Обнаружение атак программ-шантажистов и реагирование на них

Существует несколько потенциальных триггеров, которые могут указывать на инцидент программы-шантажистов. В отличие от многих других типов вредоносных программ, большинство из них являются триггерами с более высокой степенью достоверности (где требуется небольшое дополнительное исследование или анализ до объявления инцидента), в отличие от триггеров с невысокой степенью достоверности (где требуется детальное исследование или анализ, прежде чем будет объявлен инцидент).

В целом, такие заражения очевидны по базовому поведению системы, отсутствию ключевых файлов системы или файлов пользователей, а также требованию денежного выкупа. В этом случае аналитик должен решить, следует ли немедленно объявить и эскалировать инцидент, в том числе выполнить автоматические действия для предотвращения атаки.

Обнаружение атак программ-шантажистов

Microsoft Defender для облака предоставляет высококачественные возможности обнаружения угроз и реагирования на них, также называемые расширенным обнаружением и реагированием (XDR).

Обеспечьте быстрое обнаружение и исправление распространенных атак на виртуальные машины, серверы SQL, веб-приложения и удостоверения.

• Назначьте приоритеты распространенным точкам входа. Операторы программ-шантажистов (и других программ), предпочитают конечные точки, адреса электронной почты, удостоверения и протоколы удаленного рабочего стола (RDP).

  • Интегрированные средства XDR. Используйте интегрированные средства расширенного обнаружения и реагирования (XDR), такие как Microsoft Defender для облака, чтобы обеспечить высокое качество оповещений, а также свести к минимуму разногласия и выполнение операций вручную при реагировании;
  • Метод подбора. Выполняйте мониторинг на предмет попыток атак методом перебора, таких как распыление пароля.

• Мониторинг защиты от злоумышленника — так как это часто является частью цепочки атак с помощью программы-шантажистов (HumOR)

• Очистка журнала событий. Особенно журнала событий безопасности и рабочих журналов PowerShell;

  • Отключение средств и элементов управления системой безопасности (связанных с определенными группами).

• Не игнорируйте обычные вредоносные программы. Злоумышленники, использующие программы-шантажисты, регулярно покупают права доступа к целевым организациям на черных рынках.

• Интеграция внешних экспертов — в процессы для дополнения опыта, например группы реагирования на инциденты Майкрософт (ранее DART/CRSP).

• Быстро изолируйте скомпрометированные устройства с помощью Defender для конечной точки в локальном развертывании.

Реагирование на атаки программ-шантажистов

Объявление инцидента

После подтверждения успешной инфекции программ-шантажистов аналитик должен проверить, что это новый инцидент или может ли он быть связан с существующим инцидентом. Найдите открытые билеты, указывающие на аналогичные инциденты. Если найдете, обновите текущий запрос об инциденте новой информацией в системе отправки запросов. Если это новый инцидент, он должен быть объявлен в соответствующей системе отправки запросов и передан соответствующим командам или поставщикам для хранения и сдерживания инцидента. Помните, что управление инцидентами программ-шантажистов может потребовать действий, принятых несколькими ИТ-специалистами и группами безопасности. По возможности убедитесь, что в запросе четко указано, что это инцидент с программой-шантажистом для управления рабочим процессом.

Сдерживание и устранение рисков

Как правило, различные решения для защиты от вредоносных программ для серверов и конечных точек, защиты электронной почты и защиты сети должны быть настроены на автоматическое обнаружение и устранение известных программ-шантажистов. Однако могут возникнуть случаи, когда конкретный вариант программы-шантажистов смог обойти такие защиты и успешно заразить целевые системы.

Корпорация Майкрософт предоставляет обширные ресурсы, которые помогут вам обновить процессы реагирования на инциденты с помощью рекомендаций по обеспечению безопасности в Azure.

Ниже приведены рекомендуемые действия для сдерживания или устранения объявленного инцидента, связанного с программой-шантажистом, в случае, если автоматизированные действия, предпринятые системами защиты от вредоносных программ, не увенчались успехом:

1. Привлекайте поставщиков антивирусных программ через стандартные процессы поддержки.
2. Вручную добавляйте хэши и другую информацию, связанную с вредоносными программами, в системы защиты от вредоносных программ.
3. Применяйте обновления поставщиков антивредоносных программ.
4. Сдерживайте затронутые системы до тех пор, пока они не будут исправлены.
5. Отключите скомпрометированные учетные записи.
6. Выполните анализ первопричин.
7. Примените соответствующие исправления и изменения конфигурации в затронутых системах.
8. Блокируйте сообщения программ-шантажистов с помощью внутренних и внешних элементов управления.
9. Очистите кэшированное содержимое.

Пути восстановления

Команда Майкрософт по обнаружению и реагированию поможет защититься от атак.

Понимание и устранение основных проблем безопасности, которые привели к компрометации в первую очередь, должны быть приоритетом для целевых целей программ-шантажистов.

Интегрируйте внешних экспертов в процессы, чтобы дополнить опыт, например реагирование на инциденты Майкрософт. Реагирование на инциденты Майкрософт взаимодействует с клиентами по всему миру, помогая защищать и защищать от атак до их возникновения, а также исследовать и устранять ситуацию, когда произошла атака.

Клиенты могут привлечь наших экспертов по безопасности непосредственно на портале Microsoft Defender для своевременного и точного ответа. Эксперты предоставляют полезные сведения, необходимые для лучшего понимания сложных угроз, влияющих на вашу организацию, от запросов предупреждений, потенциально скомпрометированных устройств, основных причин подозрительного сетевого подключения до дополнительных сведений об угрозах, связанных с текущими кампаниями расширенных постоянных угроз.

Корпорация Майкрософт готова помочь вашей компании вернуться к безопасной работе.

Корпорация Майкрософт выполняет сотни операций восстановления и использует проверенную методологию. Это не только обеспечит вам более безопасное положение, но и даст возможность обдумать свою долгосрочную стратегию вместо реакций на отдельные ситуации.

Корпорация Майкрософт предоставляет услуги по быстрому восстановлению от атаки программой-шантажистом. В рамках этого помощь предоставляется во всех областях, таких как восстановление служб удостоверений, исправление и защита, а также мониторинг развертывания, чтобы помочь целевым объектам атак программ-шантажистов вернуться к нормальному бизнесу в кратчайшие сроки.

Наши услуги по быстрому восстановлению от атак программ-шантажистов рассматриваются как "конфиденциальные" в течение всего срока действия соглашения. Службы быстрого восстановления программ-шантажистов предоставляются исключительно командой компрометации безопасности восстановления (CRSP), частью домена Azure Cloud и AI. Дополнительные сведения можно получить, обратившись к команде CRSP на странице Запрос контактных данных о безопасности Azure.

Дальнейшие действия

См.: Технический документ по защите Azure от атак программ-шантажистов.

Другие статьи в этой серии:

• Защита от программ-шантажистов в Azure
• Подготовка к атаке программ-шантажистов
• Функции и ресурсы Azure, помогающие обеспечить защиту, обнаруживать атаки и реагировать на них