Condividi tramite

Rilevare e rispondere agli attacchi ransomware

  • Articolo

Esistono diversi trigger potenziali che potrebbero indicare un evento ransomware. A differenza di molti altri tipi di malware, la maggior parte sarà costituita da un trigger con maggiore attendibilità (in cui prima della dichiarazione di un evento imprevisto devono essere necessarie poche indagini o analisi aggiuntive) anziché da un trigger con attendibilità inferiore (in cui è probabile che siano necessarie più indagini o analisi prima che venga dichiarato un evento imprevisto).

In generale, tali infezioni ovviamente derivano dal comportamento di sistema di base, dall'assenza di file chiave o utente e dalla richiesta di riscatto. In questo caso, l'analista deve valutare se dichiarare e inoltrare immediatamente l'evento imprevisto, incluse le azioni automatizzate per attenuare l'attacco.

Rilevamento di attacchi ransomware

Microsoft Defender per il cloud offre funzionalità di alta qualità per il rilevamento e la risposta alle minacce, denominate anche funzionalità di rilevamento e reazione estese.

È così possibile garantire il rilevamento e la correzione rapidi di attacchi comuni su macchine virtuali, SQL Server, applicazioni Web e identità.

  • Classificare in ordine di priorità i punti di ingresso comuni: gli operatori ransomware (e altri) prediligono endpoint/posta elettronica/identità + Remote Desktop Protocol (RDP)

    • Funzionalità di rilevamento e reazione estese integrate (XDR): usare strumenti XDR (Extended Detection and Response) integrati come Microsoft Defender per il cloud per fornire avvisi di alta qualità e ridurre al minimo le difficoltà e i passaggi manuali durante la risposta
    • Forza bruta: monitorare i tentativi di forza bruta, ad esempio password spraying

  • Monitorare per la disabilitazione della sicurezza da parte di avversari: come spesso rientra nella catena di attacchi ransomware con intervento umano (HumOR)

  • Cancellazione dei log eventi: in particolare il registro eventi di sicurezza e i log operativi di PowerShell

    • Disabilitazione di strumenti/controlli di sicurezza (associati ad alcuni gruppi)

  • Non ignorare il malware delle materie prime: gli utenti ransomware malintenzionati acquistano regolarmente l'accesso alle organizzazioni di destinazione da mercati oscuri

  • Integrare esperti esterni: nei processi per ampliare le competenze, ad esempio il team di risposta agli eventi imprevisti Microsoft (in precedenza DART/CRSP).

  • Isolare rapidamente i dispositivi compromessi usando Defender per endpoint nella distribuzione locale.

Risposta agli attacchi ransomware

Dichiarazione di evento imprevisto

Una volta confermata un'infezione ransomware riuscita, l'analista dovrebbe verificare se si tratta di un nuovo incidente o se potrebbe essere collegato a un incidente esistente. Cercare i ticket attualmente aperti che indicano eventi imprevisti simili. In tal caso, il ticket dell'evento imprevisto attuale dovrà essere aggiornato nel sistema di creazione del ticket con le nuove informazioni. Se si tratta di un nuovo evento imprevisto, deve essere dichiarato nel sistema di ticket pertinente e inoltrato ai team o ai provider appropriati per contenere e attenuare l'evento imprevisto. Tenere presente che la gestione degli eventi imprevisti ransomware potrebbe richiedere azioni eseguite da più team IT e di sicurezza. Se possibile, assicurarsi che il ticket sia chiaramente identificato come evento imprevisto ransomware, in modo da poter guidare il flusso di lavoro.

Contenimento/mitigazione

In generale, è consigliabile configurare varie soluzioni antimalware server/endpoint, antimalware di posta elettronica e protezione di rete per contenere e attenuare automaticamente il ransomware noto. Vi possono essere alcuni casi, tuttavia, dove la variante ransomware specifica è stata in grado di ignorare tali protezioni ed è riuscita a infettare correttamente i sistemi di destinazione.

Microsoft offre risorse complete per aggiornare i processi di risposta agli eventi imprevisti nelle principali procedure consigliate per la sicurezza di Azure.

Di seguito sono riportate le azioni consigliate per contenere o attenuare un evento imprevisto dichiarato, che coinvolge ransomware in cui le azioni automatizzate eseguite dai sistemi antimalware hanno avuto esito negativo:

  1. Coinvolgere i fornitori antimalware tramite i processi di supporto standard
  2. Aggiungere manualmente hash e altre informazioni associate al malware ai sistemi antimalware
  3. Applicare gli aggiornamenti del fornitore antimalware
  4. Contenere i sistemi interessati fino a quando non possono essere corretti
  5. Disabilitare gli account compromessi
  6. Eseguire l'analisi della causa radice
  7. Applicare patch e modifiche di configurazione pertinenti nei sistemi interessati
  8. Bloccare le comunicazioni ransomware usando controlli interni ed esterni
  9. Ripulire il contenuto memorizzato nella cache

La strada verso il recupero

Il Microsoft Detection and Response Team aiuterà a proteggere l'utente dagli attacchi

Per le destinazioni hardware, dovrebbe essere una priorità comprendere e correggere i problemi di sicurezza fondamentali che hanno portato alla compromissione.

Integrare esperti esterni nei processi per ampliare le competenze, ad esempio il team di Risposta agli incidenti Microsoft. Il team Risposta agli incidenti Microsoft interagisce con i clienti in tutto il mondo, aiutandoli a proteggersi e a difendersi dagli attacchi prima che si verifichino, nonché a indagare e correggere i problemi quando si è verificato un attacco.

I clienti possono coinvolgere i nostri esperti di sicurezza direttamente dall'interno del portale Microsoft Defender per ottenere una risposta tempestiva e accurata. Gli esperti forniscono le informazioni dettagliate necessarie per comprendere meglio le minacce complesse che interessano l'organizzazione, dalle richieste di avvisi, ai dispositivi potenzialmente compromessi, alla causa radice di una connessione di rete sospetta, ad altre informazioni sulle minacce relative alle campagne di minacce persistenti avanzate in corso.

Microsoft è pronta per aiutare l'azienda nel ritorno alle operazioni sicure.

Microsoft esegue centinaia di ripristini compromessi e dispone di una metodologia consolidata. Non solo porterà l'azienda in una posizione più sicura, ma le permetterà anche di prendere in considerazione la propria strategia a lungo termine, invece di limitarsi a reagire alla situazione.

Microsoft fornisce servizi di ripristino rapido ransomware. In questo caso, l'assistenza viene fornita in tutte le aree, ad esempio il ripristino dei servizi di identità, la correzione e la protezione avanzata e il monitoraggio della distribuzione, per aiutare gli obiettivi di attacchi ransomware a tornare alla normale attività nel più breve tempo possibile.

I nostri servizi di ripristino rapido ransomware vengono trattati come "Riservati" per la durata dell'impegno. Gli impegni di ripristino rapido ransomware vengono distribuiti esclusivamente dal team CRSP (Esperti nel recupero delle violazioni della sicurezza), parte del dominio cloud e intelligenza artificiale di Azure. Per altre informazioni, è possibile contattare CRSP all'indirizzo Richiesta di contatto sulla sicurezza di Azure.

Passaggi successivi

Vedere il white paper: Difese di Azure per attacchi ransomware white paper.

Altri articoli della serie: