Cyberthreat.id - Microsoft menyatakan fitur penahanan pengguna di Microsoft Defender untuk Endpoint membantu menggagalkan "upaya enkripsi jarak jauh berskala besar". Pelakunya disebut ransomware Akira yang menargetkan organisasi industri yang tidak dikenal pada awal Juni 2023.

The Hacker News menyebutkan, tim intelijen ancaman raksasa teknologi itu melacak operator tersebut sebagai Storm-1567.

Serangan tersebut memanfaatkan perangkat yang tidak terpasang pada Microsoft Defender untuk Titik Akhir sebagai taktik penghindaran pertahanan, sekaligus melakukan serangkaian aktivitas pengintaian dan pergerakan lateral sebelum mengenkripsi perangkat menggunakan akun pengguna yang disusupi.

Namun kemampuan gangguan serangan otomatis yang baru berarti bahwa akun yang dibobol tidak dapat “mengakses titik akhir dan sumber daya lain di jaringan, sehingga membatasi kemampuan penyerang untuk bergerak secara lateral terlepas dari status Direktori Aktif atau tingkat hak istimewa akun tersebut.”

Dengan kata lain, idenya adalah untuk memutus semua komunikasi masuk dan keluar dan melarang serangan yang dilakukan manusia mengakses perangkat lain di jaringan.

Redmond juga mengatakan platform keamanan titik akhir perusahaannya mengganggu upaya pergerakan lateral terhadap laboratorium penelitian medis pada Agustus 2023, di mana musuh menyetel ulang kata sandi untuk akun administrator domain default untuk tindakan selanjutnya.

“Akun pengguna yang memiliki hak istimewa bisa dibilang merupakan aset paling penting bagi penyerang,” kata Microsoft.

“Akun tingkat admin domain yang disusupi di lingkungan yang menggunakan solusi tradisional memberikan penyerang akses ke Direktori Aktif dan dapat menumbangkan mekanisme keamanan tradisional.”

Karena itu, mengidentifikasi dan menampung akun pengguna yang disusupi ini, mencegah serangan berkembang, bahkan jika penyerang mendapatkan akses awal.[]