Detectar e responder a ataques de ransomware

Há vários gatilhos potenciais que podem indicar um incidente de ransomware. Ao contrário de muitos outros tipos de malware, a maioria será gatilhos de confiança mais alta (em que será necessária pouca investigação ou análise adicional para declarar um incidente) em vez de gatilhos de confiança inferior (em que mais investigação ou análises seriam necessárias para que um incidente fosse declarado).

Em geral, essas infecções ficam óbvias no comportamento básico do sistema, na ausência de arquivos chave do sistema ou do usuário e no pedido de resgate. Nesse caso, o analista deve considerar se deve declarar e escalonar imediatamente o incidente, além de tomar ações automatizadas para mitigar o ataque.

Como detectar ataques de ransomware

O Microsoft Defender para Nuvem oferece funcionalidades de detecção de ameaças e resposta a elas de alta qualidade, também chamadas de XDR (Detecção e Resposta Estendida).

Garanta a detecção rápida e a correção de ataques comuns em VMs, SQL Servers, aplicativos Web e identidades.

• Priorizar pontos de entrada comuns – Os operadores de ransomware (e outros) favorecem pontos de extremidade, emails, identidade e o protocolo RDP

  • XDR integrado – Use ferramentas integradas de XDR (Detecção e Resposta Estendida), como o Microsoft Defender para Nuvem, para gerar alertas de alta qualidade e minimizar o atrito e as etapas manuais durante a resposta
  • Força Bruta – Monitore as tentativas de ataque de força bruta, como a pulverização de senha

• Monitorar se há invasores desabilitando a segurança – Essa etapa geralmente faz parte da cadeia de ataque de HumOR (Ransomware Operado por Pessoas)

• Limpeza de logs de eventos – Principalmente dos logs de eventos de segurança e dos logs operacionais do PowerShell

  • Desabilitar ferramentas e controles de segurança (associados a alguns grupos)

• Não ignorar malwares de consumo – Os invasores de ransomware costumam comprar acesso a organizações alvo no mercado ilegal

• Integrar especialistas externos – em processos para obter conhecimentos complementares, como a Equipe de Resposta a Incidentes da Microsoft (Anteriormente DART/CRSP).

• Isolar rapidamente os dispositivos comprometidos usando o Defender para Ponto de Extremidade na implantação local.

Como responder a ataques de ransomware

Declaração de incidente

Depois que uma infecção por ransomware bem-sucedida é confirmada, o analista deve verificar se ela representa um novo incidente ou se pode estar relacionada a um incidente existente. Procure tíquetes abertos no momento que indiquem incidentes semelhantes. Se houver, atualize o tíquete do incidente atual com novas informações no sistema de tíquetes. Se esse for um novo incidente, um incidente deverá ser declarado no sistema de tíquetes relevante e escalonado para as equipes ou os provedores apropriados a fim de conter e mitigar o incidente. Tenha em mente que o gerenciamento de incidentes de ransomware pode exigir ações tomadas por várias equipes de segurança e de TI. Sempre que possível, verifique se o tíquete está identificado claramente como um incidente de ransomware para direcionar o fluxo de trabalho.

Contenção e mitigação

Em geral, vários antimalwares de servidor e ponto de extremidade, antimalwares de email e soluções de proteção de rede já estão configurados para conter e mitigar automaticamente o ransomware identificado. Mas pode haver casos em que a variante de ransomware específica consegue ignorar essas proteções e contaminar sistemas alvo com êxito.

A Microsoft oferece recursos abrangentes para ajudar a atualizar os processos de resposta a incidentes nas Principais práticas recomendadas de segurança do Azure.

Veja a seguir as ações recomendadas para conter ou mitigar um incidente declarado que envolve ransomware, em que as ações automatizadas realizadas por sistemas antimalware não foram bem-sucedidas:

1. Envolver fornecedores de antimalware por meio de processos de suporte Standard
2. Adicionar hashes manualmente e outras informações associadas a malware a sistemas antimalware
3. Aplicar atualizações do fornecedor de antimalware
4. Conter os sistemas afetados até que eles possam ser corrigidos
5. Desabilitar contas comprometidas
6. Executar a análise da causa raiz
7. Aplicar patches e alterações de configuração relevantes nos sistemas afetados
8. Bloquear as comunicações do ransomware usando controles internos e externos
9. Limpar o conteúdo armazenado em cache

Caminho para a recuperação

A Equipe de Detecção e Resposta da Microsoft ajuda a proteger você contra ataques

O entendimento e a correção dos problemas fundamentais de segurança que levaram ao comprometimento deve ser uma prioridade para as vítimas de ransomware.

Integre especialistas externos em processos para obter conhecimentos complementares, como a Resposta a Incidentes da Microsoft. A equipe de Resposta a Incidentes da Microsoft se envolve com clientes em todo o mundo, ajudando a proteger e fortalecer contra ataques antes que eles ocorram, além de investigar e corrigir quando um ataque ocorre.

Os clientes podem envolver especialistas de segurança diretamente no Portal do Microsoft Defender para obter respostas oportunas e precisas. Os especialistas oferecem os insights necessários para entender melhor as ameaças complexas que afetam a organização, desde consultas de alerta, dispositivos possivelmente comprometidos, a causa raiz de uma conexão de rede suspeita, até inteligência adicional contra ameaças em relação a campanhas de ameaças persistentes avançadas em andamento.

A Microsoft está pronta para ajudar sua empresa a retornar às operações seguras.

A Microsoft executa centenas de recuperações de comprometimento e tem uma metodologia testada e comprovada. Além de proporcionar uma posição mais segura, ele oferece a oportunidade de considerar sua estratégia de longo prazo em vez de reagir à situação.

A Microsoft oferece serviços de recuperação rápida em caso de ransomware. Por meio desses serviços, a assistência é fornecida em todas as áreas, como restauração de serviços de identidade, correção e proteção e com a implantação de monitoramento para ajudar as famílias de ataques de ransomware a retornar aos negócios normais no menor tempo possível.

Nossos serviços de recuperação rápida em caso de ransomware são tratados como "Confidenciais" durante o compromisso. Os compromissos de recuperação rápida em caso de ransomware são fornecidos exclusivamente pela equipe de CRSP (Prática de Segurança de Recuperação de Comprometimento), que faz parte da área de Nuvem e IA do Azure. Para obter mais informações, você pode entrar em contato com a CRSP em Solicitar contato sobre a segurança do Azure.

O que vem a seguir

Confira o white paper: Defesas do Azure contra ataques de ransomware.

Outros artigos nesta série:

• Proteção contra ransomware no Azure
• Preparar-se para um ataque de ransomware
• Funcionalidades e recursos do Azure que ajudam você a se proteger, detectar e responder a um ataque