पहले के दिनों में, अगर किसी को आपके कंप्यूटर को हाईजैक करना पड़ता था, तो आमतौर पर यह आपके कंप्यूटर को भौतिक रूप से वहां रहने या रिमोट एक्सेस का उपयोग करके संभव था। जबकि दुनिया स्वचालन के साथ आगे बढ़ी है, कंप्यूटर सुरक्षा कड़ी हो गई है, एक चीज जो नहीं बदली है वह है मानवीय गलतियाँ। यहीं से ह्यूमन-ऑपरेटेड रैंसमवेयर अटैक^{(Human-operated Ransomware Attacks)} सामने आते हैं। ये दस्तकारी हमले हैं जो कंप्यूटर पर एक भेद्यता या गलत सुरक्षा का पता लगाते हैं और पहुंच प्राप्त करते हैं। Microsoft एक विस्तृत केस स्टडी लेकर आया है जो यह निष्कर्ष निकालता है कि IT व्यवस्थापक इन मानव-संचालित रैंसमवेयर हमलों^{(Ransomware attacks)} को एक महत्वपूर्ण अंतर से कम कर सकता है।

मानव संचालित रैंसमवेयर हमलों को कम करें

मानव संचालित रैंसमवेयर हमलों को कम^{(Human-operated Ransomware Attacks)} करना

Microsoft के अनुसार , इस प्रकार के रैंसमवेयर और दस्तकारी अभियानों को कम करने का सबसे अच्छा तरीका समापन बिंदुओं के बीच सभी अनावश्यक संचार को रोकना है। क्रेडेंशियल हाइजीन के लिए सर्वोत्तम प्रथाओं का पालन करना भी उतना ही महत्वपूर्ण है जैसे कि मल्टी-फैक्टर ऑथेंटिकेशन^{(Multi-Factor Authentication)} , ब्रूट फोर्स के प्रयासों की निगरानी, नवीनतम सुरक्षा अपडेट स्थापित करना, और बहुत कुछ। यहां उठाए जाने वाले रक्षा उपायों की पूरी सूची है:

इंटरनेट से जुड़े कंप्यूटरों की सुरक्षा के लिए Microsoft द्वारा अनुशंसित कॉन्फ़िगरेशन सेटिंग्स लागू करना सुनिश्चित करें।^{(recommended configuration settings)}
डिफेंडर एटीपी खतरे और भेद्यता प्रबंधन^{(threat and vulnerability management)} प्रदान करता है । आप कमजोरियों, गलत कॉन्फ़िगरेशन और संदिग्ध गतिविधि के लिए नियमित रूप से मशीनों का ऑडिट करने के लिए इसका उपयोग कर सकते हैं।
Azure मल्टी-फैक्टर ऑथेंटिकेशन^{(Azure Multi-Factor Authentication)} ( MFA ) जैसे MFA गेटवे^{(MFA gateway)} का उपयोग करें या नेटवर्क-लेवल ऑथेंटिकेशन ( NLA ) सक्षम करें।
खातों को कम-से-कम-विशेषाधिकार प्रदान करें^{(least-privilege to accounts)} , और केवल आवश्यकता पड़ने पर ही पहुंच सक्षम करें। डोमेन-व्यापी व्यवस्थापक-स्तरीय पहुंच वाला कोई भी खाता न्यूनतम या शून्य होना चाहिए।
स्थानीय प्रशासक पासवर्ड समाधान ( LAPS ) उपकरण जैसे उपकरण व्यवस्थापक खातों के लिए अद्वितीय यादृच्छिक पासवर्ड कॉन्फ़िगर कर सकते हैं। आप उन्हें सक्रिय निर्देशिका^{(Active Directory)} (एडी) में स्टोर कर सकते हैं और एसीएल^(ACL) का उपयोग करके सुरक्षित कर सकते हैं ।
पाशविक बल के प्रयासों की निगरानी करें। आपको चिंतित होना चाहिए, खासकर अगर प्रमाणीकरण के बहुत सारे असफल प्रयास हैं। ^{(failed authentication attempts. )}ऐसी प्रविष्टियों को खोजने के लिए इवेंट आईडी 4625 का उपयोग करके ^{(ID 4625)}फ़िल्टर करें।^(Filter)
हमलावर आमतौर पर अपने सभी पैरों के निशान हटाने के लिए सुरक्षा इवेंट लॉग और पावरशेल ऑपरेशनल लॉग^{(Security Event logs and PowerShell Operational log)} को साफ करते हैं। ऐसा होने पर Microsoft Defender ATP एक ^{(Microsoft Defender ATP)}इवेंट ID 1102^{(Event ID 1102)} जनरेट करता है।
सुरक्षा सुविधाओं को बंद करने से हमलावरों को रोकने के लिए छेड़छाड़ सुरक्षा^{(Tamper protection)}^{(Tamper protection)} सुविधाओं को चालू करें ।
^{(Investigate)}उच्च विशेषाधिकार वाले खाते कहां लॉग ऑन कर रहे हैं, यह जानने के लिए इवेंट आईडी 4624 की ^{(ID 4624)}जांच करें। यदि वे किसी ऐसे नेटवर्क या कंप्यूटर में घुस जाते हैं जिससे समझौता किया गया है, तो यह एक अधिक महत्वपूर्ण खतरा हो सकता है।
^{(Turn on cloud-delivered protection)}विंडोज डिफेंडर एंटीवायरस ^{(Windows Defender Antivirus)}पर क्लाउड-डिलीवर सुरक्षा और स्वचालित नमूना सबमिशन चालू करें । यह आपको अज्ञात खतरों से बचाता है।
हमले की सतह में कमी के नियमों को चालू करें। इसके साथ ही उन नियमों को सक्षम करें जो क्रेडेंशियल चोरी, रैंसमवेयर गतिविधि और PsExec और WMI के संदिग्ध उपयोग को रोकते हैं ।
यदि आपके पास Office 365 है, तो Office VBA के लिए AMSI चालू करें ।
जब भी संभव हो आरपीसी^{(Prevent RPC)} और एसएमबी^(SMB) संचार को अंतिम बिंदुओं के बीच रोकें।

पढ़ें^(Read) : विंडोज 10 में रैंसमवेयर सुरक्षा^{(Ransomware protection in Windows 10)} ।

Microsoft ने Wadrama^(Wadhrama) , Doppelpaymer , Ryuk , Samas , REvil का केस स्टडी पेश किया है^(REvil)

^(Wadhrama)रिमोट डेस्कटॉप^{(Remote Desktop)} वाले सर्वरों में ब्रूट फोर्स का उपयोग करके वाधमा वितरित किया जाता है । वे आम तौर पर अनपेक्षित सिस्टम की खोज करते हैं और प्रारंभिक पहुंच प्राप्त करने या विशेषाधिकार बढ़ाने के लिए प्रकट कमजोरियों का उपयोग करते हैं।
Doppelpaymer को विशेषाधिकार प्राप्त खातों के लिए चोरी किए गए क्रेडेंशियल्स का उपयोग करके समझौता किए गए नेटवर्क के माध्यम से मैन्युअल रूप से फैलाया जाता है। इसलिए सभी कंप्यूटरों के लिए अनुशंसित कॉन्फ़िगरेशन सेटिंग्स का पालन करना आवश्यक है।
रयूक^(Ryuk) अंतिम उपयोगकर्ता को किसी और चीज के बारे में धोखा देकर ईमेल ( ट्रिकबोट ) पर पेलोड वितरित करता है। ^(Trickboat)हाल ही में हैकर्स ने एंड-यूजर को बरगलाने के लिए कोरोनावायरस डरा का इस्तेमाल किया । उनमें से एक इमोटेट पेलोड देने में भी सक्षम था ।

उनमें से प्रत्येक के बारे में सामान्य बात यह^{(common thing about each of them)} है कि वे परिस्थितियों के आधार पर निर्मित होते हैं। ऐसा लगता है कि वे गोरिल्ला-रणनीति कर रहे हैं जहां वे पेलोड देने के लिए एक मशीन से दूसरी मशीन में जाते हैं। यह आवश्यक है कि आईटी व्यवस्थापक न केवल चल रहे हमले पर नज़र रखें, भले ही वह छोटे पैमाने पर हो, और कर्मचारियों को इस बारे में शिक्षित करें कि वे नेटवर्क की सुरक्षा में कैसे मदद कर सकते हैं।

मुझे उम्मीद है कि सभी आईटी व्यवस्थापक सुझाव का पालन कर सकते हैं और मानव-संचालित रैंसमवेयर^(Ransomware) हमलों को कम करना सुनिश्चित कर सकते हैं ।

संबंधित पढ़ें^{(Related read)} : आपके विंडोज कंप्यूटर पर रैंसमवेयर हमले के बाद क्या करें?^{(What to do after a Ransomware attack on your Windows computer?)}

How to mitigate Human-operated Ransomware Attacks: Infographic

In earlier dаyѕ, if someone has to hijack your computer, it was usυally possible by getting hold of your compυter either by phyѕically being there or using remote access. While the world has moved ahead with аutomation, computer security has tightenеd, onе thing that hasn’t changed is hυman mistakes. That is where the Human-operated Ransomware Attacks come into the picture. These are handcrafted attacks which find a vulnerability or a misconfigured security on the computer and gain access. Microsoft has come up with an exhaustive case study which concludes that IT admin can mitigate these human-operated Ransomware attacks by a significant margin.

mitigate human-operated Ransomware attacks

Mitigating Human-operated Ransomware Attacks

According to Microsoft, the best way to mitigate these kinds of ransomware, and handcrafted campaigns is to block all unnecessary communication between endpoints. It is also equally important to follow best practices for credential hygiene such as Multi-Factor Authentication, monitoring brute force attempts, installing the latest security updates, and more. Here is the complete list of defense measures to be taken:

Make sure to apply Microsoft recommended configuration settings to protect computers connected to the internet.
Defender ATP offers threat and vulnerability management. You can use it to audit machines regularly for vulnerabilities, misconfigurations, and suspicious activity.
Use MFA gateway such as Azure Multi-Factor Authentication (MFA) or enable network-level authentication (NLA).
Offer least-privilege to accounts, and only enable access when required. Any account with domain-wide admin-level access should be at the minimum or zero.
Tools like Local Administrator Password Solution (LAPS) tool can configure unique random passwords for admin accounts. You can store them in Active Directory (AD) and protect using ACL.
Monitor for brute-force attempts. You should be alarmed, especially if there is a lot of failed authentication attempts. Filter using event ID 4625 to find such entries.
Attackers usually clear the Security Event logs and PowerShell Operational log to remove all their footprints. Microsoft Defender ATP generates an Event ID 1102 when this occurs.
Turn on Tamper protection features to prevent attackers from turning off security features.
Investigate event ID 4624 to find where accounts with high privileges are logging on. If they get into a network or a computer that is compromised, then it can be a more significant threat.
Turn on cloud-delivered protection and automatic sample submission on Windows Defender Antivirus. It secures you from unknown threats.
Turn on attack surface reduction rules. Along with this, enable rules that block credential theft, ransomware activity, and suspicious use of PsExec and WMI.
Turn on AMSI for Office VBA if you have Office 365.
Prevent RPC and SMB communication among endpoints whenever possible.

Read: Ransomware protection in Windows 10.

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

Wadhrama is delivered using brute forces their way into servers that have Remote Desktop. They usually discover unpatched systems and use disclosed vulnerabilities to gain initial access or elevate privileges.
Doppelpaymer is manually spread through compromised networks using stolen credentials for privileged accounts. That’s why it is essential to follow the recommended configuration settings for all computers.
Ryuk distributes payload over email (Trickboat) by tricking the end-user about something else. Recently hackers used the Coronavirus scare to trick the end-user. One of them was also able to deliver the Emotet payload.

The common thing about each of them is they are built based on situations. They seem to be performing gorilla-tactics where they move from one machine to another machine to deliver the payload. It is essential that IT admins not only keep a tab on the ongoing attack, even if it’s on a small scale, and educate employees about how they can help to protect the network.

I hope all IT admins can follow the suggestion and make sure to mitigate human-operated Ransomware attacks.

Sid Roy

About the author

मैं एक सॉफ्टवेयर इंजीनियर हूं, जिसके पास Apple Mac, iOS डिवाइस और Google Chrome ब्राउज़र बनाने और बनाए रखने का 10 से अधिक वर्षों का अनुभव है। मेरे अनुभव में सॉफ्टवेयर उत्पादों को खरोंच से विकसित करना, बनाए रखना और संचालन करना या ओपन सोर्स प्रोजेक्ट्स में योगदान देना शामिल है। मुझे कई तरह की हार्डवेयर परियोजनाओं पर काम करने का अवसर मिला है - अस्पतालों में टूटी स्क्रीन को ठीक करने से लेकर iPhone के लिए नई सुविधाओं को डिजाइन करने और लागू करने तक। अपने खाली समय में, मुझे पसंदीदा वीडियो गेम खेलना, किताबें पढ़ना, अपने परिवार के साथ खाना बनाना या दोस्तों के साथ समय बिताना अच्छा लगता है।

मानव-संचालित रैंसमवेयर हमलों को कैसे कम करें: इन्फोग्राफिक

मानव संचालित रैंसमवेयर हमलों को कम^{(Human-operated Ransomware Attacks)} करना

Microsoft ने Wadrama^(Wadhrama) , Doppelpaymer , Ryuk , Samas , REvil का केस स्टडी पेश किया है^(REvil)

How to mitigate Human-operated Ransomware Attacks: Infographic

Mitigating Human-operated Ransomware Attacks

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

Sid Roy

About the author

Related posts

रैंसमवेयर अटैक, परिभाषा, उदाहरण, सुरक्षा, निष्कासन

विंडोज कंप्यूटर के लिए मुफ्त एंटी रैंसमवेयर सॉफ्टवेयर

Microsoft 365 Business में Ransomware को रोकने के लिए ईमेल नियम बनाएँ

विंडोज डिफेंडर में रैंसमवेयर प्रोटेक्शन को सक्षम और कॉन्फ़िगर करें

Windows 11/10 . में रैंसमवेयर सुरक्षा

फाइलों को अनलॉक करने के लिए मुफ्त रैंसमवेयर डिक्रिप्शन टूल्स की सूची

फाइललेस मालवेयर अटैक, प्रोटेक्शन और डिटेक्शन

रैंसमवेयर के हमलों और संक्रमणों से बचाव और बचाव कैसे करें

McAfee Ransomware Recover (Mr2) फाइलों को डिक्रिप्ट करने में मदद कर सकता है

साइबर हमले - परिभाषा, प्रकार, रोकथाम

क्या मुझे रैंसमवेयर की रिपोर्ट करनी चाहिए? मैं रैंसमवेयर की रिपोर्ट कहां करूं?

फ़िशिंग स्कैम और हमलों से कैसे बचें?

जानवर बल के हमले - परिभाषा और रोकथाम

फिरौती डेनियल ऑफ सर्विस (RDoS) क्या है? रोकथाम और सावधानियां

साइबरगॉस्ट इम्यूनाइज़र रैंसमवेयर हमलों को रोकने में मदद करेगा

डीएलएल अपहरण भेद्यता हमले, रोकथाम और जांच

आपके विंडोज कंप्यूटर पर रैंसमवेयर अटैक के बाद क्या करें?

रैंसमवेयर रिस्पांस प्लेबुक दिखाता है कि मैलवेयर से कैसे निपटें

DDoS डिस्ट्रीब्यूटेड डेनियल ऑफ़ सर्विस अटैक्स: सुरक्षा, रोकथाम

मानव-संचालित रैंसमवेयर हमलों को कैसे कम करें: इन्फोग्राफिक

मानव संचालित रैंसमवेयर हमलों को कम(Human-operated Ransomware Attacks) करना

Microsoft ने Wadrama(Wadhrama) , Doppelpaymer , Ryuk , Samas , REvil का केस स्टडी पेश किया है(REvil)

How to mitigate Human-operated Ransomware Attacks: Infographic

Mitigating Human-operated Ransomware Attacks

Microsoft has put up a case study of Wadhrama, Doppelpaymer, Ryuk, Samas, REvil

Sid Roy

About the author

Related posts

रैंसमवेयर अटैक, परिभाषा, उदाहरण, सुरक्षा, निष्कासन

विंडोज कंप्यूटर के लिए मुफ्त एंटी रैंसमवेयर सॉफ्टवेयर

Microsoft 365 Business में Ransomware को रोकने के लिए ईमेल नियम बनाएँ

विंडोज डिफेंडर में रैंसमवेयर प्रोटेक्शन को सक्षम और कॉन्फ़िगर करें

Windows 11/10 . में रैंसमवेयर सुरक्षा

फाइलों को अनलॉक करने के लिए मुफ्त रैंसमवेयर डिक्रिप्शन टूल्स की सूची

फाइललेस मालवेयर अटैक, प्रोटेक्शन और डिटेक्शन

रैंसमवेयर के हमलों और संक्रमणों से बचाव और बचाव कैसे करें

McAfee Ransomware Recover (Mr2) फाइलों को डिक्रिप्ट करने में मदद कर सकता है

साइबर हमले - परिभाषा, प्रकार, रोकथाम

क्या मुझे रैंसमवेयर की रिपोर्ट करनी चाहिए? मैं रैंसमवेयर की रिपोर्ट कहां करूं?

फ़िशिंग स्कैम और हमलों से कैसे बचें?

जानवर बल के हमले - परिभाषा और रोकथाम

फिरौती डेनियल ऑफ सर्विस (RDoS) क्या है? रोकथाम और सावधानियां

साइबरगॉस्ट इम्यूनाइज़र रैंसमवेयर हमलों को रोकने में मदद करेगा

डीएलएल अपहरण भेद्यता हमले, रोकथाम और जांच

आपके विंडोज कंप्यूटर पर रैंसमवेयर अटैक के बाद क्या करें?

रैंसमवेयर रिस्पांस प्लेबुक दिखाता है कि मैलवेयर से कैसे निपटें

DDoS डिस्ट्रीब्यूटेड डेनियल ऑफ़ सर्विस अटैक्स: सुरक्षा, रोकथाम

मानव संचालित रैंसमवेयर हमलों को कम^{(Human-operated Ransomware Attacks)} करना

Microsoft ने Wadrama^(Wadhrama) , Doppelpaymer , Ryuk , Samas , REvil का केस स्टडी पेश किया है^(REvil)