Cách giảm thiểu các cuộc tấn công bằng Ransomware do con người điều hành: Infographic

Trong những ngày trước đó, nếu ai đó chiếm quyền điều khiển máy tính của bạn, thông thường có thể xảy ra bằng cách giữ máy tính của bạn bằng cách thực tế ở đó hoặc sử dụng quyền truy cập từ xa. Trong khi thế giới đã tiến lên với tự động hóa, bảo mật máy tính được thắt chặt, một điều không thay đổi là những sai lầm của con người. Đó là nơi các Cuộc tấn công bằng Ransomware do Con người điều hành(Human-operated Ransomware Attacks) xuất hiện trong bức tranh. Đây là các cuộc tấn công thủ công nhằm tìm ra lỗ hổng hoặc cấu hình sai bảo mật trên máy tính và giành quyền truy cập. Microsoft đã đưa ra một nghiên cứu tình huống toàn diện, kết luận rằng quản trị viên CNTT có thể giảm thiểu các cuộc tấn công Ransomware(Ransomware attacks) do con người điều hành này với một mức lợi nhuận đáng kể.

giảm thiểu các cuộc tấn công Ransomware do con người điều hành

Giảm thiểu các cuộc tấn công bằng Ransomware do con người điều hành(Human-operated Ransomware Attacks)

Theo Microsoft , cách tốt nhất để giảm thiểu các loại ransomware này và các chiến dịch thủ công là chặn tất cả các giao tiếp không cần thiết giữa các thiết bị đầu cuối. Điều quan trọng không kém là tuân theo các phương pháp hay nhất về vệ sinh thông tin xác thực như Xác thực đa yếu tố(Multi-Factor Authentication) , giám sát các nỗ lực vũ phu, cài đặt các bản cập nhật bảo mật mới nhất, v.v. Dưới đây là danh sách đầy đủ các biện pháp phòng vệ sẽ được thực hiện:

  • Đảm bảo áp dụng cài đặt cấu hình khuyến nghị(recommended configuration settings) của Microsoft để bảo vệ máy tính được kết nối với internet.
  • Defender ATP cung cấp quản lý mối đe dọa và lỗ hổng bảo mật(threat and vulnerability management) . Bạn có thể sử dụng nó để kiểm tra các lỗ hổng, cấu hình sai và hoạt động đáng ngờ của máy thường xuyên.
  • Sử dụng cổng MFA(MFA gateway) như Xác thực đa yếu tố Azure(Azure Multi-Factor Authentication) ( MFA ) hoặc bật xác thực cấp độ mạng ( NLA ).
  • Cung cấp đặc quyền tối thiểu cho các tài khoản(least-privilege to accounts) và chỉ cho phép truy cập khi được yêu cầu. Bất kỳ tài khoản nào có quyền truy cập cấp quản trị viên trên toàn miền phải ở mức tối thiểu hoặc bằng không.
  • Các công cụ như công cụ Giải pháp mật khẩu quản trị viên cục bộ ( LAPS ) có thể định cấu hình mật khẩu ngẫu nhiên duy nhất cho tài khoản quản trị viên. Bạn có thể lưu trữ chúng trong Active Directory (AD) và bảo vệ bằng ACL .
  • Giám sát các nỗ lực vũ phu. Bạn nên cảnh giác, đặc biệt nếu có nhiều lần xác thực không thành công. (failed authentication attempts. )Lọc(Filter) sử dụng ID sự kiện 4625(ID 4625) để tìm các mục nhập như vậy.
  • Những kẻ tấn công thường xóa nhật ký Sự kiện bảo mật và nhật ký Hoạt động PowerShell(Security Event logs and PowerShell Operational log) để xóa tất cả dấu chân của chúng. Microsoft Defender ATP tạo ID sự kiện 1102(Event ID 1102) khi điều này xảy ra.
  • Bật các tính năng bảo vệ Tamper(Tamper protection)(Tamper protection) để ngăn kẻ tấn công tắt các tính năng bảo mật.
  • Điều tra(Investigate) ID sự kiện 4624(ID 4624) để tìm nơi tài khoản có đặc quyền cao đang đăng nhập. Nếu chúng xâm nhập vào mạng hoặc một máy tính bị xâm nhập, thì đó có thể là một mối đe dọa đáng kể hơn.
  • Bật tính năng bảo vệ do đám mây phân phối(Turn on cloud-delivered protection) và gửi mẫu tự động trên Windows Defender Antivirus . Nó bảo vệ bạn khỏi các mối đe dọa không xác định.
  • Bật quy tắc giảm bề mặt tấn công. Cùng với đó, hãy bật các quy tắc chặn hành vi trộm cắp thông tin xác thực, hoạt động ransomware và sử dụng PsExecWMI đáng ngờ .
  • Bật  AMSI cho Office VBA  nếu bạn có Office 365.
  • Ngăn chặn giao tiếp RPC(Prevent RPC)SMB giữa các thiết bị đầu cuối bất cứ khi nào có thể.

Đọc(Read) : Bảo vệ ransomware trong Windows 10(Ransomware protection in Windows 10) .

Microsoft đã đưa ra một nghiên cứu điển hình về Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhrama được phân phối bằng cách sử dụng brute force theo cách của họ vào các máy chủ có Máy tính Từ xa(Remote Desktop) . Họ thường phát hiện ra các hệ thống chưa được vá và sử dụng các lỗ hổng được tiết lộ để có được quyền truy cập ban đầu hoặc nâng cao đặc quyền.
  • Doppelpaymer được phát tán theo cách thủ công thông qua các mạng bị xâm nhập bằng cách sử dụng thông tin đăng nhập bị đánh cắp cho các tài khoản đặc quyền. Đó là lý do tại sao điều cần thiết là phải tuân theo các cài đặt cấu hình được khuyến nghị cho tất cả các máy tính.
  • Ryuk phân phối tải trọng qua email ( Trickboat ) bằng cách lừa người dùng cuối về một thứ khác. Gần đây, tin tặc đã sử dụng mối đe dọa Coronavirus để đánh lừa người dùng cuối. Một trong số họ cũng có thể cung cấp tải trọng Emotet .

Điểm chung của mỗi người trong số họ(common thing about each of them) là chúng được xây dựng dựa trên các tình huống. Chúng dường như đang thực hiện chiến thuật khỉ đột khi chúng di chuyển từ máy này sang máy khác để chuyển tải. Điều cần thiết là quản trị viên CNTT không chỉ theo dõi cuộc tấn công đang diễn ra, ngay cả khi nó ở quy mô nhỏ và giáo dục nhân viên về cách họ có thể giúp bảo vệ mạng.

Tôi hy vọng tất cả quản trị viên CNTT có thể làm theo đề xuất và đảm bảo giảm thiểu các cuộc tấn công Ransomware do con người điều hành.(Ransomware)

Bài đọc liên quan(Related read) : Làm gì sau một cuộc tấn công Ransomware trên máy tính Windows của bạn?(What to do after a Ransomware attack on your Windows computer?)



Hạnh Ngô

About the author

Tôi là Chuyên gia Windows và đã làm việc trong ngành phần mềm hơn 10 năm. Tôi có kinh nghiệm với cả hệ thống Microsoft Windows và Apple Macintosh. Các kỹ năng của tôi bao gồm: quản lý cửa sổ, phần cứng máy tính và âm thanh, phát triển ứng dụng, v.v. Tôi là một nhà tư vấn giàu kinh nghiệm có thể giúp bạn khai thác tối đa hệ thống Windows của mình.


Related posts