Cara mengurangi Serangan Ransomware yang Dioperasikan Manusia: Infografis
Pada hari-hari sebelumnya, jika seseorang harus membajak komputer Anda, biasanya hal itu dapat dilakukan dengan memegang komputer Anda baik secara fisik berada di sana atau menggunakan akses jarak jauh. Sementara dunia telah bergerak maju dengan otomatisasi, keamanan komputer telah diperketat, satu hal yang tidak berubah adalah kesalahan manusia. Di situlah Serangan Ransomware yang dioperasikan Manusia(Human-operated Ransomware Attacks) muncul. Ini adalah serangan buatan tangan yang menemukan kerentanan atau keamanan yang salah konfigurasi di komputer dan mendapatkan akses. Microsoft telah membuat studi kasus lengkap yang menyimpulkan bahwa admin TI dapat mengurangi serangan Ransomware(Ransomware attacks) yang dioperasikan manusia ini dengan margin yang signifikan.
Mengurangi Serangan Ransomware yang Dioperasikan Manusia(Human-operated Ransomware Attacks)
Menurut Microsoft , cara terbaik untuk mengurangi jenis ransomware ini, dan kampanye buatan tangan adalah dengan memblokir semua komunikasi yang tidak perlu antara titik akhir. Juga sama pentingnya untuk mengikuti praktik terbaik untuk kebersihan kredensial seperti Multi-Factor Authentication , memantau upaya brute force, menginstal pembaruan keamanan terbaru, dan banyak lagi. Berikut daftar lengkap langkah-langkah pertahanan yang akan dilakukan:
- Pastikan untuk menerapkan pengaturan konfigurasi yang direkomendasikan(recommended configuration settings) Microsoft untuk melindungi komputer yang terhubung ke internet.
- Defender ATP menawarkan manajemen ancaman dan kerentanan(threat and vulnerability management) . Anda dapat menggunakannya untuk mengaudit mesin secara teratur untuk mengetahui kerentanan, kesalahan konfigurasi, dan aktivitas mencurigakan.
- Gunakan gateway MFA(MFA gateway) seperti Azure Multi-Factor Authentication ( MFA ) atau aktifkan otentikasi tingkat jaringan ( NLA ).
- Tawarkan hak istimewa paling rendah ke akun(least-privilege to accounts) , dan hanya aktifkan akses bila diperlukan. Setiap akun dengan akses tingkat admin seluruh domain harus minimal atau nol.
- Alat seperti alat Solusi Kata Sandi Administrator Lokal ( LAPS ) dapat mengonfigurasi kata sandi acak unik untuk akun admin. Anda dapat menyimpannya di Active Directory (AD) dan melindunginya menggunakan ACL .
- Pantau upaya kekerasan. Anda harus waspada, terutama jika ada banyak upaya otentikasi yang gagal. (failed authentication attempts. )Filter menggunakan ID peristiwa 4625(ID 4625) untuk menemukan entri tersebut.
- Penyerang biasanya menghapus log Peristiwa Keamanan dan log Operasional PowerShell(Security Event logs and PowerShell Operational log) untuk menghapus semua jejak mereka. Microsoft Defender ATP menghasilkan ID Peristiwa 1102(Event ID 1102) saat ini terjadi.
- Aktifkan fitur perlindungan Tamper(Tamper protection)(Tamper protection) untuk mencegah penyerang mematikan fitur keamanan.
- Selidiki(Investigate) ID peristiwa 4624(ID 4624) untuk menemukan di mana akun dengan hak istimewa tinggi masuk. Jika mereka masuk ke jaringan atau komputer yang disusupi, maka itu bisa menjadi ancaman yang lebih signifikan.
- Aktifkan perlindungan yang diberikan cloud(Turn on cloud-delivered protection) dan pengiriman sampel otomatis pada Windows Defender Antivirus . Ini mengamankan Anda dari ancaman yang tidak diketahui.
- Aktifkan aturan pengurangan permukaan serangan. Bersamaan dengan ini, aktifkan aturan yang memblokir pencurian kredensial, aktivitas ransomware, dan penggunaan PsExec dan WMI yang mencurigakan .
- Aktifkan AMSI untuk Office VBA jika Anda memiliki Office 365.
- Cegah(Prevent RPC) komunikasi RPC dan SMB di antara titik akhir bila memungkinkan.(SMB)
Baca(Read) : Perlindungan Ransomware di Windows 10(Ransomware protection in Windows 10) .
Microsoft telah memasang studi kasus Wadhrama , Doppelpaymer , Ryuk , Samas , REvil
- Wadhrama dikirimkan menggunakan kekuatan kasar ke server yang memiliki Remote Desktop . Mereka biasanya menemukan sistem yang belum ditambal dan menggunakan kerentanan yang diungkapkan untuk mendapatkan akses awal atau meningkatkan hak istimewa.
- Doppelpaymer disebarkan secara manual melalui jaringan yang disusupi menggunakan kredensial curian untuk akun istimewa. Itulah mengapa penting untuk mengikuti pengaturan konfigurasi yang disarankan untuk semua komputer.
- Ryuk mendistribusikan muatan melalui email ( Trickboat ) dengan menipu pengguna akhir tentang hal lain. Baru -baru ini peretas menggunakan ketakutan Coronavirus untuk mengelabui pengguna akhir. Salah satunya juga mampu mengantarkan muatan Emotet .
Hal umum tentang masing-masing dari mereka(common thing about each of them) adalah mereka dibangun berdasarkan situasi. Mereka tampaknya melakukan taktik gorila di mana mereka berpindah dari satu mesin ke mesin lain untuk mengirimkan muatan. Sangat penting bahwa admin TI tidak hanya mengawasi serangan yang sedang berlangsung, bahkan jika itu dalam skala kecil, dan mendidik karyawan tentang bagaimana mereka dapat membantu melindungi jaringan.
Saya harap semua admin TI dapat mengikuti saran dan memastikan untuk mengurangi serangan Ransomware yang dioperasikan manusia.(Ransomware)
Bacaan terkait(Related read) : Apa yang harus dilakukan setelah serangan Ransomware di komputer Windows Anda?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware Attacks, Definition, Examples, Protection, Removal
Anti-Ransomware software gratis untuk Windows Komputer
Create email Aturan untuk Mencegah Ransomware dalam bisnis Microsoft 365
Aktifkan dan Konfigurasikan Ransomware Protection di Windows Defender
Ransomware protection di Windows 10
CyberGhost Immunizer akan membantu mencegah serangan ransomware
Brute Force Attacks - Definition and Prevention
Daftar Ransomware Decryption Tools gratis untuk membuka kunci file
Fileless Malware Attacks, Protection and Detection
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Bagaimana cara menghindari Phishing Scams and Attacks?
McAfee Ransomware Recover (Mr2) dapat membantu dalam mendekripsi file
Haruskah saya melaporkan Ransomware? Di mana saya melaporkan Ransomware?
Cyber Attacks - Definisi, Types, Pencegahan
Cara melindungi dan mencegah serangan & infeksi Ransomware
Ransomware Response Playbook menunjukkan cara menangani malware
Apa yang harus dilakukan setelah Ransomware attack pada Windows computer Anda?
DDoS Distributed Denial dari Service Attacks: Perlindungan, Prevention
Apa Ransom Denial dari Service (RDoS)? Prevention and precautions