursachte Ransomware^(Ransomware) - Angriffe abgeschwächt werden.

Lesen Sie^{(Related read)} weiter : Was tun nach einem Ransomware-Angriff auf Ihren Windows-Computer?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usually possible by getting hold of your computer either by physicallу being thеre or using remote accеss. While the wоrld has moved aheаd wіth automation, comрuter security has tightened, one thing that hasn’t changed is human mistakes.  Thаt is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware-Angriffe, Definition, Beispiele, Schutz, Entfernung

• Kostenlose Anti-Ransomware-Software für Windows-Computer

• Erstellen Sie E-Mail-Regeln, um Ransomware in Microsoft 365 Business zu verhindern

• Aktivieren und konfigurieren Sie den Ransomware-Schutz in Windows Defender

• Ransomware-Schutz in Windows 11/10

• Ransomware Response Playbook zeigt, wie man mit der Malware umgeht

• Liste kostenloser Ransomware-Entschlüsselungstools zum Entsperren von Dateien

• Was tun nach einem Ransomware-Angriff auf Ihren Windows-Computer?

• Sollte ich Ransomware melden? Wo melde ich Ransomware?

• DLL-Hijacking-Schwachstellenangriffe, Prävention und Erkennung

• Brute-Force-Angriffe – Definition und Prävention

• Dateilose Malware-Angriffe, Schutz und Erkennung

• Cyberangriffe – Definition, Typen, Prävention

• So schützen und verhindern Sie Ransomware-Angriffe und -Infektionen

• Was ist Ransom Denial of Service (RDoS)? Prävention und Vorsorge

• CyberGhost Immunizer hilft, Ransomware-Angriffe zu verhindern

• McAfee Ransomware Recover (Mr2) kann beim Entschlüsseln von Dateien helfen

• DDoS-Distributed-Denial-of-Service-Angriffe: Schutz, Prävention

• Wie vermeidet man Phishing-Betrug und -Angriffe?