Daha önceki günlerde, birinin bilgisayarınızı ele geçirmesi gerekiyorsa, bu genellikle ya fiziksel olarak orada bulunarak ya da uzaktan erişim kullanarak bilgisayarınızı ele geçirmekle mümkündü. Dünya otomasyonla ilerlerken, bilgisayar güvenliği sıkılaştı, değişmeyen tek şey insan hataları. İşte bu noktada İnsan Tarafından Çalıştırılan Fidye Yazılım Saldırıları^{(Human-operated Ransomware Attacks)} devreye giriyor. Bunlar, bilgisayarda bir güvenlik açığı veya yanlış yapılandırılmış bir güvenlik bulan ve erişim sağlayan el yapımı saldırılardır. Microsoft , BT yöneticisinin insan tarafından işletilen bu ^(Microsoft)Fidye Yazılım saldırılarını^{(Ransomware attacks)} önemli bir farkla azaltabileceği sonucuna varan kapsamlı bir vaka çalışması hazırladı .

İnsan Tarafından Yapılan Fidye Yazılım Saldırılarını^{(Human-operated Ransomware Attacks)} Azaltma

Microsoft'a^(Microsoft) göre , bu tür fidye yazılımlarını ve el yapımı kampanyaları azaltmanın en iyi yolu, uç noktalar arasındaki tüm gereksiz iletişimi engellemektir. Çok Faktörlü Kimlik Doğrulama^{(Multi-Factor Authentication)} , kaba kuvvet denemelerini izleme, en son güvenlik güncellemelerini yükleme ve daha fazlası gibi kimlik bilgisi hijyeni için en iyi uygulamaları izlemek de aynı derecede önemlidir . İşte alınması gereken savunma önlemlerinin tam listesi:

• İnternete bağlı bilgisayarları korumak için Microsoft tarafından önerilen yapılandırma ayarlarını^{(recommended configuration settings)} uyguladığınızdan emin olun .
• Defender ATP , tehdit ve güvenlik açığı yönetimi sunar^{(threat and vulnerability management)} . Güvenlik açıkları, yanlış yapılandırmalar ve şüpheli etkinlikler için makineleri düzenli olarak denetlemek için kullanabilirsiniz.
• Azure Multi-Factor Authentication ( MFA ) gibi MFA ağ geçidini^{(MFA gateway)} kullanın veya ağ düzeyinde kimlik doğrulamayı ( NLA ) etkinleştirin.
• Hesaplara en az ayrıcalık^{(least-privilege to accounts)} sunun ve erişimi yalnızca gerektiğinde etkinleştirin. Alan genelinde yönetici düzeyinde erişime sahip tüm hesaplar minimumda veya sıfırda olmalıdır.
• Yerel Yönetici Parola Çözümü ( LAPS ) aracı gibi araçlar, yönetici hesapları için benzersiz rastgele parolalar yapılandırabilir. Bunları Active Directory'de (AD) saklayabilir ve ^{(Active Directory)}ACL kullanarak koruyabilirsiniz .
• Kaba kuvvet girişimleri için izleyin. Özellikle çok sayıda başarısız kimlik doğrulama girişimi^{(failed authentication attempts. )} varsa, alarma geçmelisiniz . Bu tür girişleri bulmak için olay kimliği 4625'i kullanarak ^{(ID 4625)}filtreleyin .^(Filter)
• Saldırganlar, tüm ayak izlerini kaldırmak için genellikle Güvenlik Olayı günlüklerini ve PowerShell Operasyonel günlüğünü temizler. ^{(Security Event logs and PowerShell Operational log)}Bu gerçekleştiğinde Microsoft Defender ATP^{(Microsoft Defender ATP)} , bir Olay Kimliği 1102^{(Event ID 1102)} oluşturur .
• Saldırganların güvenlik özelliklerini kapatmasını önlemek için Dış Müdahale koruma^{(Tamper protection)(Tamper protection)} özelliklerini açın .
• ^{(Investigate)}Yüksek ayrıcalıklara sahip hesapların nerede oturum açtığını bulmak için olay kimliği 4624'ü ^{(ID 4624)}araştırın . Güvenliği ihlal edilmiş bir ağa veya bilgisayara girerlerse, bu daha önemli bir tehdit olabilir.
• ^{(Turn on cloud-delivered protection)}Windows Defender Antivirus üzerinde bulut tarafından sağlanan korumayı ve otomatik numune gönderimini açın . Sizi bilinmeyen tehditlerden korur.
• Saldırı yüzeyi azaltma kurallarını açın. Bununla birlikte, kimlik bilgisi hırsızlığını, fidye yazılımı etkinliğini ve PsExec ile WMI'nin^(WMI) şüpheli kullanımını engelleyen kuralları etkinleştirin .
•  Office 365'iniz varsa Office VBA için AMSI'yi^(AMSI) açın  .
• ^{(Prevent RPC)}Mümkün olduğunda uç noktalar arasında RPC ve SMB iletişimini önleyin.^(SMB)

Okuyun^(Read) : Windows 10'da fidye yazılımı koruması^{(Ransomware protection in Windows 10)} .

Microsoft , Wadhrama , Doppelpaymer , Ryuk , Samas , REvil için bir vaka çalışması hazırladı

• Wadhrama , Uzak Masaüstü'ne^{(Remote Desktop)} sahip sunuculara kaba kuvvetler kullanılarak teslim edilir . Genellikle yama uygulanmamış sistemleri keşfederler ve ilk erişim elde etmek veya ayrıcalıkları yükseltmek için açıklanan güvenlik açıklarını kullanırlar.
• Doppelpaymer , ayrıcalıklı hesaplar için çalınan kimlik bilgilerini kullanarak güvenliği ihlal edilmiş ağlar aracılığıyla manuel olarak yayılır. Bu nedenle, tüm bilgisayarlar için önerilen yapılandırma ayarlarını takip etmek önemlidir.
• Ryuk , son kullanıcıyı başka bir şey hakkında kandırarak yükü e-posta ( Trickboat ) üzerinden dağıtır. ^(Trickboat)Son zamanlarda bilgisayar korsanları , son kullanıcıyı kandırmak için Coronavirus korkusunu kullandı. İçlerinden biri de Emotet yükünü teslim edebildi .

Her biri hakkında ortak olan şey^{(common thing about each of them)} , durumlara göre inşa edilmiş olmalarıdır. Yükü teslim etmek için bir makineden başka bir makineye geçtikleri goril taktikleri uyguluyor gibi görünüyorlar. BT yöneticilerinin, küçük ölçekte olsa bile devam eden saldırıyı takip etmeleri ve çalışanları ağın korunmasına nasıl yardımcı olabilecekleri konusunda eğitmeleri önemlidir.

Umarım tüm BT yöneticileri öneriyi takip edebilir ve insan tarafından işletilen Fidye Yazılım^(Ransomware) saldırılarını azalttığından emin olabilir .

İlgili okuma^{(Related read)} : Windows bilgisayarınıza bir Fidye Yazılımı saldırısından sonra ne yapmalısınız?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier dаys, if someone has to hijack your computer, it was usually possiblе by getting hold of your cоmputer eіther by physіcally being there or using remote access. While the world has moved ahead with automatіon, cоmputer security has tightened, one thing that hasn’t changed is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware Attacks, Definition, Examples, Protection, Removal

• Windows Bilgisayarları için ücretsiz Anti-Ransomware software

• Create email kurallar Microsoft 365 İş Ransomware önlemek için

• Windows Defender'te Ransomware Protection'ü etkinleştirin ve yapılandırın

• Ransomware protection içinde Windows 10

• CyberGhost Immunizer Ransomware saldırılarını önlemeye yardımcı olacak

• Ransomware'i rapor etmeli miyim? Ransomware'i nerede bildiririm?

• Fileless Malware Attacks, Protection and Detection

• McAfee Ransomware Recover (Mr2) dosyalarını şifresinin çözülmesinde yardımcı olabilir

• Brute Force Attacks - Definition and Prevention

• Phishing Scams and Attacks Nasıl Kaçınılır?

• Kilit açma dosyalarına serbest Ransomware Decryption Tools Listesi

• Ransomware saldırılarını ve enfeksiyonlarına karşı nasıl korunur ve önlenir

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Ransomware Response Playbook kötü amaçlı yazılımlarla nasıl başa çıkacağını göstermektedir

• Ransom Denial Service (RDoS) nedir? Prevention and precautions

• Cyber Attacks - Tanım, Types, Önleme

• senin Windows computer bir Ransomware attack sonra ne yapmalı?

• Service Attacks'ün DDoS Distributed Denial: Koruma, Prevention