Abordagem de ransomware da equipe de Resposta a Incidentes da Microsoft e boas práticas
O ransomware operado por humanos não é um problema de software mal-intencionado, é um problema criminoso humano. As soluções usadas para resolver problemas de mercadorias não são suficientes para evitar uma ameaça que mais se assemelha a um ator da ameaça do Estado-nação que:
- Desativa ou desinstala o software antivírus antes de criptografar os arquivos
- Desativa os serviços de segurança e o registro em log para evitar a detecção
- Localiza e corrompe ou exclui backups antes de enviar um pedido de resgate
Geralmente essas ações são executadas utilizando programas legítimos - como o Quick Assist em maio de 2024 - que você já pode ter em seu ambiente para fins administrativos. Em mãos criminosas, essas ferramentas são usadas para realizar ataques.
Responder à ameaça crescente de ransomware requer uma combinação de configuração corporativa moderna, produtos de segurança de data up-toe equipe de segurança treinada para detectar e responder às ameaças antes que os dados sejam perdidos.
A equipe de Resposta a Incidentes da Microsoft (antiga DART/CRSP) responde aos comprometimentos de segurança para ajudar os clientes a se tornarem ciberneticamente resilientes. A Resposta a Incidentes da Microsoft fornece resposta a incidentes reativos no local e investigações proativas remotas. A Resposta a Incidentes da Microsoft usa as parcerias estratégicas da Microsoft com organizações de segurança no mundo inteiro e grupos internos de produtos da Microsoft para fornecer a mais completa e minuciosa investigação possível.
Este artigo descreve como a Resposta a Incidentes da Microsoft lida com ataques de ransomware para ajudar a orientar os clientes da Microsoft em práticas recomendadas para seu próprio guia estratégico de operações de segurança. Para obter informações sobre como a Microsoft usa a IA mais recente para mitigação de ransomware, leia nosso artigo sobre a defesa do Microsoft Security Copilot contra ataques de ransomware.
Como a Resposta a Incidentes da Microsoft usa os serviços de segurança da Microsoft
A Resposta a Incidentes da Microsoft depende muito de dados para todas as investigações e usa serviços de segurança da Microsoft, como Microsoft Defender para Office 365, Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidadee Microsoft Defender para Aplicativos de Nuvem.
Microsoft Defender para ponto de extremidade
O Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial da Microsoft projetada para ajudar os analistas de segurança de redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. O Defender para Ponto de Extremidade pode detectar ataques usando análise comportamental avançada e aprendizado de máquina. Seus analistas podem usar o Defender para Endpoint para avaliar a análise comportamental de agentes de ameaças.
Seus analistas também podem executar consultas de busca avançadas para identificar indicadores de comprometimento (IOCs) ou pesquisar o comportamento conhecido do ator de ameaças.
O Defender para Ponto de Extremidade proporciona acesso em tempo real para monitoramento e análises especializados pelo Microsoft Defender Experts, para atividades atuais de atores suspeitos. Também é possível colaborar com especialistas sob demanda para obter insights adicionais sobre alertas e incidentes.
Microsoft Defender para Identidade
O Defender para Identidade investiga contas comprometidas conhecidas para identificar outras contas potencialmente comprometidas em sua organização. O Defender para Identidade envia alertas para atividades mal-intencionadas conhecidas, como ataques DCSync, tentativas de execução de código remoto e ataques de passagem de hash.
Microsoft Defender for Cloud Apps
O Defender para Aplicativos de Nuvem (anteriormente conhecido como Microsoft Cloud App Security) permite que seu analista detecte um comportamento incomum em aplicativos de nuvem para identificar ransomware, usuários comprometidos ou aplicativos invasores. O Defender para Aplicativos de Nuvem é a solução CASB (agente de segurança de acesso à nuvem) da Microsoft que permite o monitoramento de serviços de nuvem e dados acessados por usuários em serviços de nuvem.
Microsoft Secure Score
Os serviços do Microsoft Defender XDR fornecem recomendações de correção dinâmica para reduzir a superfície de ataque. A Classificação de Segurança da Microsoft é uma medida da postura de segurança de uma organização, com um número mais alto indicando mais ações de aperfeiçoamento empregadas. Leia a documentação do Secure Score para saber mais sobre como a sua organização pode utilizar esse recurso para priorizar as ações de correção para seu ambiente.
A abordagem de Resposta a Incidentes da Microsoft para conduzir investigações de incidentes de ransomware
Determinar como um ator de ameaça obteve acesso ao seu ambiente é crucial para identificar vulnerabilidades, conduzir a mitigação de ataques e evitar ataques futuros. Em alguns casos, o ator de ameaça toma medidas para cobrir seus rastros e destruir evidências, por isso é possível que toda a cadeia de eventos possa não ser evidente.
Veja a seguir três etapas importantes das investigações de ransomware da Resposta a Incidentes da Microsoft:
Etapa | Meta | Perguntas iniciais |
---|---|---|
1. Avaliar a situação atual | Entender o escopo | Em primeiro lugar, o que deixou você ciente de um ataque de ransomware? Que hora/data soube do incidente pela primeira vez? Quais logs estão disponíveis e há algum indício de que o ator está acessando os sistemas no momento? |
2. Identificar os aplicativos de linha de negócios (LOB) afetados | Colocar os sistemas online novamente | O aplicativo requer uma identidade? Há backups do aplicativo, da configuração e dos dados disponíveis? O conteúdo e a integridade dos backups são verificados regularmente por meio de um exercício de restauração? |
3. Determinar o processo de recuperação de comprometimento (CR) | Remover o ator de ameaça do ambiente | N/D |
Etapa 1: avaliar a situação atual
Uma avaliação da situação atual é fundamental para compreender o escopo do incidente e determinar as melhores pessoas para ajudar a planejar e definir o escopo das tarefas de investigação e correção. Fazer as perguntas iniciais a seguir é crucial para ajudar a determinar a origem e a extensão da situação.
Como você identificou o ataque de ransomware?
Se a equipe de TI identificou a ameaça inicial, como backups excluídos, alertas antivírus, alertas de detecção e resposta de ponto de extremidade (EDR) ou alterações suspeitas do sistema, muitas vezes é possível tomar medidas rápidas decisivas para impedir o ataque. Essas medidas normalmente envolvem desabilitar toda a comunicação de entrada e saída da Internet. Embora essa medida possa afetar temporariamente as operações comerciais que normalmente seriam muito menos impactantes do que a implantação bem-sucedida de ransomware.
Se uma chamada de usuário para o suporte técnico de TI identificar a ameaça, pode haver aviso prévio suficiente para tomar medidas defensivas para prevenir ou minimizar os efeitos do ataque. Se uma entidade externa, como a aplicação da lei ou uma instituição financeira, identificou a ameaça, é provável que o dano já esteja feito. Neste ponto, o ator de ameaça pode ter controle administrativo da sua rede. Essa evidência pode variar de notas de ransomware a telas bloqueadas a pedidos de resgate.
Que data/hora soube do incidente pela primeira vez?
Estabelecer a data e a hora da atividade inicial é importante para ajudar a restringir o escopo da triagem inicial para a atividade do ator de ameaça. Outras perguntas que podem ser feitas:
- Quais atualizações estavam faltando naquela data? É importante identificar as vulnerabilidades que foram exploradas.
- Quais contas foram usadas nessa data?
- Quais novas contas foram criadas desde essa data?
Quais logs estão disponíveis e há algum indício de que o ator está acessando os sistemas no momento?
Os logs - como antivírus, EDR e VPN (rede virtual privada) - podem mostrar evidências de suspeita de comprometimento. Perguntas de acompanhamento que podem ser feitas:
- Os logs estão sendo agregados em uma solução SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança), como Microsoft Sentinel, Splunk, ArcSight e outros, e estão atualizados? Qual é o período de retenção de dados?
- Há algum sistema suspeito comprometido enfrentando atividade incomum?
- Há alguma suspeita de contas comprometidas que parecem estar sob controle de ator de ameaça ativa?
- Existe alguma evidência de comando e controles ativos (C2s) em EDR, firewall, VPN, proxy Web e outros logs?
Para avaliar a situação, talvez seja necessário um controlador de domínio do AD DS (Active Directory Domain Services) que não tenha sido comprometido, um backup recente de um controlador de domínio ou um controlador de domínio recente colocado offline para manutenção ou atualizações. Determine também se a autenticação multifator (MFA) foi necessária para todos na empresa e se o Microsoft Entra ID foi usado.
Etapa 2: identificar os aplicativos LOB não disponíveis devido ao incidente
Esta etapa é fundamental para descobrir a maneira mais rápida de colocar os sistemas online novamente enquanto obtém as evidências necessárias.
O aplicativo requer uma identidade?
- Como é feita a autenticação?
- Como credenciais como certificados ou segredos são armazenadas e gerenciadas?
Há backups testados do aplicativo, da configuração e dos dados disponíveis?
- O conteúdo e a integridade dos backups são verificados regularmente por meio de um exercício de restauração? Essa verificação é importante após alterações de gerenciamento de configuração ou atualizações de versão.
Etapa 3: determinar o processo de recuperação de comprometimento
Essa etapa poderá ser necessária se o plano de controle, que normalmente é AD DS, tiver sido comprometido.
Sua investigação sempre deve fornecer uma saída que alimente diretamente o processo de CR. CR é o processo que remove o controle de um agente de ameaça de um ambiente e melhora de forma estratégica a postura de segurança dentro de um período definido. A CR ocorre após a violação de segurança. Para saber mais sobre a CR, leia o artigo do blog CRSP: The emergency team fighting cyber attacks beside customers da Equipe de segurança para recuperação de comprometimento da Microsoft.
Depois de coletar respostas para as perguntas nas etapas 1 e 2, você pode criar uma lista de tarefas e atribuir proprietários. A participação bem-sucedida na resposta a incidentes requer uma documentação completa e detalhada de cada item de trabalho (como o proprietário, o status, as descobertas, a data e a hora) para compilar as descobertas.
Recomendações e boas práticas da Resposta a Incidentes da Microsoft
Aqui estão as recomendações e boas práticas da Resposta a Incidentes da Microsoft para atividades de contenção e pós-incidente.
Contenção
A contenção pode ocorrer somente depois que você determinar o que precisa ser contido. No caso de ransomware, o ator de ameaça pretende obter credenciais para controle administrativo sobre um servidor altamente disponível e, em seguida, implantar o ransomware. Em alguns casos, o ator da ameaça identifica dados confidenciais e os exfiltra para um local controlado por ele.
A recuperação tática é única para o ambiente, o setor e o nível de experiência e especialização em TI da sua organização. As etapas descritas abaixo são recomendadas para contenção tática e de curto prazo. Para saber mais sobre diretrizes de longo prazo, confira como proteger o acesso privilegiado. Para obter uma visão abrangente sobre como se defender contra ransomware e extorsão, ver Ransomware operado por humanos.
As etapas de contenção a seguir podem ser executadas à medida que novos vetores de ameaça são descobertos.
Etapa 1: avaliar o escopo da situação
- Quais contas de usuário foram comprometidas?
- Quais dispositivos são afetados?
- Quais aplicativos são afetados?
Etapa 2: preservar os sistemas existentes
- Desabilite todas as contas de usuário com privilégios, exceto um pequeno número de contas usadas por seus administradores para ajudar a redefinir a integridade da infraestrutura do AD DS. Se você acredita que uma conta de usuário está comprometida, desative-a imediatamente.
- Isole os sistemas comprometidos da rede, mas não os desative.
- Isole pelo menos um (e, idealmente, dois) bom controlador de domínio conhecido em cada domínio. Desconecte-os da rede ou desative-os para evitar a disseminação de ransomware para sistemas críticos, priorizando a identidade como o vetor de ataque mais vulnerável. Se todos os controladores de domínio forem virtuais, verifique se o sistema da plataforma de virtualização e as unidades de dados têm backup em mídia externa offline que não está conectada à rede.
- Isole bons servidores de aplicativos conhecidos críticos, como SAP, banco de dados de gerenciamento de configuração (CMDB), de cobrança e sistemas de contabilidade.
Essas duas etapas podem ser executadas simultaneamente à medida que novos vetores de ameaça são descobertos. Para isolar a ameaça da rede, desabilite os vetores de ameaça e procure um sistema conhecido não comprometido.
Outras ações de contenção tática incluem:
Redefina a senha do krbtgt duas vezes em uma sucessão rápida. Considere o uso de um processo roteirizado e repetível. Esse script permite redefinir a senha da conta krbtgt e as chaves relacionadas, minimizando a probabilidade de problemas de autenticação Kerberos. Para minimizar problemas, o tempo de vida krbtgt pode ser reduzido uma ou mais vezes antes da primeira redefinição de senha para concluir rapidamente essas etapas. Todos os controladores de domínio que você planeja manter em seu ambiente devem estar online.
Implante uma Política de Grupo em todos os domínios que impedem a entrada privilegiada (Administradores de Domínio) em qualquer coisa, exceto controladores de domínio e estações de trabalho somente administrativas privilegiadas (se houver).
Instale todas as atualizações de segurança ausentes para sistemas operacionais e aplicativos. Cada atualização ausente é um potencial vetor de ameaças que os atores de ransomware podem identificar e usar rapidamente. O Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Pontos de Extremidade proporciona uma forma fácil de ver exatamente o que está faltando, bem como o impacto de atualizações ausentes.
Para dispositivos Windows 10 (ou superior), confirme se a versão atual (ou n-1) está em execução em todos os dispositivos.
Implante as regras de redução da superfície de ataque (ASR) para evitar a infecção de malware.
Habilite todos os recursos de segurança do Windows 10.
Verifique se todos os aplicativos voltados para o exterior, incluindo o acesso à VPN, estão protegidos pela MFA (autenticação multifator), preferencialmente usando um aplicativo de autenticação em execução em um dispositivo protegido.
Para dispositivos que não usam o Defender para Endpoint como software antivírus principal, realize uma verificação completa com o Microsoft Safety Scanner em sistemas considerados seguros e isolados antes de reconectá-los à rede.
Para qualquer sistema operacional herdado, atualize para um sistema operacional (SO) com suporte ou desative esses dispositivos. Se essas opções não estiverem disponíveis, tome todas as medidas possíveis para isolar esses dispositivos, incluindo isolamento de rede/VLAN, regras de IPsec (segurança de protocolo de Internet) e restrições de entrada. Essas etapas ajudam a garantir que esses sistemas só sejam acessíveis pelos usuários/dispositivos para fornecer continuidade aos negócios.
As configurações mais arriscadas consistem em executar sistemas de missão crítica em sistemas operacionais herdados tão antigos quanto o Windows NT 4.0 e aplicativos, todos em hardware herdado. Não só esses sistemas operacionais e aplicativos são inseguros e vulneráveis, mas se esse hardware falhar, os backups normalmente não podem ser restaurados em hardware moderno. Esses aplicativos não podem funcionar sem hardware herdado. Considere seriamente converter esses aplicativos para serem executados em sistemas operacionais e hardware atuais.
Atividades pós-incidente
A Resposta a Incidentes da Microsoft recomenda implementar as recomendações e boas práticas de segurança a seguir após cada incidente.
Verifique se as práticas recomendadas estão em vigor para soluções de e-mail e colaboração para ajudar a impedir que os atores de ameaças os usem, permitindo que os usuários internos acessem conteúdo externo com facilidade e segurança.
Siga as melhores práticas de segurança Confiança Zero para soluções de acesso remoto a recursos organizacionais internos.
Começando com administradores de alto impacto, siga as práticas recomendadas de segurança da conta, incluindo o uso de autenticação sem senha ou MFA.
Implementar uma estratégia abrangente para reduzir o risco de comprometimento de acessos com privilégios.
Para acesso administrativo na nuvem e floresta/domínio, use o modelo de acesso privilegiado (PAM) da Microsoft.
Para gerenciamento administrativo de ponto de extremidade, use a solução de senha administrativa local (LAPS).
Implemente a proteção de dados para bloquear técnicas de ransomware e confirme a recuperação rápida e confiável de um ataque.
Revise seus sistemas críticos. Verifique se há proteção e backups contra a remoção ou criptografia por atores de ameaças. Examine e teste periodicamente e valide esses backups.
Garanta a detecção rápida e a correção de ataques comuns contra pontos de extremidade, email e identidade.
Descubra ativamente e melhore continuamente a postura de segurança do ambiente.
Atualize os processos organizacionais para gerenciar os principais eventos de ransomware e simplifique a terceirização para evitar atrito.
PAM
O uso do PAM (anteriormente conhecido como modelo de administração hierárquica) aprimora a postura de segurança do Microsoft Entra ID, que envolve:
Dividir contas administrativas em um ambiente "planejado", o que significa uma conta para cada nível (geralmente quatro níveis):
Plano de Controle (anteriormente camada 0): administração de controladores de domínio e outros serviços de identidade cruciais, como os Serviços de Federação do Active Directory (ADFS) ou o Microsoft Entra Connect. Eles também incluem aplicativos de servidor que exigem permissões administrativas para o AD DS, como o Exchange Server.
Os dois painéis seguintes eram anteriormente Camada 1:
Plano de gerenciamento: gerenciamento, monitoramento e segurança de ativos.
Plano de Dados/Carga de Trabalho: aplicativos e servidores de aplicativos.
Os dois painéis seguintes eram anteriormente Camada 1:
Acesso de usuário: direitos de acesso para usuários (como contas).
Acesso a aplicativos: direitos de acesso para aplicativos.
Cada um desses aviões tem uma estação de trabalho administrativa separada para cada plano e só tem acesso a sistemas nesse plano. Contas de outros planos têm acesso negado a estações de trabalho e servidores em planos diferentes por meio de atribuições de direitos de usuário definidas para esses dispositivos.
O PAM garante:
Uma conta de usuário comprometida só tem acesso ao seu próprio plano.
Contas de usuário mais confidenciais não podem acessar estações de trabalho e servidores com o nível de segurança de um plano inferior. Isso ajuda a evitar o movimento lateral do ator de ameaças.
LAPS
Por padrão, o Microsoft Windows e o AD DS não têm gerenciamento centralizado de contas administrativas locais em estações de trabalho e servidores membros. Essa falta de gerenciamento pode resultar em uma senha comum para todas essas contas locais ou, no mínimo, para grupos de dispositivos. Essa situação permite que os atores de ameaças comprometam uma conta de administrador local para acessar outras estações de trabalho ou servidores na organização.
O LAPS da Microsoft atenua essa ameaça utilizando uma extensão do lado do cliente da Política de Grupo que altera a senha administrativa local em intervalos periódicos em estações de trabalho e servidores, de acordo com a política definida. Cada uma dessas senhas é diferente e armazenada como um atributo no objeto de computador do AD DS. Esse atributo pode ser recuperado de um aplicativo cliente simples, dependendo das permissões atribuídas a esse atributo.
O LAPS requer que o esquema do AD DS seja estendido para permitir o atributo adicional, que os modelos de Política de Grupo do LAPS sejam instalados, e a instalação de uma pequena extensão do lado do cliente em cada estação de trabalho e servidor membro para proporcionar funcionalidade no lado do cliente.
Você pode baixar o LAPS a partir do Centro de Download da Microsoft.
Recursos adicionais de ransomware
Os seguintes recursos da Microsoft ajudam a detectar ataques de ransomware e proteger ativos organizacionais:
Relatório de Defesa Digital da Microsoft de 2023 (consulte as páginas 17-26)
Ransomware: uma ameaça generalizada e contínua Relatório de análise de ameaças no portal Microsoft Defender
Estudo de caso de ransomware da Resposta a Incidentes da Microsoft
Microsoft 365:
- Implantar proteção contra ransomware no seu locatário do Microsoft 365
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Como se recuperar de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteger seu computador Windows 10 de ransomware
- Lidando com o ransomware no SharePoint Online
- Relatórios de análise de ameaças para ransomware no portal do Microsoft Defender
- aproveitar a IA para se defender contra ransomware com o Microsoft Security Copilot
Microsoft Defender XDR:
Microsoft Azure:
- Defesas do Azure contra ataque de ransomware
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperar-se do comprometimento de identidades sistêmico
- Detecção avançada de ataques multiestágio no Microsoft Sentinel
- Detecção de fusão para ransomware no Microsoft Sentinel
Microsoft Defender para Aplicativos de Nuvem: