Ransomwarebenadering en best practices van het Microsoft Incident Response-team

Door mensen geëxploiteerde ransomware is geen schadelijk softwareprobleem - het is een menselijk crimineel probleem. De oplossingen die worden gebruikt om basisproblemen aan te pakken, zijn niet voldoende om een bedreiging te voorkomen die nauwer lijkt op een nationale bedreigingsacteur die:

• Uw antivirussoftware uitschakelen of verwijderen voordat u bestanden versleutelt
• Schakelt beveiligingsservices en logboekregistratie uit om detectie te voorkomen
• Zoekt en beschadigd of verwijdert back-ups voordat een losgeldvraag wordt verzonden

Deze acties worden vaak uitgevoerd met legitieme programma's, zoals Quick Assist in mei 2024, die u mogelijk al in uw omgeving hebt voor administratieve doeleinden. In criminele handen worden deze instrumenten gebruikt om aanvallen uit te voeren.

Reageren op de toenemende dreiging van ransomware vereist een combinatie van moderne bedrijfsconfiguratie, up-to-datum beveiligingsproducten en getraind beveiligingspersoneel om de bedreigingen te detecteren en erop te reageren voordat gegevens verloren gaan.

Het Microsoft Incident Response-team (voorheen DART/CRSP) reageert op beveiligingscompromittaties om klanten te helpen cyberbestendig te worden. Microsoft Incident Response biedt on-site reactieve incidentrespons en extern proactief onderzoek. Microsoft Incident Response maakt gebruik van de strategische partnerschappen van Microsoft met beveiligingsorganisaties over de hele wereld en interne Microsoft-productgroepen om het meest volledige en grondig onderzoek mogelijk te maken.

In dit artikel wordt beschreven hoe Microsoft Incident Response ransomware-aanvallen afhandelt om Microsoft-klanten te helpen bij best practices voor uw eigen playbook voor beveiligingsbewerkingen. Voor meer informatie over hoe Microsoft de nieuwste AI gebruikt voor beperking van ransomware , lees ons artikel over de verdediging van Microsoft Security Copilot tegen ransomwareaanvallen.

Hoe Microsoft Incident Response gebruikmaakt van Microsoft-beveiligingsservices

Microsoft Incident Response is sterk afhankelijk van gegevens voor alle onderzoeken en maakt gebruik van Microsoft-beveiligingsservices zoals Microsoft Defender voor Office 365-, Microsoft Defender voor Eindpunt-, Microsoft Defender for Identityen Microsoft Defender voor Cloud Apps.

Voor de nieuwste updates van het Microsoft Incident Response-team, hun Ninja Hubbekijken.

Microsoft Defender voor Eindpunten

Defender for Endpoint is het enterprise Endpoint Security-platform van Microsoft dat is ontworpen om bedrijfsnetwerkbeveiligingsanalisten te helpen bij het voorkomen, detecteren, onderzoeken en reageren op geavanceerde bedreigingen. Defender voor Eindpunt kan aanvallen detecteren met behulp van geavanceerde gedragsanalyses en machine learning. Uw analisten kunnen Defender voor Eindpunt gebruiken om gedragsanalyses voor bedreigingsacteur te beoordelen.

Uw analisten kunnen ook geavanceerde opsporingsquery's uitvoeren om indicatoren van inbreuk (IOC's) te identificeren of om te zoeken naar bekend gedrag van bedreigingsacteur.

Defender voor Eindpunt biedt realtime toegang tot deskundige bewaking en analyse door Microsoft Defender Experts voor lopende verdachte actoractiviteiten. U kunt ook samenwerken met experts op aanvraag voor meer inzicht in waarschuwingen en incidenten.

Microsoft Defender for Identity

Defender for Identity onderzoekt bekende gecompromitteerde accounts om andere mogelijk gecompromitteerde accounts in uw organisatie te identificeren. Defender for Identity verzendt waarschuwingen voor bekende schadelijke activiteiten, zoals DCSync-aanvallen, pogingen tot uitvoering van externe code en pass-the-hash-aanvallen.

Microsoft Defender for Cloud Apps

Met Defender for Cloud Apps (voorheen bekend als Microsoft Cloud App Security) kan uw analist ongebruikelijk gedrag detecteren in cloudtoepassingen om ransomware, gecompromitteerde gebruikers of rogue toepassingen te identificeren. Defender for Cloud Apps is de CASB-oplossing (Cloud Access Security Broker) van Microsoft waarmee cloudservices en gegevens kunnen worden bewaakt die worden geopend door gebruikers in cloudservices.

Microsoft-beveiligingsscore

Microsoft Defender XDR-services bieden live herstelaanbevelingen om het aanvalsoppervlak te verminderen. Microsoft Secure Score is een meting van het beveiligingspostuur van een organisatie, met een hoger aantal dat aangeeft dat er meer verbeteringsacties zijn ondernomen. Lees de documentatie over secure score voor meer informatie over hoe uw organisatie deze functie kan gebruiken om prioriteit te geven aan herstelacties voor hun omgeving.

De aanpak van het reageren op incidenten van Microsoft voor het uitvoeren van onderzoek naar ransomware-incidenten

Bepalen hoe een bedreigingsacteur toegang heeft gekregen tot uw omgeving, is van cruciaal belang voor het identificeren van beveiligingsproblemen, het uitvoeren van een aanvalsbeperking en het voorkomen van toekomstige aanvallen. In sommige gevallen neemt de bedreigingsacteur stappen om hun sporen te dekken en bewijs te vernietigen, dus het is mogelijk dat de hele keten van gebeurtenissen niet duidelijk is.

Hieronder volgen drie belangrijke stappen in ransomwareonderzoeken van Microsoft Incident Response:

Stap	Goal	Eerste vragen
1. De huidige situatie beoordelen	Inzicht in het bereik	Wat maakte je in eerste instantie bewust van een ransomware-aanval? Hoe laat/datum hebt u het incident voor het eerst geleerd? Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?
2. De betrokken LOB-apps (Line-Of-Business) identificeren	Systemen weer online krijgen	Heeft de toepassing een identiteit nodig? Zijn back-ups van de toepassing, configuratie en gegevens beschikbaar? Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening?
3. Het herstelproces (CR) bepalen	Bedreigingsacteur uit de omgeving verwijderen	N.v.t.

Stap 1: De huidige situatie beoordelen

Een beoordeling van de huidige situatie is essentieel voor het begrijpen van het bereik van het incident en voor het bepalen van de beste mensen om het onderzoek en de omvang van de onderzoeks- en hersteltaken te plannen en te bepalen. Het stellen van de volgende eerste vragen is van cruciaal belang bij het bepalen van de bron en omvang van de situatie.

Hoe heb je de ransomware-aanval geïdentificeerd?

Als uw IT-personeel de eerste bedreiging heeft geïdentificeerd, zoals verwijderde back-ups, antiviruswaarschuwingen, EDR-waarschuwingen (eindpuntdetectie en -respons) of verdachte systeemwijzigingen, is het vaak mogelijk om snelle beslissende maatregelen te nemen om de aanval te dwarsbomen. Deze metingen omvatten doorgaans het uitschakelen van alle inkomende en uitgaande internetcommunicatie. Hoewel deze meting tijdelijk van invloed kan zijn op bedrijfsactiviteiten die doorgaans veel minder impact hebben dan geslaagde ransomware-implementatie.

Als een gebruiker de bedreiging heeft geïdentificeerd door de IT-helpdesk, kan er voldoende waarschuwing vooraf zijn om defensieve maatregelen te nemen om de gevolgen van de aanval te voorkomen of te minimaliseren. Als een externe entiteit, zoals de politie of een financiële instelling, de bedreiging heeft geïdentificeerd, is de schade waarschijnlijk al aangericht. Op dit moment heeft de bedreigingsacteur mogelijk beheer over uw netwerk. Dit bewijs kan variëren van ransomware-notities tot vergrendelde schermen tot losgeldeisen.

Welke datum/tijd hebt u het incident voor het eerst geleerd?

Het vaststellen van de initiële activiteitsdatum en -tijd is belangrijk om het bereik van de initiële triage voor de activiteit van de bedreigingsacteur te beperken. Aanvullende vragen zijn onder andere:

• Welke updates ontbreken op die datum? Het is belangrijk om misbruikte beveiligingsproblemen te identificeren.
• Welke accounts zijn op die datum gebruikt?
• Welke nieuwe accounts zijn er sinds die datum gemaakt?

Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?

Logboeken, zoals antivirussoftware, EDR en VPN (Virtual Private Network), kunnen bewijs van verdachte inbreuk tonen. Vervolgvragen kunnen zijn:

• Worden logboeken samengevoegd in een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel, Splunk, ArcSight en anderen? Wat is de bewaarperiode van deze gegevens?
• Zijn er verdachte systemen die ongebruikelijke activiteiten ervaren?
• Zijn er verdachte accounts die onder controle van de dreigingsactor lijken te vallen?
• Is er bewijs van actieve opdrachten en besturingselementen (C2's) in EDR, firewall, VPN, webproxy en andere logboeken?

Om de situatie te beoordelen, hebt u mogelijk een AD DS-domeincontroller (Active Directory Domain Services) nodig die niet is aangetast, een recente back-up van een domeincontroller of een recente domeincontroller die offline is gehaald voor onderhoud of upgrades. Bepaal ook of meervoudige verificatie (MFA) vereist is voor iedereen in het bedrijf en of Microsoft Entra-id is gebruikt.

Stap 2: De LOB-apps identificeren die niet beschikbaar zijn vanwege het incident

Deze stap is van cruciaal belang bij het bepalen van de snelste manier om systemen weer online te krijgen tijdens het verkrijgen van het benodigde bewijs.

Heeft de toepassing een identiteit nodig?

• Hoe wordt verificatie uitgevoerd?
• Hoe worden referenties, zoals certificaten of geheimen, opgeslagen en beheerd?

Zijn geteste back-ups van de toepassing, configuratie en gegevens beschikbaar?

• Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening? Deze controle is belangrijk na wijzigingen in configuratiebeheer of versie-upgrades.

Stap 3: het herstelproces voor inbreuk bepalen

Deze stap kan nodig zijn als het besturingsvlak, meestal AD DS, is aangetast.

Uw onderzoek moet altijd uitvoer leveren die rechtstreeks in het CR-proces wordt ingevoerd. CR is het proces dat het beheer van bedreigingsacteur uit een omgeving verwijdert en tactisch de beveiligingspostuur binnen een bepaalde periode verhoogt. CR vindt plaats na een beveiligingsschending. Lees de CRSP van het Microsoft Compromise Recovery Security Practice-team voor meer informatie over CR: Het noodteam dat cyberaanvallen vecht naast het blogartikel van klanten .

Nadat u antwoorden hebt verzameld op de vragen in stap 1 en 2, kunt u een lijst met taken maken en eigenaren toewijzen. Een geslaagde betrokkenheid bij het reageren op incidenten vereist grondige, gedetailleerde documentatie van elk werkitem (zoals de eigenaar, status, bevindingen, datum en tijd) om bevindingen te compileren.

Aanbevelingen en best practices voor Microsoft Incident Response

Hier volgen de aanbevelingen en aanbevolen procedures van Microsoft Incident Response voor insluitings- en incidentactiviteiten.

Containment

Insluiting kan alleen plaatsvinden wanneer u bepaalt wat er moet worden opgenomen. In het geval van ransomware probeert de aanvaller inloggegevens te verkrijgen voor administratieve controle over een hoogbeschikbare server en vervolgens ransomware in te zetten. In sommige gevallen identificeert de bedreigingsacteur gevoelige gegevens en exfiltreert deze naar een locatie die ze beheren.

Tactisch herstel is uniek voor de omgeving, branche en ervaring van uw organisatie. De onderstaande stappen worden aanbevolen voor korte en tactische insluiting. Zie het beveiligen van bevoegde toegangvoor meer informatie over langetermijnrichtlijnen. Voor een uitgebreid overzicht van hoe u zich kunt beschermen tegen ransomware en afpersing, zie door mensen beheerde ransomware.

De volgende insluitingsstappen kunnen worden uitgevoerd als er nieuwe bedreigingsvectoren worden gedetecteerd.

Stap 1: Het bereik van de situatie beoordelen

• Welke gebruikersaccounts zijn gecompromitteerd?
• Welke apparaten worden beïnvloed?
• Welke toepassingen worden beïnvloed?

Stap 2: bestaande systemen behouden

• Schakel alle bevoegde gebruikersaccounts uit, met uitzondering van een klein aantal accounts dat door uw beheerders wordt gebruikt om de integriteit van uw AD DS-infrastructuur opnieuw in te stellen. Als u denkt dat een gebruikersaccount is aangetast, schakelt u dit onmiddellijk uit.
• Isoleer gecompromitteerde systemen van het netwerk, maar schakel ze niet uit.
• Isoleer ten minste één (en idealiter twee) bekende goede domeincontrollers in elk domein. Koppel ze los van het netwerk of schakel ze uit om de verspreiding van ransomware naar kritieke systemen te voorkomen, waarbij identiteit wordt prioriteren als de meest kwetsbare aanvalsvector. Als alle domeincontrollers virtueel zijn, moet u ervoor zorgen dat het systeem en de gegevensstations van het virtualisatieplatform een back-up maken van offline externe media die niet zijn verbonden met het netwerk.
• Isoleer kritieke bekende goede toepassingsservers, zoals SAP, CMDB (Configuration Management Database), facturerings- en boekhoudsystemen.

Deze twee stappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden gedetecteerd. Als u de bedreiging van het netwerk wilt isoleren, schakelt u deze bedreigingsvectoren uit en zoekt u vervolgens naar een bekend niet-gecompromiseerd systeem.

Andere tactische insluitingsacties zijn:

• het krbtgt-wachtwoord opnieuw instellen twee keer achter elkaar. Overweeg een scripted, herhaalbaar proces te gebruiken. Met dit script kunt u het wachtwoord van het krbtgt-account en de bijbehorende sleutels opnieuw instellen en tegelijkertijd de kans op Kerberos-verificatieproblemen minimaliseren. Om problemen te minimaliseren, kan de levensduur van krbtgt een of meer keren worden verkort voordat het eerste wachtwoord opnieuw wordt ingesteld om deze stappen snel uit te voeren. Alle domeincontrollers die u in uw omgeving wilt bewaren, moeten online zijn.

• Implementeer een groepsbeleid in de hele domein(en) die bevoegde aanmelding (domeinadministrators) voorkomt op alles behalve domeincontrollers en bevoegde werkstations met beheerdersrechten (indien van toepassing).

• Installeer alle ontbrekende beveiligingsupdates voor besturingssystemen en toepassingen. Elke ontbrekende update is een mogelijke bedreigingsvector die ransomware-actoren snel kunnen identificeren en gebruiken. Het Threat and Vulnerability Management van Microsoft Defender voor Eindpunt biedt een eenvoudige manier om precies te zien wat er ontbreekt en wat de gevolgen zijn van ontbrekende updates.

  • Voor Windows 10-apparaten (of hoger) controleert u of de huidige versie (of n-1) op elk apparaat wordt uitgevoerd.

  • Implementeer regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR) om malware-infectie te voorkomen.

  • Schakel alle windows 10-beveiligingsfuncties in.

• Controleer of elke externe toepassing, inclusief VPN-toegang, wordt beveiligd door meervoudige verificatie (MFA), bij voorkeur met behulp van een verificatietoepassing die wordt uitgevoerd op een beveiligd apparaat.

• Voor apparaten die Defender voor Eindpunt niet gebruiken als primaire antivirussoftware, voert u een volledige scan uit met Microsoft Safety Scanner op geïsoleerde veilige systemen voordat u ze opnieuw verbindt met het netwerk.

• Voor oudere besturingssystemen moet u upgraden naar een ondersteund besturingssysteem (OS) of deze apparaten buiten gebruik stellen. Als deze opties niet beschikbaar zijn, moet u alle mogelijke maatregelen nemen om deze apparaten te isoleren, waaronder netwerk-/VLAN-isolatie, IPsec-regels (Internet Protocol Security) en aanmeldingsbeperkingen. Deze stappen helpen ervoor te zorgen dat deze systemen alleen toegankelijk zijn voor de gebruikers/apparaten om bedrijfscontinuïteit te bieden.

De riskantste configuraties bestaan uit het uitvoeren van bedrijfskritieke systemen op verouderde besturingssystemen als Windows NT 4.0 en toepassingen, allemaal op verouderde hardware. Niet alleen zijn deze besturingssystemen en toepassingen onveilig en kwetsbaar, maar als deze hardware uitvalt, kunnen back-ups meestal niet worden hersteld op moderne hardware. Deze toepassingen kunnen niet werken zonder verouderde hardware. Overweeg deze toepassingen sterk te converteren om te worden uitgevoerd op huidige besturingssystemen en hardware.

Activiteiten na incidenten

Microsoft Incident Response raadt aan de volgende beveiligingsaanbevelingen en aanbevolen procedures na elk incident te implementeren.

• Zorg ervoor dat er best practices zijn voor oplossingen voor e-mail en samenwerking om te voorkomen dat bedreigingsactoren deze gebruiken, terwijl interne gebruikers nog steeds eenvoudig en veilig toegang krijgen tot externe inhoud.

• Volg de best practices voor Zero Trust-beveiliging voor externe toegangsoplossingen voor interne organisatieresources.

• Beginnend met beheerders met een kritieke impact, volg de beste praktijken voor accountbeveiliging, zoals het gebruik van verificatie zonder wachtwoord of MFA.

• Implementeer een uitgebreide strategie om het risico op inbreuk op bevoegde toegang te verminderen.

  • Voor toegang tot cloud- en forest-/domeinbeheerders gebruikt u het privileged access model (PAM) van Microsoft.

  • Gebruik voor beheer van eindpunten de lokale oplossing voor beheerderswachtwoorden (LAPS).

• Implementeer gegevensbescherming om ransomwaretechnieken te blokkeren en snelle en betrouwbare herstel na een aanval te bevestigen.

• Controleer uw kritieke systemen. Controleer op beveiliging en back-ups om verwijderen of versleuteling door een aanvaller te voorkomen. Controleer en test deze back-ups regelmatig en valideer deze.

• Snelle detectie en herstel van veelvoorkomende aanvallen op eindpunt, e-mail en identiteit garanderen.

• Ontdek en verbeter actief de beveiligingspostuur van uw omgeving.

• Werk organisatieprocessen bij om belangrijke ransomware-gebeurtenissen te beheren en uitbesteding te stroomlijnen om wrijving te voorkomen.

PAM

Het gebruik van de PAM (voorheen bekend als het gelaagde beheermodel) verbetert het beveiligingspostuur van Microsoft Entra ID. Dit omvat:

• Beheerdersaccounts uitsplitsen in een 'geordende' omgeving, wat betekent dat er één account is voor elk niveau (meestal vier niveaus):

• Besturingsvlak (voorheen Laag 0): Beheer van domeincontrollers en andere cruciale identiteitsservices, zoals Active Directory Federation Services (ADFS) of Microsoft Entra Connect. Deze omvatten ook servertoepassingen waarvoor beheerdersmachtigingen zijn vereist voor AD DS, zoals Exchange Server.

• De volgende twee vliegtuigen waren voorheen Laag 1:

  • Beheervlak: Assetbeheer, bewaking en beveiliging.

  • Gegevens/workloadvlak: toepassingen en toepassingsservers.

• De volgende twee vliegtuigen waren voorheen Laag 2:

  • Gebruikerstoegang: toegangsrechten voor gebruikers (zoals accounts).

  • App-toegang: toegangsrechten voor toepassingen.

• Elk van deze vliegtuigen heeft een afzonderlijk administratief werkstation voor elk vliegtuig en heeft alleen toegang tot systemen in dat vliegtuig. Accounts van andere vlakken worden de toegang tot werkstations en servers in verschillende vlakken geweigerd via toewijzingen van gebruikersrechten die zijn ingesteld op die apparaten.

De PAM zorgt voor het volgende:

• Een gecompromitteerd gebruikersaccount heeft alleen toegang tot zijn eigen omgeving.

• Gevoeligere gebruikersaccounts hebben geen toegang tot werkstations en servers met een lager beveiligingsniveau. Dit helpt bij het voorkomen van laterale bewegingen van de bedreigingsacteur.

RONDEN

Microsoft Windows en AD DS hebben standaard geen gecentraliseerd beheer van lokale beheerdersaccounts op werkstations en lidservers. Dit gebrek aan beheer kan leiden tot een gemeenschappelijk wachtwoord voor al deze lokale accounts, of op zijn minst voor groepen apparaten. Met deze situatie kunnen bedreigingsactoren een lokaal beheerdersaccount in gevaar brengen voor toegang tot andere werkstations of servers in de organisatie.

De LAPS- van Microsoft beperkt deze bedreiging met behulp van een extensie aan de clientzijde van groepsbeleid die het lokale beheerderswachtwoord regelmatig wijzigt op werkstations en servers volgens de beleidsset. Elk van deze wachtwoorden is verschillend en opgeslagen als een kenmerk in het AD DS-computerobject. Dit kenmerk kan worden opgehaald uit een eenvoudige clienttoepassing, afhankelijk van de machtigingen die aan dat kenmerk zijn toegewezen.

LAPS vereist dat het AD DS-schema wordt uitgebreid om het extra kenmerk, de LAPS-groepsbeleidssjablonen te kunnen installeren en installatie van een kleine extensie aan de clientzijde op elk werkstation en elke lidserver om functionaliteit aan de clientzijde te bieden.

U kunt LAPS downloaden via het Microsoft Downloadcentrum.

Aanvullende ransomware-bronnen

De volgende Microsoft-bronnen helpen ransomware-aanvallen te detecteren en organisatieassets te beschermen:

• Door mensen bediende ransomware

• Snel beschermen tegen ransomware en afpersing

• 2023 Microsoft Digital Defense-rapport (zie pagina's 17-26)

• Ransomware: Een overzichts- en doorlopend bedreigingsanalyserapport in de Microsoft Defender-portal

• Casestudy voor ransomware van Microsoft Incident Response

Microsoft 365:

• Ransomware-beveiliging implementeren voor uw Microsoft 365-tenant
• Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
• Herstellen van een ransomware-aanval
• Bescherming tegen malware en ransomware
• Uw Windows 10-pc beschermen tegen ransomware
• Ransomware verwerken in SharePoint Online
• Bedreigingsanalyserapporten voor ransomware in de Microsoft Defender-portal
• AI gebruiken om te beschermen tegen ransomware met Microsoft Security Copilot

Microsoft Defender XDR:

• Ransomware zoeken met geavanceerde opsporing

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
• Back-up- en herstelplan ter bescherming tegen ransomware
• Beschermen tegen ransomware met Microsoft Azure Backup (video van 26 minuten)
• Herstellen van systeemidentiteitscompromittatie
• Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
• FusionDetectie voor ransomware in Microsoft Sentinel

Microsoft Defender voor Cloud Apps:

• Beleid voor anomaliedetectie maken in Defender voor Cloud Apps