Pada hari-hari sebelumnya, jika seseorang harus membajak komputer Anda, biasanya hal itu dapat dilakukan dengan memegang komputer Anda baik secara fisik berada di sana atau menggunakan akses jarak jauh. Sementara dunia telah bergerak maju dengan otomatisasi, keamanan komputer telah diperketat, satu hal yang tidak berubah adalah kesalahan manusia. Di situlah Serangan Ransomware yang dioperasikan Manusia^{(Human-operated Ransomware Attacks)} muncul. Ini adalah serangan buatan tangan yang menemukan kerentanan atau keamanan yang salah konfigurasi di komputer dan mendapatkan akses. Microsoft telah membuat studi kasus lengkap yang menyimpulkan bahwa admin TI dapat mengurangi serangan Ransomware^{(Ransomware attacks)} yang dioperasikan manusia ini dengan margin yang signifikan.

Mengurangi Serangan Ransomware yang Dioperasikan Manusia^{(Human-operated Ransomware Attacks)}

Menurut Microsoft , cara terbaik untuk mengurangi jenis ransomware ini, dan kampanye buatan tangan adalah dengan memblokir semua komunikasi yang tidak perlu antara titik akhir. Juga sama pentingnya untuk mengikuti praktik terbaik untuk kebersihan kredensial seperti Multi-Factor Authentication , memantau upaya brute force, menginstal pembaruan keamanan terbaru, dan banyak lagi. Berikut daftar lengkap langkah-langkah pertahanan yang akan dilakukan:

• Pastikan untuk menerapkan pengaturan konfigurasi yang direkomendasikan^{(recommended configuration settings)} Microsoft untuk melindungi komputer yang terhubung ke internet.
• Defender ATP menawarkan manajemen ancaman dan kerentanan^{(threat and vulnerability management)} . Anda dapat menggunakannya untuk mengaudit mesin secara teratur untuk mengetahui kerentanan, kesalahan konfigurasi, dan aktivitas mencurigakan.
• Gunakan gateway MFA^{(MFA gateway)} seperti Azure Multi-Factor Authentication ( MFA ) atau aktifkan otentikasi tingkat jaringan ( NLA ).
• Tawarkan hak istimewa paling rendah ke akun^{(least-privilege to accounts)} , dan hanya aktifkan akses bila diperlukan. Setiap akun dengan akses tingkat admin seluruh domain harus minimal atau nol.
• Alat seperti alat Solusi Kata Sandi Administrator Lokal ( LAPS ) dapat mengonfigurasi kata sandi acak unik untuk akun admin. Anda dapat menyimpannya di Active Directory (AD) dan melindunginya menggunakan ACL .
• Pantau upaya kekerasan. Anda harus waspada, terutama jika ada banyak upaya otentikasi yang gagal. ^{(failed authentication attempts. )}Filter menggunakan ID peristiwa 4625^{(ID 4625)} untuk menemukan entri tersebut.
• Penyerang biasanya menghapus log Peristiwa Keamanan dan log Operasional PowerShell^{(Security Event logs and PowerShell Operational log)} untuk menghapus semua jejak mereka. Microsoft Defender ATP menghasilkan ID Peristiwa 1102^{(Event ID 1102)} saat ini terjadi.
• Aktifkan fitur perlindungan Tamper^{(Tamper protection)(Tamper protection)} untuk mencegah penyerang mematikan fitur keamanan.
• Selidiki^{(Investigate)} ID peristiwa 4624^{(ID 4624)} untuk menemukan di mana akun dengan hak istimewa tinggi masuk. Jika mereka masuk ke jaringan atau komputer yang disusupi, maka itu bisa menjadi ancaman yang lebih signifikan.
• Aktifkan perlindungan yang diberikan cloud^{(Turn on cloud-delivered protection)} dan pengiriman sampel otomatis pada Windows Defender Antivirus . Ini mengamankan Anda dari ancaman yang tidak diketahui.
• Aktifkan aturan pengurangan permukaan serangan. Bersamaan dengan ini, aktifkan aturan yang memblokir pencurian kredensial, aktivitas ransomware, dan penggunaan PsExec dan WMI yang mencurigakan .
• Aktifkan  AMSI untuk Office VBA  jika Anda memiliki Office 365.
• Cegah^{(Prevent RPC)} komunikasi RPC dan SMB di antara titik akhir bila memungkinkan.^(SMB)

Baca^(Read) : Perlindungan Ransomware di Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft telah memasang studi kasus Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama dikirimkan menggunakan kekuatan kasar ke server yang memiliki Remote Desktop . Mereka biasanya menemukan sistem yang belum ditambal dan menggunakan kerentanan yang diungkapkan untuk mendapatkan akses awal atau meningkatkan hak istimewa.
• Doppelpaymer disebarkan secara manual melalui jaringan yang disusupi menggunakan kredensial curian untuk akun istimewa. Itulah mengapa penting untuk mengikuti pengaturan konfigurasi yang disarankan untuk semua komputer.
• Ryuk mendistribusikan muatan melalui email ( Trickboat ) dengan menipu pengguna akhir tentang hal lain. Baru -baru ini peretas menggunakan ketakutan Coronavirus untuk mengelabui pengguna akhir. Salah satunya juga mampu mengantarkan muatan Emotet .

Hal umum tentang masing-masing dari mereka^{(common thing about each of them)} adalah mereka dibangun berdasarkan situasi. Mereka tampaknya melakukan taktik gorila di mana mereka berpindah dari satu mesin ke mesin lain untuk mengirimkan muatan. Sangat penting bahwa admin TI tidak hanya mengawasi serangan yang sedang berlangsung, bahkan jika itu dalam skala kecil, dan mendidik karyawan tentang bagaimana mereka dapat membantu melindungi jaringan.

Saya harap semua admin TI dapat mengikuti saran dan memastikan untuk mengurangi serangan Ransomware yang dioperasikan manusia.^(Ransomware)

Bacaan terkait^{(Related read)} : Apa yang harus dilakukan setelah serangan Ransomware di komputer Windows Anda?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier days, if someone has to hijack your computer, it was usually possible bу getting hold of yоur computer either by physіcally being there or usіng remote access. While the world has moved ahead wіth automation, computer security has tightened, one thing that haѕn’t changed is human mistakes.  That iѕ where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware Attacks, Definition, Examples, Protection, Removal

• Anti-Ransomware software gratis untuk Windows Komputer

• Create email Aturan untuk Mencegah Ransomware dalam bisnis Microsoft 365

• Aktifkan dan Konfigurasikan Ransomware Protection di Windows Defender

• Ransomware protection di Windows 10

• CyberGhost Immunizer akan membantu mencegah serangan ransomware

• Brute Force Attacks - Definition and Prevention

• Daftar Ransomware Decryption Tools gratis untuk membuka kunci file

• Fileless Malware Attacks, Protection and Detection

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Bagaimana cara menghindari Phishing Scams and Attacks?

• McAfee Ransomware Recover (Mr2) dapat membantu dalam mendekripsi file

• Haruskah saya melaporkan Ransomware? Di mana saya melaporkan Ransomware?

• Cyber Attacks - Definisi, Types, Pencegahan

• Cara melindungi dan mencegah serangan & infeksi Ransomware

• Ransomware Response Playbook menunjukkan cara menangani malware

• Apa yang harus dilakukan setelah Ransomware attack pada Windows computer Anda?

• DDoS Distributed Denial dari Service Attacks: Perlindungan, Prevention

• Apa Ransom Denial dari Service (RDoS)? Prevention and precautions