Reageren op ransomwareaanvallen

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Wanneer u vermoedt dat u een ransomware-aanval hebt of hebt, moet u onmiddellijk beveiligde communicatie met uw incidentresponsteam tot stand brengen. Ze kunnen de volgende reactiefasen uitvoeren om de aanval te verstoren en de schade te beperken:

• Onderzoek en insluiting
• Uitroeiing en herstel

Dit artikel bevat een gegeneraliseerd playbook voor het reageren op ransomware-aanvallen. Overweeg de beschreven stappen en taken in dit artikel aan te passen aan uw eigen playbook voor beveiligingsbewerkingen. OPMERKING: Zie Snel ransomware-preventies implementeren voor informatie over het voorkomen van ransomware-aanvallen.

Insluiting

Insluiting en onderzoek moeten zo gelijktijdig mogelijk plaatsvinden; U moet zich echter richten op het snel bereiken van insluiting, zodat u meer tijd hebt om te onderzoeken. Met deze stappen kunt u het bereik van de aanval bepalen en deze isoleren voor alleen betrokken entiteiten, zoals gebruikersaccounts en apparaten.

Stap 1: het bereik van het incident beoordelen

Voer deze lijst met vragen en taken uit om de omvang van de aanval te achterhalen. Microsoft Defender XDR kunt een geconsolideerde weergave bieden van alle betrokken of risicovolle activa ter ondersteuning van uw incidentresponsbeoordeling. Zie Reactie op incidenten met Microsoft Defender XDR. U kunt de waarschuwingen en de bewijslijst in het incident gebruiken om het volgende te bepalen:

• Welke gebruikersaccounts zijn mogelijk gecompromitteerd?
  • Welke accounts zijn gebruikt om de nettolading te leveren?
• Welke onboarding en gedetecteerde apparaten worden beïnvloed en hoe?
  • Oorspronkelijke apparaten
  • Betrokken apparaten
  • Verdachte apparaten
• Identificeer alle netwerkcommunicatie die is gekoppeld aan het incident.
• Welke toepassingen worden beïnvloed?
• Welke nettoladingen zijn verspreid?
• Hoe communiceert de aanvaller met de gecompromitteerde apparaten? (Netwerkbeveiliging moet zijn ingeschakeld):
  • Ga naar de pagina indicatoren om een blok toe te voegen voor het IP-adres en de URL (als u die informatie hebt).
• Wat was het leveringsmedium voor nettolading?

Stap 2: bestaande systemen behouden

Voer deze lijst met taken en vragen uit om bestaande systemen te beschermen tegen aanvallen:

• Als u online back-ups hebt, kunt u overwegen het back-upsysteem los te koppelen van het netwerk totdat u zeker weet dat de aanval is opgenomen. Zie Back-up en herstelplan ter bescherming tegen ransomware | Microsoft Docs.
• Als u te maken krijgt met of verwacht dat er een actieve ransomware-implementatie op handen is:
  • Onderbreekt bevoegde en lokale accounts waarvan u vermoedt dat ze deel uitmaken van de aanval. U kunt dit doen via het tabblad Gebruikers in de eigenschappen van het incident in de Microsoft Defender portal.
  • Stop alle externe aanmeldingssessies.
  • Stel de wachtwoorden van de gecompromitteerde gebruikersaccounts opnieuw in en vereisen dat de gebruikers van gecompromitteerde gebruikersaccounts zich opnieuw aanmelden.
  • Doe hetzelfde voor gebruikersaccounts die mogelijk zijn gecompromitteerd.
  • Als gedeelde lokale accounts zijn gecompromitteerd, laat uw IT-beheerder u helpen om een wachtwoordwijziging af te dwingen op alle blootgestelde apparaten. Voorbeeld van Kusto-query:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Voor de apparaten die nog niet zijn geïsoleerd en geen deel uitmaken van de kritieke infrastructuur:
  • Isoleer gecompromitteerde apparaten van het netwerk, maar sluit ze niet af.
  • Als u de oorspronkelijke of spreader-apparaten identificeert, moet u deze eerst isoleren.
• Gecompromitteerde systemen behouden voor analyse.

Stap 3: De verspreiding voorkomen

Gebruik deze lijst om te voorkomen dat de aanval zich verspreidt naar extra entiteiten.

• Als gedeelde lokale accounts worden gebruikt in de aanval, kunt u het externe gebruik van lokale accounts blokkeren.
  • Kusto-query voor alle netwerkaanmeldingen die lokale beheerders zijn:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Kusto-query voor niet-RDP-aanmeldingen (realistischer voor de meeste netwerken):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• In quarantaine plaatsen en indicatoren toevoegen voor bestanden die zijn geïnfecteerd.
• Zorg ervoor dat uw antivirusoplossing kan worden geconfigureerd in de optimale beveiligingsstatus. Voor Microsoft Defender Antivirus omvat dit:
  • Realtime-beveiliging is ingeschakeld.
  • Manipulatiebeveiliging is ingeschakeld. Selecteer in de Microsoft Defender portal Instellingen > Eindpunten > Geavanceerde functies > Manipulatiebeveiliging.
  • Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn ingeschakeld.
  • Cloudbeveiliging is ingeschakeld.
• Schakel Exchange ActiveSync en OneDrive-synchronisatie uit.
  • Zie Exchange ActiveSync uitschakelen voor gebruikers in Exchange Online als u Exchange ActiveSync voor een postvak wilt uitschakelen.
  • Als u andere typen toegang tot een postvak wilt uitschakelen, raadpleegt u:
    • MAPI voor een postvak in- of uitschakelen.
    • POP3- of IMAP4-toegang voor een gebruiker in- of uitschakelen.
  • Als u OneDrive-synchronisatie onderbroken, kunt u voorkomen dat uw cloudgegevens worden bijgewerkt door mogelijk geïnfecteerde apparaten. Zie Synchronisatie onderbreken en hervatten in OneDrive voor meer informatie.
• Pas relevante patches en configuratiewijzigingen toe op betrokken systemen.
• Blokkeer ransomwarecommunicatie met behulp van interne en externe besturingselementen.
• Inhoud in cache opschonen

Onderzoek

Gebruik deze sectie om de aanval te onderzoeken en uw reactie te plannen.

Uw huidige situatie beoordelen

• Wat maakte u in eerste instantie op de hoogte van de ransomware-aanval?
  • Als IT-medewerkers de eerste bedreiging hebben geïdentificeerd, zoals het opmerken van back-ups die worden verwijderd, antiviruswaarschuwingen, waarschuwingen voor eindpuntdetectie en -respons (EDR) of verdachte systeemwijzigingen, is het vaak mogelijk om snelle beslissende maatregelen te nemen om de aanval te dwarsbomen, meestal door de insluitingsacties die in dit artikel worden beschreven.
• Op welke datum en tijd bent u voor het eerst op de hoogte van het incident?
  • Welke systeem- en beveiligingsupdates zijn op die datum niet geïnstalleerd op apparaten? Dit is belangrijk om te begrijpen welke beveiligingsproblemen mogelijk zijn gebruikt, zodat ze op andere apparaten kunnen worden opgelost.
  • Welke gebruikersaccounts zijn op die datum gebruikt?
  • Welke nieuwe gebruikersaccounts zijn er gemaakt sinds die datum?
  • Welke programma's zijn toegevoegd om automatisch te starten rond het moment dat het incident heeft plaatsgevonden?
• Is er een indicatie dat de aanvaller momenteel toegang heeft tot systemen?
  • Zijn er vermoedelijk gecompromitteerde systemen die ongebruikelijke activiteiten ondervinden?
  • Zijn er verdachte gecompromitteerde accounts die actief lijken te worden gebruikt door de aanvaller?
  • Is er bewijs van actieve C2-servers (command-and-control) in EDR-, firewall-, VPN-, webproxy- en andere logboeken?

Het ransomware-proces identificeren

• Gebruik geavanceerde opsporing om te zoeken naar het geïdentificeerde proces in de gebeurtenissen voor het maken van het proces op andere apparaten.

Zoeken naar weergegeven referenties op de geïnfecteerde apparaten

• Voor gebruikersaccounts waarvan de referenties mogelijk zijn aangetast, stelt u de accountwachtwoorden opnieuw in en vraagt u de gebruikers zich opnieuw aan te melden.
• De volgende IBA's kunnen duiden op laterale verplaatsing:

Klik om uit te vouwen

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender-versterker
• Hulpprogramma voor netwerkscans dat wordt gebruikt door PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Lsass voor procestoegang
• Verdachte Rundll32-procesuitvoering
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Verdachte DLL-registratie door odbcconf
• Verdachte DPAPI-activiteit
• Uitvoering van verdacht Exchange-proces
• Verdachte geplande taak starten
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Niet-vertrouwde toepassing opent een RDP-verbinding

De LOB-apps (Line-Of-Business) identificeren die niet beschikbaar zijn vanwege het incident

• Heeft de app een identiteit nodig?
  • Hoe wordt verificatie uitgevoerd?
  • Hoe worden referenties zoals certificaten of geheimen opgeslagen en beheerd?
• Zijn er geëvalueerde back-ups van de toepassing, de configuratie en de gegevens beschikbaar?
• Bepaal uw herstelproces voor inbreuk.

Uitroeiing en herstel

Gebruik deze stappen om de bedreiging uit te bannen en beschadigde resources te herstellen.

Stap 1: uw back-ups controleren

Als u offline back-ups hebt, kunt u de gegevens die zijn versleuteld waarschijnlijk herstellen nadat u de ransomware-nettolading (malware) uit uw omgeving hebt verwijderd en nadat u hebt gecontroleerd of er geen onbevoegde toegang is in uw Microsoft 365-tenant.

Stap 2: Indicatoren toevoegen

Voeg bekende communicatiekanalen voor aanvallers toe als indicatoren, geblokkeerd in firewalls, in uw proxyservers en op eindpunten.

Stap 3: gecompromitteerde gebruikers opnieuw instellen

Stel de wachtwoorden van bekende gecompromitteerde gebruikersaccounts opnieuw in en vereist een nieuwe aanmelding.

• Overweeg de wachtwoorden opnieuw in te stellen voor elk bevoegd account met een brede beheerinstantie, zoals de leden van de groep Domeinadministrators.
• Als een gebruikersaccount mogelijk is gemaakt door een aanvaller, schakelt u het account uit. Verwijder het account alleen als er geen plannen zijn om forensische beveiligingsonderzoeken uit te voeren voor het incident.

Stap 4: controlepunten van aanvallers isoleren

Isoleer alle bekende aanvallers in de onderneming van internet.

Stap 5: malware verwijderen

Verwijder de malware van de betrokken apparaten.

• Voer een volledige, huidige antivirusscan uit op alle verdachte computers en apparaten om de nettolading te detecteren en te verwijderen die is gekoppeld aan de ransomware.
• Vergeet niet om apparaten te scannen die gegevens of de doelen van toegewezen netwerkstations synchroniseren.

Stap 6: bestanden herstellen op een opgeschoond apparaat

Bestanden herstellen op een opgeschoond apparaat.

• U kunt Bestandsgeschiedenis in Windows 11, Windows 10, Windows 8.1 en Systeembeveiliging in Windows 7 gebruiken om te proberen uw lokale bestanden en mappen te herstellen.

Stap 7: bestanden herstellen in OneDrive voor Bedrijven

Bestanden herstellen in OneDrive voor Bedrijven.

• Met Bestanden herstellen in OneDrive voor Bedrijven kunt u een hele OneDrive terugzetten naar een eerder tijdstip in de afgelopen 30 dagen. Zie OneDrive herstellen voor meer informatie.

Stap 8: Verwijderde e-mail herstellen

Verwijderde e-mail herstellen.

• In het zeldzame geval dat de ransomware alle e-mail in een postvak heeft verwijderd, kunt u de verwijderde items herstellen. Zie Verwijderde berichten in het postvak van een gebruiker herstellen in Exchange Online.

Stap 9: Exchange ActiveSync en OneDrive-synchronisatie opnieuw inschakelen

• Nadat u uw computers en apparaten hebt opgeschoond en de gegevens hebt hersteld, kunt u Exchange ActiveSync opnieuw inschakelen en OneDrive-synchronisatie die u eerder hebt uitgeschakeld in stap 3 van insluiting.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.