Abordagem e práticas recomendadas de ransomware da equipe de resposta a incidentes da Microsoft

O ransomware operado por humanos não é um problema de software malicioso - é um problema criminoso humano. As soluções usadas para resolver problemas de commodities não são suficientes para prevenir uma ameaça que mais se assemelha a um agente de ameaça de Estado-nação que:

• Desativa ou desinstala o software antivírus antes de encriptar ficheiros
• Desativa os serviços de segurança e o registro em log para evitar a deteção
• Localiza e corrompe ou exclui backups antes de enviar um pedido de resgate

Essas ações geralmente são executadas usando programas legítimos - como Quick Assist em maio de 2024 - que você já pode ter em seu ambiente para fins administrativos. Nas mãos de criminosos, essas ferramentas são usadas para realizar ataques.

Responder à crescente ameaça de ransomware requer uma combinação de configuração empresarial moderna, produtos de segurança de up-toe pessoal de segurança treinado para detetar e responder às ameaças antes que os dados sejam perdidos.

A equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP) responde a comprometimentos de segurança para ajudar os clientes a se tornarem ciberresilientes. A Resposta a Incidentes da Microsoft fornece resposta reativa a incidentes no local e investigações proativas remotas. O Microsoft Incident Response usa as parcerias estratégicas da Microsoft com organizações de segurança em todo o mundo e grupos internos de produtos da Microsoft para fornecer a investigação mais completa e completa possível. Os nossos especialistas em resposta a incidentes priorizam a proatividade, usando sinais diários e de inteligência de ameaças para identificar ameaças em cada ambiente do cliente. A Microsoft incentiva os clientes a também estabelecerem a sua própria equipa de resposta a incidentes para a máxima monitorização interna do perímetro.

Este artigo descreve como o Microsoft Incident Response lida com ataques de ransomware para ajudar a orientar os clientes da Microsoft nas práticas recomendadas para o seu próprio manual de operações de segurança. Para obter informações sobre como a Microsoft usa a IA mais recente para mitigação de ransomware, leia nosso artigo sobre a defesa do Microsoft Security Copilot contra ataques de ransomware.

Como a Resposta a Incidentes da Microsoft usa os serviços de segurança da Microsoft

A Resposta a Incidentes da Microsoft depende fortemente de dados para todas as investigações e usa serviços de segurança da Microsoft, como Microsoft Defender para Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identitye Microsoft Defender for Cloud Apps.

Para obter as mais recentes atualizações das medidas de segurança da equipa de Resposta a Incidentes da Microsoft, visite o Ninja Hub.

Microsoft Defender para Ponto Final

O Defender for Endpoint é a plataforma de segurança de endpoint empresarial da Microsoft projetada para ajudar os analistas de segurança de rede corporativa a prevenir, detetar, investigar e responder a ameaças avançadas. O Defender for Endpoint pode detetar ataques usando análise comportamental avançada e aprendizado de máquina. Seus analistas podem usar o Defender for Endpoint para avaliar a análise comportamental do agente de ameaças.

Seus analistas também podem realizar consultas avançadas de caça para identificar indicadores de comprometimento (IOCs) ou pesquisar o comportamento conhecido do agente de ameaça.

O Defender for Endpoint fornece acesso em tempo real a monitoramento e análise de especialistas Microsoft Defender Experts para atividades suspeitas contínuas de atores. Você também pode colaborar com especialistas sob demanda para obter mais informações sobre alertas e incidentes.

Microsoft Defender para Identidade

O Defender for Identity investiga contas comprometidas conhecidas para identificar outras contas potencialmente comprometidas na sua organização. O Defender for Identity envia alertas para atividades maliciosas conhecidas, como ataques DCSync, tentativas de execução remota de código e ataques pass-the-hash.

Microsoft Defender for Cloud Apps

O Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security) permite que seu analista detete comportamentos incomuns em aplicativos de nuvem para identificar ransomware, usuários comprometidos ou aplicativos não autorizados. O Defender for Cloud Apps é a solução de agente de segurança de acesso à nuvem (CASB) da Microsoft que permite o monitoramento de serviços de nuvem e dados acessados por usuários em serviços de nuvem.

Classificação de Segurança da Microsoft

Os serviços XDR do Microsoft Defender fornecem recomendações de correção em tempo real para reduzir a superfície de ataque. O Microsoft Secure Score é uma medida da postura de segurança de uma organização, com um número maior indicando que mais ações de melhoria foram tomadas. Leia a documentação do Secure Score para saber mais sobre como sua organização pode usar esse recurso para priorizar ações de correção para seu ambiente.

A abordagem de Resposta a Incidentes da Microsoft para conduzir investigações de incidentes de ransomware

Determinar como um agente de ameaças obteve acesso ao seu ambiente é crucial para identificar vulnerabilidades, conduzir a mitigação de ataques e prevenir ataques futuros. Em alguns casos, o agente da ameaça toma medidas para cobrir seus rastros e destruir evidências, então é possível que toda a cadeia de eventos não seja evidente.

A seguir estão três etapas principais nas investigações de ransomware Microsoft Incident Response:

Passo	Goal	Perguntas iniciais
1. Avaliar a situação atual	Entenda o escopo	O que inicialmente o fez saber de um ataque de ransomware? A que hora/data teve conhecimento do incidente? Quais logs estão disponíveis e há alguma indicação de que o ator está acessando os sistemas no momento?
2. Identifique os aplicativos de linha de negócios (LOB) afetados	Coloque os sistemas novamente online	A aplicação requer uma identidade? Os backups do aplicativo, da configuração e dos dados estão disponíveis? O conteúdo e a integridade dos backups são verificados regularmente usando um exercício de restauração?
3. Determine o processo de recuperação de compromisso (CR)	Remover o agente de ameaça do ambiente	N/A

Etapa 1: Avaliar a situação atual

Uma avaliação da situação atual é fundamental para entender o escopo do incidente e para determinar as melhores pessoas para ajudar e planejar e escopo as tarefas de investigação e remediação. Fazer as seguintes perguntas iniciais é crucial para ajudar a determinar a origem e a extensão da situação.

Como identificou o ataque de ransomware?

Se sua equipe de TI identificou a ameaça inicial, como backups excluídos, alertas antivírus, alertas de deteção e resposta de ponto final (EDR) ou alterações suspeitas no sistema, geralmente é possível tomar medidas rápidas e decisivas para impedir o ataque. Essas medidas geralmente envolvem a desativação de todas as comunicações de entrada e saída da Internet. Embora essa medida possa afetar temporariamente as operações de negócios, isso normalmente seria muito menos impactante do que a implantação bem-sucedida de ransomware.

Se uma chamada do usuário para o helpdesk de TI identificar a ameaça, pode haver aviso prévio suficiente para tomar medidas defensivas para prevenir ou minimizar os efeitos do ataque. Se uma entidade externa, como as autoridades policiais ou uma instituição financeira, identificar a ameaça, é provável que o dano já esteja feito. Neste ponto, o agente de ameaça pode ter o controle administrativo da sua rede. Essas evidências podem variar de notas de ransomware a telas bloqueadas e pedidos de resgate.

Em que data/hora teve conhecimento do incidente?

Estabelecer a data e a hora da atividade inicial é importante para ajudar a restringir o escopo da triagem inicial para a atividade do agente de ameaça. Outras perguntas podem incluir:

• Que atualizações faltavam nessa data? É importante identificar quaisquer vulnerabilidades exploradas.
• Que contas foram utilizadas nessa data?
• Que novas contas foram criadas desde essa data?

Quais logs estão disponíveis e há alguma indicação de que o ator está acessando os sistemas no momento?

Os registros, como antivírus, EDR e rede virtual privada (VPN), podem mostrar evidências de suspeita de comprometimento. As perguntas de acompanhamento podem incluir:

• Os logs estão sendo agregados em uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) - como Microsoft Sentinel, Splunk, ArcSight e outros - e atuais? Qual é o período de conservação destes dados?
• Existem sistemas suspeitos de estarem comprometidos que apresentam atividades incomuns?
• Há alguma conta suspeita comprometida que pareça estar sob controle ativo do agente de ameaça?
• Há alguma evidência de comando e controles ativos (C2s) em EDR, firewall, VPN, proxy da Web e outros logs?

Para avaliar a situação, você pode precisar de um controlador de domínio dos Serviços de Domínio Ative Directory (AD DS) que não tenha sido comprometido, um backup recente de um controlador de domínio ou um controlador de domínio recente colocado offline para manutenção ou atualizações. Determine também se a autenticação multifator (MFA) era necessária para todos na empresa e se o Microsoft Entra ID foi usado.

Etapa 2: Identificar os aplicativos LOB que não estão disponíveis devido ao incidente

Esta etapa é fundamental para descobrir a maneira mais rápida de colocar os sistemas on-line novamente enquanto obtém as evidências necessárias.

A aplicação requer uma identidade?

• Como é executada a autenticação?
• Como credenciais como certificados ou segredos são armazenadas e gerenciadas?

Os backups testados do aplicativo, da configuração e dos dados estão disponíveis?

• O conteúdo e a integridade dos backups são verificados regularmente usando um exercício de restauração? Essa verificação é importante após alterações no gerenciamento de configuração ou atualizações de versão.

Etapa 3: Determinar o processo de recuperação de comprometimento

Esta etapa pode ser necessária se o plano de controle, que normalmente é o AD DS, tiver sido comprometido.

Sua investigação deve sempre fornecer resultados que alimentam diretamente o processo de CR. CR é o processo que remove o controle do agente de ameaças de um ambiente e aumenta taticamente a postura de segurança dentro de um período definido. A CR ocorre após a violação de segurança. Para saber mais sobre CR, leia o artigo do blog CRSP da equipe de Prática de Segurança de Recuperação de Compromisso da Microsoft: A equipe de emergência lutando contra ataques cibernéticos ao lado dos clientes .

Depois de reunir respostas às perguntas nas etapas 1 e 2, você pode criar uma lista de tarefas e atribuir proprietários. Para uma resposta bem-sucedida a incidentes, é necessária uma documentação completa e detalhada de cada item de trabalho (como proprietário, estado, conclusões, data e hora) para compilar as conclusões.

Recomendações e práticas recomendadas de resposta a incidentes da Microsoft

Aqui estão as recomendações e práticas recomendadas do Microsoft Incident Response para atividades de contenção e pós-incidente.

Contenção

A contenção só pode acontecer depois de determinar o que precisa ser contido. No caso do ransomware, o agente de ameaças visa obter credenciais para controle administrativo sobre um servidor altamente disponível e, em seguida, implantar o ransomware. Em alguns casos, o agente de ameaças identifica dados confidenciais e os exfiltra para um local que controla.

A recuperação tática é exclusiva do ambiente, do setor e do nível de conhecimento e experiência de TI da sua organização. As etapas descritas abaixo são recomendadas para contenção tática e de curto prazo. Para saber mais sobre orientação de longo prazo, consulte Protegendo o acesso privilegiado. Para obter uma visão abrangente de como se defender contra ransomware e extorsão, consulte ransomware operado por humanos.

As seguintes etapas de contenção podem ser executadas à medida que novos vetores de ameaça são descobertos.

Etapa 1: Avaliar o âmbito da situação

• Quais contas de usuário foram comprometidas?
• Que dispositivos são afetados?
• Que aplicações são afetadas?

Etapa 2: Preservar os sistemas existentes

• Desative todas as contas de usuário privilegiadas, exceto um pequeno número de contas usadas pelos administradores para ajudar a redefinir a integridade da infraestrutura do AD DS. Se você acredita que uma conta de usuário está comprometida, desative-a imediatamente.
• Isole os sistemas comprometidos da rede, mas não os desligue.
• Isole pelo menos um (e, idealmente, dois) controlador de domínio conhecido em boas condições em cada domínio. Desconecte-os da rede ou desligue-os para evitar a propagação de ransomware para sistemas críticos, priorizando a identidade como o vetor de ataque mais vulnerável. Se todos os controladores de domínio forem virtuais, certifique-se de que o backup do sistema e das unidades de dados da plataforma de virtualização seja feito em mídia externa offline que não esteja conectada à rede.
• Isolar servidores de aplicativos críticos em boas condições, como SAP, banco de dados de gerenciamento de configuração (CMDB), faturamento e sistemas de contabilidade.

Essas duas etapas podem ser tomadas simultaneamente à medida que novos vetores de ameaça são descobertos. Para isolar a ameaça da rede, desative esses vetores de ameaça e, em seguida, procure um sistema conhecido não comprometido.

Outras ações táticas de contenção incluem:

• Redefina a senha krbtgt duas vezes em rápida sucessão. Considere o uso de um processo com script e repetível. Este script permite redefinir a senha da conta krbtgt e as chaves relacionadas, minimizando a probabilidade de problemas de autenticação Kerberos. Para minimizar os problemas, a vida útil do krbtgt pode ser reduzida uma ou mais vezes antes da primeira redefinição de senha para concluir rapidamente essas etapas. Todos os controladores de domínio que você planeja manter em seu ambiente devem estar online.

• Implante uma Diretiva de Grupo em todo o(s) domínio(s) que impeça a entrada privilegiada (Administradores de Domínio) em tudo menos controladores de domínio e estações de trabalho somente administrativas privilegiadas (se houver).

• Instale todas as atualizações de segurança ausentes para sistemas operacionais e aplicativos. Cada atualização ausente é um vetor de ameaça potencial que os agentes de ransomware podem identificar e usar rapidamente. O Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender for Endpoint fornece uma maneira fácil de ver o que exatamente falta, bem como o impacto das atualizações ausentes.

  • Para dispositivos Windows 10 (ou superior), confirme se a versão atual (ou n-1) está em execução em todos os dispositivos.

  • Implante regras de redução de superfície de ataque (ASR) para evitar a infeção por malware.

  • Habilite todos os recursos de segurança do Windows 10.

• Verifique se cada aplicativo externo, incluindo acesso VPN, está protegido por autenticação multifator (MFA), de preferência usando um aplicativo de autenticação em execução em um dispositivo seguro.

• Para dispositivos que não usam o Defender for Endpoint como seu principal software antivírus, realize uma verificação completa com Microsoft Safety Scanner em sistemas seguros conhecidos isolados antes de reconectá-los à rede.

• Para qualquer sistema operacional herdado, atualize para um sistema operacional (SO) suportado ou descomissione esses dispositivos. Se essas opções não estiverem disponíveis, tome todas as medidas possíveis para isolar esses dispositivos, incluindo isolamento de rede/VLAN, regras de segurança do protocolo Internet (IPsec) e restrições de entrada. Essas etapas ajudam a garantir que esses sistemas sejam acessíveis apenas pelos usuários/dispositivos para fornecer continuidade de negócios.

As configurações mais arriscadas consistem em executar sistemas de missão crítica em sistemas operacionais herdados tão antigos quanto o Windows NT 4.0 e aplicativos, tudo em hardware herdado. Não apenas esses sistemas operacionais e aplicativos são inseguros e vulneráveis, mas se esse hardware falhar, os backups normalmente não podem ser restaurados em hardware moderno. Esses aplicativos não podem funcionar sem hardware legado. Considere fortemente converter estas aplicações para funcionarem em sistemas operativos e hardware atuais.

Atividades pós-incidente

A Resposta a Incidentes da Microsoft recomenda a implementação das seguintes recomendações de segurança e práticas recomendadas após cada incidente.

• Certifique-se de que as práticas recomendadas estão em vigor para soluções de e-mail e colaboração para ajudar a impedir que os agentes de ameaças as utilizem, ao mesmo tempo que permite que os utilizadores internos acedam a conteúdo externo de forma fácil e segura.

• Siga as práticas recomendadas de segurança Zero Trust para soluções de acesso remoto a recursos organizacionais internos.

• Começando com administradores de impacto crítico, siga as práticas recomendadas para a segurança da conta, incluindo o uso de de autenticação sem senha ou MFA.

• Implementar uma estratégia abrangente para reduzir o risco de comprometimento de acesso privilegiado.

  • Para acesso administrativo à nuvem e floresta/domínio, use o modelo de acesso privilegiado (PAM) da Microsoft.

  • Para gerenciamento administrativo de endpoint, use a solução de senha administrativa local (LAPS).

• Implemente proteção de dados para bloquear técnicas de ransomware e confirmar a recuperação rápida e confiável de um ataque.

• Reveja os seus sistemas críticos. Verifique se há proteção e backups contra a remoção ou criptografia do agente de ameaças. Revise e teste e valide periodicamente esses backups.

• Garanta a rápida deteção e remediação de ataques comuns contra endpoint, e-mail e identidade.

• Descubra ativamente e melhore continuamente a postura de segurança do seu ambiente.

• Atualize os processos organizacionais para gerenciar os principais eventos de ransomware e simplificar a terceirização para evitar atrito.

PAM

O uso do PAM (anteriormente conhecido como modelo de administração hierárquica) melhora a postura de segurança do Microsoft Entra ID, que envolve:

• Dividir as contas administrativas em um ambiente "planejado", ou seja, uma conta para cada nível (geralmente quatro níveis):

• Plano de Controle (anteriormente Tier 0): Administração de controladores de domínio e outros serviços de identidade cruciais, como os Serviços de Federação do Ative Directory (ADFS) ou o Microsoft Entra Connect. Isso também inclui aplicativos de servidor que exigem permissões administrativas para o AD DS, como o Exchange Server.

• Os dois aviões seguintes eram anteriormente Tier 1:

  • Plano de Gestão: Gestão de ativos, monitorização e segurança.

  • Plano de Dados/Carga de Trabalho: Aplicativos e servidores de aplicativos.

• Os dois aviões seguintes eram anteriormente Tier 2:

  • Acesso de usuário: direitos de acesso para usuários (como contas).

  • Acesso ao aplicativo: direitos de acesso para aplicativos.

• Cada um desses planos tem uma estação de trabalho administrativa separada para cada plano e só tem acesso aos sistemas nesse plano. Contas de outros planos têm acesso negado a estações de trabalho e servidores em planos diferentes por meio de atribuições de direitos de usuário definidas para esses dispositivos.

O PAM assegura:

• Uma conta de utilizador comprometida só tem acesso ao seu próprio plano.

• Contas de usuário mais confidenciais não podem acessar estações de trabalho e servidores com um nível de segurança de plano mais baixo. Isso ajuda a evitar o movimento lateral do agente de ameaça.

VOLTAS

Por padrão, o Microsoft Windows e o AD DS não têm gerenciamento centralizado de contas administrativas locais em estações de trabalho e servidores membros. Essa falta de gerenciamento pode resultar em uma senha comum para todas essas contas locais ou, pelo menos, para grupos de dispositivos. Essa situação permite que os agentes de ameaça comprometam uma conta de administrador local para acessar outras estações de trabalho ou servidores na organização.

O LAPS da Microsoft atenua essa ameaça usando uma extensão do lado do cliente da Diretiva de Grupo que altera a senha administrativa local em intervalos regulares em estações de trabalho e servidores de acordo com a política definida. Cada uma dessas senhas é diferente e armazenada como um atributo no objeto de computador do AD DS. Esse atributo pode ser recuperado de um aplicativo cliente simples, dependendo das permissões atribuídas a esse atributo.

O LAPS requer que o esquema do AD DS seja estendido para permitir que o atributo adicional, os modelos de Diretiva de Grupo do LAPS sejam instalados e a instalação de uma pequena extensão do lado do cliente em cada estação de trabalho e servidor membro para fornecer funcionalidade do lado do cliente.

Pode descarregar LAPS a partir do Centro de Download da Microsoft.

Recursos adicionais de ransomware

Os seguintes recursos da Microsoft ajudam a detetar ataques de ransomware e proteger ativos organizacionais:

• Ransomware operado por humanos

• Proteja-se rapidamente contra ransomware e extorsão

• Relatório de Defesa Digital da Microsoft de 2023 (ver páginas 17-26)

• Ransomware: Uma ameaça generalizada e contínua Relatório de análise de ameaças no portal Microsoft Defender

• Estudo de caso do ransomware Microsoft Incident Response

Microsoft 365:

• Implantar proteção contra ransomware para seu locatário do Microsoft 365
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Recupere-se de um ataque de ransomware
• Proteção contra malware e ransomware
• Proteja o seu PC Windows 10 contra ransomware
• Lidar com ransomware no SharePoint Online
• Relatórios de análise de ameaças de ransomware no portal Microsoft Defender
• Aproveite a IA para se defender contra ransomware com o Microsoft Security Copilot

Microsoft Defender XDR:

• Encontre ransomware com caça avançada

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Plano de backup e restauração para proteger contra ransomware
• Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
• Recuperando-se do comprometimento sistêmico da identidade
• Deteção avançada de ataques em várias fases no Microsoft Sentinel
• Fusion Detection para Ransomware no Microsoft Sentinel

Aplicativos do Microsoft Defender para nuvem:

• Criar políticas de deteção de anomalias no Defender for Cloud Apps