كيفية التخفيف من هجمات برامج الفدية التي يديرها الإنسان: Infographic
في الأيام السابقة ، إذا اضطر شخص ما إلى الاستيلاء على جهاز الكمبيوتر الخاص بك ، فعادة ما كان ذلك ممكنًا عن طريق الحصول على جهاز الكمبيوتر الخاص بك إما عن طريق التواجد فعليًا هناك أو باستخدام الوصول عن بُعد. بينما يمضي العالم قدمًا في الأتمتة ، تم تشديد أمان الكمبيوتر ، والشيء الوحيد الذي لم يتغير هو الأخطاء البشرية. هذا هو المكان الذي تظهر فيه هجمات برامج الفدية التي يديرها الإنسان(Human-operated Ransomware Attacks) . هذه هي الهجمات المصنوعة يدويًا والتي تكتشف ثغرة أمنية أو أمان تم تكوينه بشكل خاطئ على الكمبيوتر ويتمكن من الوصول. توصلت Microsoft(Microsoft) إلى دراسة حالة شاملة خلصت إلى أن مسؤول تكنولوجيا المعلومات يمكنه التخفيف من هجمات Ransomware(Ransomware attacks) التي يديرها الإنسان بهامش كبير.
التخفيف من هجمات برامج الفدية التي يديرها الإنسان(Human-operated Ransomware Attacks)
وفقًا لمايكروسوفت(Microsoft) ، فإن أفضل طريقة للتخفيف من هذه الأنواع من برامج الفدية والحملات المصنوعة يدويًا هي منع جميع الاتصالات غير الضرورية بين نقاط النهاية. من المهم أيضًا اتباع أفضل الممارسات المتعلقة بنظافة بيانات الاعتماد مثل المصادقة متعددة العوامل(Multi-Factor Authentication) ومراقبة محاولات القوة الغاشمة وتثبيت آخر تحديثات الأمان والمزيد. فيما يلي القائمة الكاملة للتدابير الدفاعية الواجب اتخاذها:
- تأكد من تطبيق إعدادات التكوين الموصى بها(recommended configuration settings) من Microsoft لحماية أجهزة الكمبيوتر المتصلة بالإنترنت.
- تقدم ATP المدافع إدارة التهديدات ونقاط الضعف(threat and vulnerability management) . يمكنك استخدامه لتدقيق الأجهزة بانتظام بحثًا عن نقاط الضعف والتكوين الخاطئ والنشاط المشبوه.
- استخدم بوابة MFA(MFA gateway) مثل مصادقة Azure متعددة العوامل(Azure Multi-Factor Authentication) ( MFA ) أو قم بتمكين المصادقة على مستوى الشبكة ( NLA ).
- اعرض الامتياز الأقل للحسابات(least-privilege to accounts) ، وقم بتمكين الوصول فقط عند الحاجة. يجب أن يكون أي حساب له حق وصول على مستوى الإدارة على مستوى النطاق كحد أدنى أو صفر.
- يمكن لأدوات مثل أداة Local Administrator Password Solution ( LAPS ) تكوين كلمات مرور عشوائية فريدة لحسابات المسؤول. يمكنك تخزينها في Active Directory (AD) وحمايتها باستخدام ACL .
- راقب محاولات القوة الغاشمة. يجب أن تنزعج ، خاصة إذا كان هناك الكثير من محاولات المصادقة الفاشلة. (failed authentication attempts. )التصفية(Filter) باستخدام معرف الحدث 4625(ID 4625) للعثور على مثل هذه الإدخالات.
- عادةً ما يمسح المهاجمون سجلات أحداث الأمان وسجل تشغيل PowerShell(Security Event logs and PowerShell Operational log) لإزالة جميع آثار أقدامهم. تنشئ الحماية المتقدمة من المخاطر مع Microsoft Defender (Microsoft Defender ATP)معرّف الحدث 1102(Event ID 1102) عند حدوث ذلك.
- قم بتشغيل ميزات الحماية ضد العبث(Tamper protection)(Tamper protection) لمنع المهاجمين من إيقاف تشغيل ميزات الأمان.
- تحقق(Investigate) من معرف الحدث 4624(ID 4624) لمعرفة مكان تسجيل الدخول للحسابات ذات الامتيازات العالية. إذا دخلوا إلى شبكة أو جهاز كمبيوتر تم اختراقه ، فقد يكون ذلك تهديدًا أكثر خطورة.
- قم بتشغيل الحماية المقدمة عبر السحابة(Turn on cloud-delivered protection) وإرسال العينات تلقائيًا على برنامج الحماية من الفيروسات لـ Windows Defender(Windows Defender Antivirus) . يحميك من التهديدات غير المعروفة.
- قم بتشغيل قواعد تقليل سطح الهجوم. إلى جانب ذلك ، قم بتمكين القواعد التي تمنع سرقة بيانات الاعتماد ونشاط برامج الفدية والاستخدام المشبوه لـ PsExec و WMI .
- قم بتشغيل AMSI لـ Office VBA إذا كان لديك Office 365.
- امنع اتصال RPC(Prevent RPC) و SMB بين نقاط النهاية كلما أمكن ذلك.
قراءة(Read) : الحماية من برامج الفدية في نظام التشغيل Windows 10(Ransomware protection in Windows 10) .
قدمت Microsoft(Microsoft) دراسة حالة عن Wadhrama و Doppelpaymer و Ryuk و Samas و REvil
- يتم تسليم Wadhrama(Wadhrama) باستخدام القوى الغاشمة إلى الخوادم التي تحتوي على Remote Desktop . عادة ما يكتشفون أنظمة غير مصححة ويستخدمون نقاط الضعف التي تم الكشف عنها للحصول على وصول مبدئي أو رفع الامتيازات.
- يتم توزيع Doppelpaymer(Doppelpaymer) يدويًا عبر الشبكات المخترقة باستخدام بيانات اعتماد مسروقة للحسابات المميزة. لهذا السبب من الضروري اتباع إعدادات التكوين الموصى بها لجميع أجهزة الكمبيوتر.
- يوزع Ryuk(Ryuk) الحمولة عبر البريد الإلكتروني ( Trickboat ) عن طريق خداع المستخدم النهائي بشأن شيء آخر. استخدم المتسللون مؤخرًا ذعر فيروس كورونا لخداع المستخدم النهائي. تمكن أحدهم أيضًا من تسليم حمولة Emotet .
الشيء الشائع في كل منها(common thing about each of them) هو أنها مبنية على أساس المواقف. يبدو أنهم يؤدون تكتيكات الغوريلا حيث ينتقلون من آلة إلى آلة أخرى لتوصيل الحمولة. من الضروري ألا يحتفظ مسؤولو تكنولوجيا المعلومات بعلامة تبويب على الهجوم المستمر ، حتى لو كان على نطاق صغير ، وتثقيف الموظفين حول كيفية المساعدة في حماية الشبكة.
آمل أن يتمكن جميع مسؤولي تكنولوجيا المعلومات من اتباع الاقتراح والتأكد من التخفيف من هجمات Ransomware التي يديرها الإنسان.(Ransomware)
قراءة ذات صلة(Related read) : ماذا تفعل بعد هجوم Ransomware على جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows؟(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware Attacks، Definition، Examples، Protection، Removal
Anti-Ransomware software مجانا ل Windows أجهزة الكمبيوتر
Create email قواعد لمنع Ransomware في Microsoft 365 Business
تمكين وتكوين Ransomware Protection في Windows Defender
Ransomware protection في Windows 10
ما هو Ransom Denial من Service (RDoS)؟ Prevention and precautions
DDoS Distributed Denial من Service Attacks: حماية، Prevention
ما يجب القيام به بعد Ransomware attack على Windows computer الخاص بك؟
كيفية تجنب Phishing Scams and Attacks؟
DLL Hijacking Vulnerability Attacks، Prevention & Detection
Fileless Malware Attacks، Protection and Detection
CyberGhost Immunizer سوف تساعد في منع هجمات الفدية
يجب أن أبلغ Ransomware؟ أين أبلغ Ransomware؟
Cyber Attacks - تعريف، Types، الوقاية
قائمة Ransomware Decryption Tools مجانا لفتح الملفات
Brute Force Attacks - Definition and Prevention
يوضح Ransomware Response Playbook كيفية التعامل مع البرامج الضارة
McAfee Ransomware Recover (Mr2) يمكن أن يساعد في فك تشفير الملفات
كيفية حماية ومنع Ransomware الهجمات والالتهابات