Detetar e responder a ataques de ransomware
Existem vários gatilhos potenciais que podem indicar um incidente de ransomware. Ao contrário de muitos outros tipos de malware, a maioria serão gatilhos de maior confiança (onde pouca investigação ou análise adicional deve ser exigida antes da declaração de um incidente) em vez de gatilhos de baixa confiança (onde mais investigação ou análise provavelmente seria necessária antes que um incidente deva ser declarado).
Em geral, tais infeções óbvias do comportamento básico do sistema, a ausência de sistema chave ou arquivos de usuário e a exigência de resgate. Neste caso, o analista deve considerar se deve declarar e escalar imediatamente o incidente, incluindo tomar quaisquer ações automatizadas para mitigar o ataque.
Detetar ataques de ransomware
O Microsoft Defender for Cloud oferece recursos de deteção e resposta a ameaças de alta qualidade, também chamados de XDR (Extended Detection and Response).
Garanta a rápida deteção e correção de ataques comuns a VMs, SQL Servers, aplicativos Web e identidade.
Priorize Pontos de Entrada Comuns – Os operadores de Ransomware (e outros) favorecem o Endpoint/Email/Identity + Remote Desktop Protocol (RDP)
- XDR integrado - Use ferramentas XDR (Extended Detection and Response) integradas, como o Microsoft Defender for Cloud , para fornecer alertas de alta qualidade e minimizar o atrito e as etapas manuais durante a resposta
- Força Bruta - Monitore tentativas de força bruta, como spray de senha
Monitore a desativação da segurança do adversário – pois isso geralmente faz parte da cadeia de ataque do Human-Operated Ransomware (HumOR)
Limpeza de logs de eventos – especialmente o log de eventos de segurança e os logs operacionais do PowerShell
- Desativação de ferramentas/controles de segurança (associados a alguns grupos)
Don't Ignore Commodity Malware - Os atacantes de ransomware compram regularmente acesso a organizações-alvo de mercados obscuros
Integre especialistas externos em processos para complementar a experiência, como a equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP).
Isole rapidamente dispositivos comprometidos usando o Defender for Endpoint na implantação local.
Responder a ataques de ransomware
Declaração de incidente
Uma vez confirmada uma infeção ransomware bem-sucedida, o analista deve verificar se isso representa um novo incidente ou se pode estar relacionado a um incidente existente. Procure bilhetes atualmente abertos que indiquem incidentes semelhantes. Em caso afirmativo, atualize o ticket de incidente atual com novas informações no sistema de bilhetagem. Se se tratar de um incidente novo, um incidente deve ser declarado no sistema de bilhética relevante e encaminhado para as equipas ou fornecedores adequados para conter e mitigar o incidente. Esteja ciente de que o gerenciamento de incidentes de ransomware pode exigir ações tomadas por várias equipes de TI e segurança. Sempre que possível, certifique-se de que o ticket é claramente identificado como um incidente de ransomware para orientar o fluxo de trabalho.
Contenção/Mitigação
Em geral, várias soluções antimalware de servidor/ponto final, antimalware de e-mail e proteção de rede devem ser configuradas para conter e mitigar automaticamente ransomware conhecido. Pode haver casos, no entanto, em que a variante específica do ransomware tenha sido capaz de contornar essas proteções e infetar com sucesso os sistemas alvo.
A Microsoft fornece recursos abrangentes para ajudar a atualizar seus processos de resposta a incidentes nas Principais Práticas Recomendadas de Segurança do Azure.
A seguir estão as ações recomendadas para conter ou mitigar um incidente declarado envolvendo ransomware onde as ações automatizadas tomadas pelos sistemas antimalware não foram bem-sucedidas:
- Envolva fornecedores de antimalware através de processos de suporte padrão
- Adicione manualmente hashes e outras informações associadas a malware a sistemas antimalware
- Aplicar atualizações do fornecedor de antimalware
- Conter os sistemas afetados até que possam ser remediados
- Desativar contas comprometidas
- Executar análise de causa raiz
- Aplicar patches e alterações de configuração relevantes nos sistemas afetados
- Bloqueie comunicações de ransomware usando controles internos e externos
- Limpar conteúdo armazenado em cache
Caminho para a recuperação
A Equipe de Deteção e Resposta da Microsoft ajudará a protegê-lo contra ataques
Compreender e corrigir os problemas de segurança fundamentais que levaram ao compromisso em primeiro lugar deve ser uma prioridade para os alvos de ransomware.
Integre especialistas externos em processos para complementar a experiência, como o Microsoft Incident Response. A Resposta a Incidentes da Microsoft interage com clientes em todo o mundo, ajudando a proteger e proteger contra ataques antes que eles ocorram, além de investigar e remediar quando um ataque ocorreu.
Os clientes podem contratar nossos especialistas em segurança diretamente do Portal do Microsoft Defender para obter uma resposta oportuna e precisa. Os especialistas fornecem as informações necessárias para entender melhor as ameaças complexas que afetam sua organização, desde consultas de alerta, dispositivos potencialmente comprometidos, causa raiz de uma conexão de rede suspeita até informações adicionais sobre ameaças em relação a campanhas avançadas de ameaças persistentes em andamento.
A Microsoft está pronta para ajudar a sua empresa a regressar a operações seguras.
A Microsoft realiza centenas de recuperações de comprometimento e tem uma metodologia testada e comprovada. Não só o levará a uma posição mais segura, como também lhe dará a oportunidade de considerar a sua estratégia a longo prazo, em vez de reagir à situação.
A Microsoft fornece serviços de Recuperação Rápida de Ransomware. Neste âmbito, é prestada assistência em todas as áreas, tais como o restabelecimento de serviços de identidade, a remediação e o endurecimento e com a implementação de monitorização para ajudar os alvos de ataques de ransomware a regressarem à normalidade no mais curto espaço de tempo possível.
Nossos serviços de Recuperação Rápida de Ransomware são tratados como "Confidenciais" durante o contrato. Os compromissos de Recuperação Rápida de Ransomware são entregues exclusivamente pela equipe CRSP (Compromise Recovery Security Practice), parte do Azure Cloud & AI Domain. Para obter mais informações, você pode entrar em contato com o CRSP em Solicitar contato sobre a segurança do Azure.
O que se segue
Consulte o white paper: Azure defenses for ransomware attack whitepaper.
Outros artigos desta série: