Cara mengurangi Serangan Ransomware yang Dioperasikan Manusia: Infografis

Pada hari-hari sebelumnya, jika seseorang harus membajak komputer Anda, biasanya hal itu dapat dilakukan dengan memegang komputer Anda baik secara fisik berada di sana atau menggunakan akses jarak jauh. Sementara dunia telah bergerak maju dengan otomatisasi, keamanan komputer telah diperketat, satu hal yang tidak berubah adalah kesalahan manusia. Di situlah Serangan Ransomware yang dioperasikan Manusia(Human-operated Ransomware Attacks) muncul. Ini adalah serangan buatan tangan yang menemukan kerentanan atau keamanan yang salah konfigurasi di komputer dan mendapatkan akses. Microsoft telah membuat studi kasus lengkap yang menyimpulkan bahwa admin TI dapat mengurangi serangan Ransomware(Ransomware attacks) yang dioperasikan manusia ini dengan margin yang signifikan.

mengurangi serangan Ransomware yang dioperasikan manusia

Mengurangi Serangan Ransomware yang Dioperasikan Manusia(Human-operated Ransomware Attacks)

Menurut Microsoft , cara terbaik untuk mengurangi jenis ransomware ini, dan kampanye buatan tangan adalah dengan memblokir semua komunikasi yang tidak perlu antara titik akhir. Juga sama pentingnya untuk mengikuti praktik terbaik untuk kebersihan kredensial seperti Multi-Factor Authentication , memantau upaya brute force, menginstal pembaruan keamanan terbaru, dan banyak lagi. Berikut daftar lengkap langkah-langkah pertahanan yang akan dilakukan:

  • Pastikan untuk menerapkan pengaturan konfigurasi yang direkomendasikan(recommended configuration settings) Microsoft untuk melindungi komputer yang terhubung ke internet.
  • Defender ATP menawarkan manajemen ancaman dan kerentanan(threat and vulnerability management) . Anda dapat menggunakannya untuk mengaudit mesin secara teratur untuk mengetahui kerentanan, kesalahan konfigurasi, dan aktivitas mencurigakan.
  • Gunakan gateway MFA(MFA gateway) seperti Azure Multi-Factor Authentication ( MFA ) atau aktifkan otentikasi tingkat jaringan ( NLA ).
  • Tawarkan hak istimewa paling rendah ke akun(least-privilege to accounts) , dan hanya aktifkan akses bila diperlukan. Setiap akun dengan akses tingkat admin seluruh domain harus minimal atau nol.
  • Alat seperti alat Solusi Kata Sandi Administrator Lokal ( LAPS ) dapat mengonfigurasi kata sandi acak unik untuk akun admin. Anda dapat menyimpannya di Active Directory (AD) dan melindunginya menggunakan ACL .
  • Pantau upaya kekerasan. Anda harus waspada, terutama jika ada banyak upaya otentikasi yang gagal. (failed authentication attempts. )Filter menggunakan ID peristiwa 4625(ID 4625) untuk menemukan entri tersebut.
  • Penyerang biasanya menghapus log Peristiwa Keamanan dan log Operasional PowerShell(Security Event logs and PowerShell Operational log) untuk menghapus semua jejak mereka. Microsoft Defender ATP menghasilkan ID Peristiwa 1102(Event ID 1102) saat ini terjadi.
  • Aktifkan fitur perlindungan Tamper(Tamper protection)(Tamper protection) untuk mencegah penyerang mematikan fitur keamanan.
  • Selidiki(Investigate) ID peristiwa 4624(ID 4624) untuk menemukan di mana akun dengan hak istimewa tinggi masuk. Jika mereka masuk ke jaringan atau komputer yang disusupi, maka itu bisa menjadi ancaman yang lebih signifikan.
  • Aktifkan perlindungan yang diberikan cloud(Turn on cloud-delivered protection) dan pengiriman sampel otomatis pada Windows Defender Antivirus . Ini mengamankan Anda dari ancaman yang tidak diketahui.
  • Aktifkan aturan pengurangan permukaan serangan. Bersamaan dengan ini, aktifkan aturan yang memblokir pencurian kredensial, aktivitas ransomware, dan penggunaan PsExec dan WMI yang mencurigakan .
  • Aktifkan  AMSI untuk Office VBA  jika Anda memiliki Office 365.
  • Cegah(Prevent RPC) komunikasi RPC dan SMB di antara titik akhir bila memungkinkan.(SMB)

Baca(Read) : Perlindungan Ransomware di Windows 10(Ransomware protection in Windows 10) .

Microsoft telah memasang studi kasus Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhrama dikirimkan menggunakan kekuatan kasar ke server yang memiliki Remote Desktop . Mereka biasanya menemukan sistem yang belum ditambal dan menggunakan kerentanan yang diungkapkan untuk mendapatkan akses awal atau meningkatkan hak istimewa.
  • Doppelpaymer disebarkan secara manual melalui jaringan yang disusupi menggunakan kredensial curian untuk akun istimewa. Itulah mengapa penting untuk mengikuti pengaturan konfigurasi yang disarankan untuk semua komputer.
  • Ryuk mendistribusikan muatan melalui email ( Trickboat ) dengan menipu pengguna akhir tentang hal lain. Baru -baru ini peretas menggunakan ketakutan Coronavirus untuk mengelabui pengguna akhir. Salah satunya juga mampu mengantarkan muatan Emotet .

Hal umum tentang masing-masing dari mereka(common thing about each of them) adalah mereka dibangun berdasarkan situasi. Mereka tampaknya melakukan taktik gorila di mana mereka berpindah dari satu mesin ke mesin lain untuk mengirimkan muatan. Sangat penting bahwa admin TI tidak hanya mengawasi serangan yang sedang berlangsung, bahkan jika itu dalam skala kecil, dan mendidik karyawan tentang bagaimana mereka dapat membantu melindungi jaringan.

Saya harap semua admin TI dapat mengikuti saran dan memastikan untuk mengurangi serangan Ransomware yang dioperasikan manusia.(Ransomware)

Bacaan terkait(Related read) : Apa yang harus dilakukan setelah serangan Ransomware di komputer Windows Anda?(What to do after a Ransomware attack on your Windows computer?)



About the author

Saya seorang teknisi Windows 10 dan telah membantu individu dan bisnis memanfaatkan sistem operasi baru selama bertahun-tahun. Saya memiliki banyak pengetahuan tentang Microsoft Office, termasuk cara menyesuaikan tampilan dan mempersonalisasi aplikasi untuk pengguna yang berbeda. Selain itu, saya tahu cara menggunakan aplikasi Explorer untuk menjelajahi dan menemukan file dan folder di komputer saya.



Related posts