Respondendo a ataques de ransomware
Observação
Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.
Quando você suspeitar que estava ou está atualmente sob um ataque de ransomware, estabeleça comunicações seguras com sua equipe de resposta a incidentes imediatamente. Eles podem executar as seguintes fases de resposta para interromper o ataque e mitigar os danos:
- Investigação e contenção
- Erradicação e recuperação
Este artigo fornece um guia estratégico generalizado para responder a ataques de ransomware. Considere adaptar as etapas e tarefas descritas neste artigo à sua própria cartilha de operações de segurança. OBSERVAÇÃO: para obter informações sobre como evitar ataques de ransomware, consulte Implantar rapidamente prevenções de ransomware.
Contenção
A contenção e a investigação devem ocorrer da forma mais simultânea possível; no entanto, você deve se concentrar em alcançar rapidamente a contenção, para que você tenha mais tempo para investigar. Essas etapas ajudam você a determinar o escopo do ataque e isolá-lo apenas para entidades afetadas, como contas de usuário e dispositivos.
Etapa 1: avaliar o escopo do incidente
Execute esta lista de perguntas e tarefas para descobrir a extensão do ataque. Microsoft Defender XDR pode fornecer uma visão consolidada de todos os ativos afetados ou em risco para ajudar na avaliação da resposta a incidentes. Consulte Resposta a incidentes com Microsoft Defender XDR. Você pode usar os alertas e a lista de evidências no incidente para determinar:
- Quais contas de usuário podem ser comprometidas?
- Quais contas foram usadas para entregar o conteúdo?
- Quais dispositivos integrados e descobertos são afetados e como?
- Dispositivos de origem
- Dispositivos afetados
- Dispositivos suspeitos
- Identifique qualquer comunicação de rede associada ao incidente.
- Quais aplicativos são afetados?
- Quais cargas foram espalhadas?
- Como o invasor está se comunicando com os dispositivos comprometidos? (A proteção de rede deve ser habilitada):
- Acesse a página de indicadores para adicionar um bloco para o IP e URL (se você tiver essas informações).
- Qual era o meio de entrega de carga?
Etapa 2: Preservar sistemas existentes
Execute esta lista de tarefas e perguntas para proteger os sistemas existentes contra ataques:
- Se você tiver backups online, considere desconectar o sistema de backup da rede até ter certeza de que o ataque está contido, consulte Backup e plano de restauração para proteger contra ransomware | Microsoft Docs.
- Se você estiver experimentando ou esperar uma implantação de ransomware iminente e ativa:
- Suspender contas privilegiadas e locais que você suspeita serem parte do ataque. Você pode fazer isso na guia Usuários nas propriedades do incidente no portal Microsoft Defender.
- Pare todas as sessões de logon remoto.
- Redefina as senhas de conta de usuário comprometidas e exija que os usuários das contas de usuário comprometidas entrem novamente.
- Faça o mesmo para contas de usuário que podem ser comprometidas.
- Se as contas locais compartilhadas estiverem comprometidas, faça com que seu administrador de TI o ajude a impor uma alteração de senha em todos os dispositivos expostos. Consulta Kusto de exemplo:
DeviceLogonEvents | where DeviceName contains (AccountDomain) | take 10
- Para os dispositivos que ainda não estão isolados e não fazem parte da infraestrutura crítica:
- Isole dispositivos comprometidos da rede, mas não os desligue.
- Se você identificar os dispositivos de origem ou propagador, isole-os primeiro.
- Preservar sistemas comprometidos para análise.
Etapa 3: impedir a propagação
Use esta lista para evitar que o ataque se espalhe para entidades adicionais.
- Se as contas locais compartilhadas estiverem sendo usadas no ataque, considere Bloquear o uso remoto de contas locais.
- Consulta kusto para todos os logons de rede que são administradores locais:
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- Consulta kusto para logons não RDP (mais realista para a maioria das redes):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- Coloque em quarentena e adicione indicadores para arquivos infectados.
- Verifique se sua solução antivírus é configurável em seu estado de proteção ideal. Para Microsoft Defender Antivírus, isso inclui:
- A proteção em tempo real está habilitada.
- A proteção contra adulteração está habilitada. No portal Microsoft Defender, selecione Configurações > Pontos de Extremidade Recursos avançados >> Proteção contra adulteração.
- As regras de redução de superfície de ataque estão habilitadas.
- A proteção de nuvem está habilitada.
- Desabilite Exchange ActiveSync e Sincronização do OneDrive.
- Para desabilitar Exchange ActiveSync para uma caixa de correio, consulte Como desabilitar Exchange ActiveSync para usuários em Exchange Online.
- Para desabilitar outros tipos de acesso a uma caixa de correio, confira:
- Pausar Sincronização do OneDrive ajuda a proteger seus dados de nuvem de serem atualizados por dispositivos potencialmente infectados. Para obter mais informações, consulte Como pausar e retomar a sincronização no OneDrive.
- Aplique patches relevantes e alterações de configuração nos sistemas afetados.
- Bloqueie as comunicações de ransomware usando controles internos e externos.
- Limpar conteúdo armazenado em cache
Investigação
Use esta seção para investigar o ataque e planejar sua resposta.
Avaliar sua situação atual
- O que inicialmente o fez saber do ataque de ransomware?
- Se a equipe de TI identificou a ameaça inicial, como observar backups sendo excluídos, alertas antivírus, alertas de EDR (detecção e resposta) de ponto de extremidade ou alterações suspeitas do sistema, muitas vezes é possível tomar medidas decisivas rápidas para impedir o ataque, normalmente pelas ações de contenção descritas neste artigo.
- Que data e hora você soube primeiro do incidente?
- Quais atualizações de segurança e sistema não foram instaladas em dispositivos nessa data? Isso é importante para entender quais vulnerabilidades podem ter sido aproveitadas para que possam ser abordadas em outros dispositivos.
- Quais contas de usuário foram usadas nessa data?
- Quais novas contas de usuário foram criadas desde essa data?
- Quais programas foram adicionados para começar automaticamente na hora em que o incidente ocorreu?
- Há alguma indicação de que o invasor está acessando sistemas no momento?
- Há algum sistema suspeito comprometido que esteja experimentando atividades incomuns?
- Há alguma suspeita de contas comprometidas que parecem ser usadas ativamente pelo adversário?
- Há alguma evidência de servidores C2 (comando e controle ativos) no EDR, firewall, VPN, proxy Web e outros logs?
Identificar o processo de ransomware
- Usando a caça avançada, pesquise o processo identificado nos eventos de criação do processo em outros dispositivos.
Procure credenciais expostas nos dispositivos infectados
- Para contas de usuário cujas credenciais foram potencialmente comprometidas, redefina as senhas da conta e exija que os usuários entrem novamente.
- Os IOAs a seguir podem indicar movimento lateral:
Clique para expandir
- SuspiciousExploratoryCommands
- MLFileBasedAlert
- IfeoDebuggerPersistence
- SuspiciousRemoteFileDropAndExecution
- ExploratoryWindowsCommands
- IoaStickyKeys
- Amplificador do Mimikatz Defender
- Ferramenta de verificação de rede usada por PARINACOTA
- DefenderServerAlertMSSQLServer
- SuspiciousLowReputationFileDrop
- SuspiciousServiceExecution
- AdminUserAddition
- MimikatzArtifactsDetector
- Scuba-WdigestEnabledToAccessCredentials
- DefenderMalware
- MLSuspCmdBehavior
- MLSuspiciousRemoteInvocation
- SuspiciousRemoteComponentInvocation
- SuspiciousWmiProcessCreation
- MLCmdBasedWithRemoting
- Processar acessos Lsass
- Execução de processo rundll32 suspeita
- BitsAdmin
- DefenderCobaltStrikeDetection
- DefenderHacktool
- IoaSuspPSCommandline
- Metasploit
- MLSuspToolBehavior
- RegistryQueryForPasswords
- SuspiciousWdavExclusion
- ASEPRegKey
- CobaltStrikeExecutionDetection
- DefenderBackdoor
- DefenderBehaviorSuspiciousActivity
- DefenderMalwareExecuted
- DefenderServerAlertDomainController
- DupTokenPrivilegeEscalationDetector
- FakeWindowsBinary
- IoaMaliciousCmdlets
- LivingOffTheLandBinary
- MicrosoftSignedBinaryAbuse
- MicrosoftSignedBinaryScriptletAbuse
- MLFileBasedWithRemoting
- MLSuspSvchostBehavior
- ReadSensitiveMemory
- RemoteCodeInjection-IREnabled
- Scuba-EchoSeenOverPipeOnLocalhost
- Scuba-SuspiciousWebScriptFileDrop
- Registro de DLL suspeito por odbcconf
- Atividade DPAPI suspeita
- Execução suspeita do processo de troca
- Inicialização de tarefa agendada suspeita
- SuspiciousLdapQueryDetector
- SuspiciousScheduledTaskRegistration
- Aplicativo não confiável abre uma conexão RDP
Identificar os aplicativos LOB (linha de negócios) que não estão disponíveis devido ao incidente
- O aplicativo requer uma identidade?
- Como a autenticação é executada?
- Como as credenciais, como certificados ou segredos, são armazenadas e gerenciadas?
- Os backups avaliados do aplicativo, sua configuração e seus dados estão disponíveis?
- Determine seu processo de recuperação de compromisso.
Erradicação e recuperação
Use essas etapas para erradicar a ameaça e recuperar recursos danificados.
Etapa 1: verificar seus backups
Se você tiver backups offline, provavelmente poderá restaurar os dados criptografados depois de remover a carga de ransomware (malware) do seu ambiente e depois de verificar que não há acesso não autorizado em seu locatário do Microsoft 365.
Etapa 2: Adicionar indicadores
Adicione todos os canais de comunicação de invasor conhecidos como indicadores, bloqueados em firewalls, em seus servidores proxy e em pontos de extremidade.
Etapa 3: Redefinir usuários comprometidos
Redefina as senhas de quaisquer contas de usuário comprometidas conhecidas e exija uma nova entrada.
- Considere redefinir as senhas de qualquer conta privilegiada com ampla autoridade administrativa, como os membros do grupo administradores de domínio.
- Se uma conta de usuário pode ter sido criada por um invasor, desabilite a conta. Não exclua a conta a menos que não haja planos para executar a perícia de segurança para o incidente.
Etapa 4: Isolar pontos de controle do invasor
Isole todos os pontos de controle de invasor conhecidos dentro da empresa da Internet.
Etapa 5: Remover malware
Remova o malware dos dispositivos afetados.
- Execute uma verificação antivírus completa e atual em todos os computadores e dispositivos suspeitos para detectar e remover a carga associada ao ransomware.
- Não se esqueça de verificar dispositivos que sincronizam dados ou os destinos de unidades de rede mapeadas.
Etapa 6: recuperar arquivos em um dispositivo limpo
Recuperar arquivos em um dispositivo limpo.
- Você pode usar o Histórico de Arquivos em Windows 11, Windows 10, Windows 8.1 e Proteção do Sistema no Windows 7 para tentar recuperar seus arquivos e pastas locais.
Etapa 7: recuperar arquivos no OneDrive for Business
Recuperar arquivos no OneDrive for Business.
- A restauração de arquivos em OneDrive for Business permite restaurar um OneDrive inteiro para um ponto anterior no tempo nos últimos 30 dias. Para obter mais informações, consulte Restaurar OneDrive.
Etapa 8: Recuperar email excluído
Recuperar email excluído.
- No caso raro de o ransomware excluir todo o email em uma caixa de correio, você pode recuperar os itens excluídos. Consulte Recuperar mensagens excluídas na caixa de correio de um usuário no Exchange Online.
Etapa 9: habilitar novamente Exchange ActiveSync e Sincronização do OneDrive
- Depois de limpar seus computadores e dispositivos e recuperar os dados, você pode habilitar novamente Exchange ActiveSync e Sincronização do OneDrive que você desabilitou anteriormente na etapa 3 da contenção.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.