Auparavant, si quelqu'un devait pirater votre ordinateur, cela était généralement possible en mettant la main sur votre ordinateur, soit en étant physiquement présent, soit en utilisant un accès à distance. Alors que le monde a progressé avec l'automatisation, la sécurité informatique s'est renforcée, une chose qui n'a pas changé, ce sont les erreurs humaines. C'est là que les attaques de ransomwares opérées par^{(Human-operated Ransomware Attacks)} l'homme entrent en scène. Ce sont des attaques artisanales qui trouvent une vulnérabilité ou une sécurité mal configurée sur l'ordinateur et y accèdent. Microsoft a proposé une étude de cas exhaustive qui conclut que l'administrateur informatique peut atténuer ces attaques de Ransomware^{(Ransomware attacks)} opérées par l'homme avec une marge significative.

Atténuation des attaques de ransomwares opérées par l'homme^{(Human-operated Ransomware Attacks)}

Selon Microsoft , la meilleure façon d'atténuer ces types de rançongiciels et de campagnes artisanales est de bloquer toutes les communications inutiles entre les terminaux. Il est également important de suivre les meilleures pratiques en matière d'hygiène des informations d'identification, telles que l'authentification multifacteur^{(Multi-Factor Authentication)} , la surveillance des tentatives de force brute, l'installation des dernières mises à jour de sécurité, etc. Voici la liste complète des mesures de défense à prendre :

• Assurez-vous d'appliquer les paramètres de configuration recommandés^{(recommended configuration settings)} par Microsoft pour protéger les ordinateurs connectés à Internet.
• Defender ATP offre une gestion des menaces et des vulnérabilités^{(threat and vulnerability management)} . Vous pouvez l'utiliser pour auditer régulièrement les machines à la recherche de vulnérabilités, de mauvaises configurations et d'activités suspectes.
• Utilisez la passerelle MFA^{(MFA gateway)} telle qu'Azure Multi-Factor Authentication^{(Azure Multi-Factor Authentication)} ( MFA ) ou activez l'authentification au niveau du réseau ( NLA ).
• Offrez le moindre privilège aux comptes^{(least-privilege to accounts)} et autorisez l'accès uniquement lorsque cela est nécessaire. Tout compte avec un accès de niveau administrateur à l'échelle du domaine doit être au minimum ou nul.
• Des outils tels que l'outil LAPS ( Local Administrator Password Solution ) peuvent configurer des mots de passe aléatoires uniques pour les comptes d'administrateur. Vous pouvez les stocker dans Active Directory (AD) et les protéger à l'aide d' ACL .
• Surveillez les tentatives de force brute. Vous devriez être alarmé, surtout s'il y a beaucoup de tentatives d'authentification infructueuses. ^{(failed authentication attempts. )}Filtrez^(Filter) à l'aide de l' ID d'événement 4625^{(ID 4625)} pour trouver ces entrées.
• Les attaquants effacent généralement les journaux des événements de sécurité et le journal opérationnel PowerShell^{(Security Event logs and PowerShell Operational log)} pour supprimer toutes leurs empreintes. Microsoft Defender ATP génère un ID d'événement 1102^{(Event ID 1102)} lorsque cela se produit.
• Activez les fonctionnalités de protection antialtération^{(Tamper protection)(Tamper protection)} pour empêcher les attaquants de désactiver les fonctionnalités de sécurité.
• Examinez^{(Investigate)} l'ID d' événement 4624^{(ID 4624)} pour trouver où les comptes avec des privilèges élevés se connectent. S'ils pénètrent dans un réseau ou un ordinateur compromis, cela peut constituer une menace plus importante.
• Activez la protection fournie par le cloud^{(Turn on cloud-delivered protection)} et l'envoi automatique d'échantillons sur l' antivirus Windows Defender^{(Windows Defender Antivirus)} . Il vous protège des menaces inconnues.
• Activez les règles de réduction de la surface d'attaque. Parallèlement à cela, activez des règles qui bloquent le vol d'informations d'identification, l'activité de ransomware et l'utilisation suspecte de PsExec et WMI .
• Activez  AMSI pour Office VBA  si vous avez Office 365.
• Dans la mesure du possible, empêchez les communications RPC^{(Prevent RPC)} et SMB entre les terminaux.

Lire^(Read) : Protection contre les ransomwares dans Windows 10^{(Ransomware protection in Windows 10)} .

Microsoft a mis en place une étude de cas sur Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

• Wadhrama est livré en utilisant des forces brutes pour se frayer un chemin dans des serveurs dotés de Remote Desktop . Ils découvrent généralement des systèmes non corrigés et utilisent les vulnérabilités divulguées pour obtenir un accès initial ou élever des privilèges.
• Doppelpaymer se propage manuellement via des réseaux compromis à l'aide d'informations d'identification volées pour des comptes privilégiés. C'est pourquoi il est essentiel de suivre les paramètres de configuration recommandés pour tous les ordinateurs.
• Ryuk distribue la charge utile par e-mail ( Trickboat ) en trompant l'utilisateur final sur autre chose. Récemment, des pirates ont utilisé la peur du coronavirus pour tromper l'utilisateur final. L'un d'eux a également été en mesure de livrer la charge utile Emotet .

La chose commune à chacun d'eux^{(common thing about each of them)} est qu'ils sont construits en fonction des situations. Ils semblent exécuter des tactiques de gorille où ils se déplacent d'une machine à une autre pour livrer la charge utile. Il est essentiel que les administrateurs informatiques gardent non seulement un œil sur l'attaque en cours, même si elle est à petite échelle, et éduquent les employés sur la manière dont ils peuvent aider à protéger le réseau.

J'espère que tous les administrateurs informatiques pourront suivre la suggestion et s'assurer d'atténuer les attaques de Ransomware opérées par l'homme .

Lecture connexe^{(Related read)} : Que faire après une attaque de Ransomware sur votre ordinateur Windows ?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earliеr days, if someone has to hijack your compυter, it was usually possible by getting hold of your computer either by physically being there or using remote access. While the world has moved ahead with automatiоn, computer security has tightened, one thing that hasn’t сhanged is human mistakes.  That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

• Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
• Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
• Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
• Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
• Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
• Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
• Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
• Turn on Tamper protection features to prevent attackers from turning off security features.
• Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
• Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
• Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
• Turn on AMSI for Office VBA if you have Office 365.
• Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

• Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
• Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
• Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Related read: What to do after a Ransomware attack on your Windows computer?

Related posts

• Ransomware Attacks, Definition, Examples, Protection, Removal

• Anti-Ransomware software pour Windows ordinateurs

• Create email Règles pour prévenir Ransomware dans Microsoft 365

• Activer et configurer Ransomware Protection dans Windows Defender

• Ransomware protection à Windows 10

• Devrais-je signaler Ransomware? Où dois-je signaler Ransomware?

• Brute Force Attacks - Definition and Prevention

• Liste de Ransomware Decryption Tools gratuit pour déverrouiller des fichiers

• McAfee Ransomware Recover (Mr2) peut aider à décrypter des fichiers

• DDoS Distributed Denial de Service Attacks: Protection, Prevention

• Qu'est-ce que Ransom Denial de Service (RDoS)? Prevention and precautions

• Comment se protéger contre et empêcher les attaques et les infections Ransomware

• Comment faire pour éviter Phishing Scams and Attacks?

• Que faire après un Ransomware attack sur votre Windows computer?

• Cyber Attacks - Définition, Types, prévention

• Fileless Malware Attacks, Protection and Detection

• CyberGhost Immunizer aidera à prévenir les attaques de ransomware

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Ransomware Response Playbook montre comment traiter les logiciels malveillants