Wykrywanie i reagowanie na ataki wymuszające okup

Istnieje kilka potencjalnych wyzwalaczy, które mogą wskazywać na zdarzenie wymuszające okup. W przeciwieństwie do wielu innych typów złośliwego oprogramowania większość będzie wyzwalaczami o wyższym poziomie ufności (w przypadku gdy przed deklaracją incydentu wymagane jest niewielkie dodatkowe badanie lub analiza), a nie wyzwalacze o niższym poziomie ufności (w przypadku gdy konieczne będzie zadeklarowanie większej liczby badań lub analiz).

Ogólnie rzecz biorąc, takie infekcje oczywiste z podstawowego zachowania systemu, brak kluczowych plików systemu lub użytkowników i żądanie okupu. W takim przypadku analityk powinien rozważyć, czy natychmiast zadeklarować i eskalować zdarzenie, w tym podejmowania wszelkich zautomatyzowanych akcji w celu wyeliminowania ataku.

Wykrywanie ataków wymuszających okup

Microsoft Defender dla Chmury zapewnia wysokiej jakości funkcje wykrywania zagrożeń i reagowania na nie, nazywane również wykrywaniem rozszerzonym i reagowaniem (XDR).

Zapewnij szybkie wykrywanie i korygowanie typowych ataków na maszyny wirtualne, serwery SQL, aplikacje internetowe i tożsamość.

• Określanie priorytetów typowych punktów wejścia — operatory wymuszające okup (i inne) preferują pozycję Endpoint/Email/Identity + Remote Desktop Protocol (RDP)

  • Zintegrowana funkcja XDR — użyj zintegrowanych narzędzi wykrywania rozszerzonego i reagowania (XDR), takich jak Microsoft Defender dla Chmury, aby zapewnić alerty wysokiej jakości i zminimalizować problemy i ręczne kroki podczas reagowania
  • Atak siłowy — monitorowanie prób ataku siłowego, takich jak spray haseł

• Monitorowanie pod kątem wyłączania zabezpieczeń przez osoby atakujące — ponieważ jest to często częścią łańcucha ataków wymuszającego okup (HumOR) obsługiwanego przez człowieka

• Czyszczenie dzienników zdarzeń — szczególnie dziennik zdarzeń zabezpieczeń i dzienniki operacyjne programu PowerShell

  • Wyłączanie narzędzi zabezpieczeń/kontrolek (skojarzonych z niektórymi grupami)

• Nie ignoruj złośliwego oprogramowania — osoby atakujące oprogramowania wymuszającego okup regularnie kupują dostęp do organizacji docelowych z ciemnych rynków

• Integrowanie ekspertów zewnętrznych — z procesami uzupełniającymi wiedzę, taką jak zespół reagowania na zdarzenia firmy Microsoft (wcześniej DART/CRSP).

• Szybko izolowane urządzenia z naruszonym zabezpieczeniami przy użyciu usługi Defender for Endpoint we wdrożeniu lokalnym.

Reagowanie na ataki wymuszającego okup

Deklaracja zdarzenia

Po potwierdzeniu pomyślnego zakażenia oprogramowaniem wymuszającym okup analityk powinien sprawdzić, czy reprezentuje to nowe zdarzenie, czy może być związane z istniejącym zdarzeniem. Poszukaj obecnie otwartych biletów, które wskazują podobne zdarzenia. Jeśli tak, zaktualizuj bieżący bilet zdarzenia przy użyciu nowych informacji w systemie biletów. Jeśli jest to nowe zdarzenie, zdarzenie powinno zostać zadeklarowane w odpowiednim systemie biletów i eskalowane do odpowiednich zespołów lub dostawców w celu powstrzymania i ograniczenia incydentu. Należy pamiętać, że zarządzanie zdarzeniami wymuszania oprogramowania wymuszającego okup może wymagać akcji podejmowanych przez wiele zespołów IT i zespołów ds. zabezpieczeń. Jeśli to możliwe, upewnij się, że bilet jest wyraźnie identyfikowany jako zdarzenie wymuszające okup, aby kierować przepływem pracy.

Zawieranie/środki zaradcze

Ogólnie rzecz biorąc, różne rozwiązania chroniące przed złośliwym kodem serwera/punktu końcowego, rozwiązania ochrony przed złośliwym kodem poczty e-mail i ochrony sieci powinny być skonfigurowane tak, aby automatycznie zawierały i ograniczały znane oprogramowanie wymuszającego okup. Mogą jednak wystąpić przypadki, w których konkretny wariant oprogramowania wymuszającego okup był w stanie pominąć takie zabezpieczenia i pomyślnie zainfekować systemy docelowe.

Firma Microsoft udostępnia obszerne zasoby ułatwiające aktualizowanie procesów reagowania na zdarzenia w najlepszych rozwiązaniach dotyczących zabezpieczeń platformy Azure.

Poniżej przedstawiono zalecane działania mające na celu powstrzymanie lub złagodzenie zadeklarowanego zdarzenia obejmującego oprogramowanie wymuszające okup, w przypadku gdy zautomatyzowane akcje podejmowane przez systemy ochrony przed złośliwym kodem zakończyły się niepowodzeniem:

1. Angażowanie dostawców oprogramowania chroniącego przed złośliwym kodem za pomocą standardowych procesów pomocy technicznej
2. Ręczne dodawanie skrótów i innych informacji skojarzonych ze złośliwym oprogramowaniem do systemów ochrony przed złośliwym kodem
3. Stosowanie aktualizacji dostawcy ochrony przed złośliwym kodem
4. Zawierają systemy, których dotyczy problem, dopóki nie będą mogły zostać skorygowane
5. Wyłączanie kont z naruszeniem zabezpieczeń
6. Przeprowadzanie analizy głównej przyczyny
7. Stosowanie odpowiednich poprawek i zmian konfiguracji w systemach, których dotyczy problem
8. Blokuj komunikację z oprogramowaniem wymuszającym okup przy użyciu kontroli wewnętrznej i zewnętrznej
9. Przeczyszczanie buforowanej zawartości

Droga do odzyskania

Zespół ds. wykrywania i reagowania firmy Microsoft pomoże w ochronie przed atakami

Zrozumienie i rozwiązanie podstawowych problemów z zabezpieczeniami, które doprowadziły do naruszenia bezpieczeństwa w pierwszej kolejności, powinno być priorytetem dla celów oprogramowania wymuszającego okup.

Integrowanie zewnętrznych ekspertów z procesami w celu uzupełnienia wiedzy, takiej jak reagowanie na zdarzenia firmy Microsoft. Reagowanie na zdarzenia firmy Microsoft angażuje się w klientów na całym świecie, pomagając chronić i wzmacniać zabezpieczenia przed atakami przed ich wystąpieniem, a także badać i korygować, kiedy wystąpił atak.

Klienci mogą kontaktować się z naszymi ekspertami w zakresie zabezpieczeń bezpośrednio z poziomu portalu Microsoft Defender, aby uzyskać terminowe i dokładne odpowiedzi. Eksperci zapewniają szczegółowe informacje potrzebne do lepszego zrozumienia złożonych zagrożeń wpływających na organizację, od zapytań dotyczących alertów, potencjalnie zagrożonych urządzeń, głównej przyczyny podejrzanego połączenia sieciowego, do dodatkowej analizy zagrożeń dotyczącej trwających zaawansowanych trwałych kampanii zagrożeń.

Firma Microsoft jest gotowa pomóc Twojej firmie w powrocie do bezpiecznych operacji.

Firma Microsoft wykonuje setki odzyskiwania po naruszeniu zabezpieczeń i ma wypróbowaną i prawdziwą metodologię. Nie tylko pozwoli Ci to na uzyskanie bezpieczniejszej pozycji, ale także pozwoli ci rozważyć długoterminową strategię, a nie reagować na tę sytuację.

Firma Microsoft udostępnia szybkie usługi odzyskiwania oprogramowania wymuszającego okup. W tym celu pomoc jest zapewniana we wszystkich obszarach, takich jak przywracanie usług tożsamości, korygowanie i wzmacnianie zabezpieczeń oraz wdrażanie monitorowania, aby pomóc celom ataków wymuszających okup powrócić do normalnego działania w najkrótszym możliwym przedziale czasu.

Nasze szybkie usługi odzyskiwania oprogramowania wymuszającego okup są traktowane jako "Poufne" przez czas trwania zakontraktowania. Szybkie zakontraktowania odzyskiwania oprogramowania wymuszającego okup są dostarczane wyłącznie przez zespół crSP (Compromise Recovery Security Practice) będący częścią domeny chmury i sztucznej inteligencji platformy Azure. Aby uzyskać więcej informacji, możesz skontaktować się z dostawcą crSP pod adresem Request contact about Azure security (Żądanie kontaktu dotyczącego zabezpieczeń platformy Azure).

Co dalej?

Zobacz oficjalny dokument: Azure Defenses for ransomware attack (Ochrona przed atakami wymuszającym okup).

Inne artykuły z tej serii:

• Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure
• Przygotowanie do ataku wymuszającego okup
• Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie