Detección y respuesta a ataques de ransomware

Hay varios desencadenadores potenciales que pueden indicar un incidente de ransomware. A diferencia de muchos otros tipos de malware, la mayoría serán desencadenadores de mayor confianza (donde es necesario realizar poca investigación o análisis adicionales antes de la declaración de un incidente) en lugar de desencadenadores de confianza inferior (donde probablemente se requiera más investigación o análisis antes de declarar un incidente).

En general, estas infecciones son evidentes por el comportamiento básico del sistema, la ausencia de archivos clave del sistema o de usuario y la demanda de rescate. En este caso, el analista debe considerar si debe declarar y remitir inmediatamente el incidente, incluida la toma de medidas automatizadas para mitigar el ataque.

Detección de ataques de ransomware

Microsoft Defender for Cloud proporciona funcionalidades de detección y respuesta de amenazas de alta calidad, también denominada detección y respuesta extendidas (XDR).

Garantice una rápida detección y corrección de ataques comunes en máquinas virtuales, instancias de SQL Server, aplicaciones web e identidades.

• Priorizar puntos de entrada comunes: los operadores ransomware (y otros) favorecen punto de conexión/ correo electrónico/identidad + protocolo de escritorio remoto (RDP)
  • XDR integrada: use herramientas integradas de detección y respuesta extendidas (XDR) como Microsoft Defender for Cloud para proporcionar alertas de alta calidad y minimizar la fricción y los pasos manuales durante la respuesta.
  • Fuerza bruta: supervise los intentos de fuerza bruta, como la difusión de contraseñas.
• Supervisión de la deshabilitación de la seguridad de adversarios , ya que esto suele formar parte de la cadena de ataques de Ransomware operado por humanos (HumOR)
  • Borrado de registros de eventos: especialmente el registro de eventos de seguridad y los registros operativos de PowerShell.
  • Deshabilitación de herramientas y controles de seguridad: (asociados con algunos grupos).
• No omitir malware de mercancías: los atacantes de ransomware compran periódicamente acceso a las organizaciones objetivo en los mercados ocultos.
• Integración de profesionales externos: en los procesos para complementarlos, como el Equipo de detección y respuesta de Microsoft (DART).
• Aislar rápidamente: los equipos en riesgo mediante Defender for EndPoint en la implementación local.

Respuesta a ataques de ransomware

Declaración de incidentes

Una vez confirmada una infección de ransomware, el analista debe comprobar que representa un nuevo incidente o si puede estar relacionado con un incidente existente. Busque vales abiertos actualmente que indiquen incidentes similares. Si es así, actualice el vale de incidente actual con nueva información en el sistema de vales. Si se trata de un incidente nuevo, se debe declarar un incidente en el sistema de vales pertinente y remitirse a los equipos o proveedores adecuados para contener y mitigar el incidente. Tenga en cuenta que la administración de incidentes de ransomware puede requerir acciones realizadas por varios equipos de TI y de seguridad. Siempre que sea posible, asegúrese de que el vale está identificado claramente como un incidente de ransomware para guiar el flujo de trabajo.

Contención y mitigación

En general, se deben configurar varias soluciones antimalware de servidor o punto de conexión, antimalware de correo electrónico y protección de red para que contengan y mitiguen automáticamente el ransomware conocido. Sin embargo, puede haber casos en los que la variante de ransomware específica haya podido omitir dichas protecciones e infectar los sistemas de destino.

Microsoft proporciona amplios recursos para ayudar a actualizar los procesos de respuesta a incidentes en los Principales procedimientos recomendados de seguridad de Azure.

Las siguientes son acciones recomendadas para contener o mitigar un incidente declarado que implica ransomware en el que las acciones automatizadas realizadas por los sistemas antimalware no han sido correctas:

1. Participación de proveedores de antimalware a través de procesos de soporte técnico estándar
2. Adición manual de hashes y otra información asociada con malware a sistemas antimalware
3. Aplicación de actualizaciones de proveedores de antimalware
4. Contención de sistemas afectados hasta que se puedan corregir
5. Deshabilitación de cuentas en riesgo
6. Realización del análisis de la causa principal
7. Aplicación de revisiones y cambios de configuración pertinentes en los sistemas afectados
8. Bloqueo de las comunicaciones de ransomware mediante controles internos y externos
9. Purga del contenido almacenado en caché

Camino a la recuperación

El Equipo de detección y respuesta de Microsoft le ayudará a protegerse frente a ataques

Comprender y corregir los problemas de seguridad fundamentales que condujeron al riesgo en primer lugar debe ser una prioridad para las víctimas de ransomware.

Integrar profesionales externos en los procesos para complementarlos, como el Equipo de detección y respuesta de Microsoft (DART). DART se relaciona con clientes de todo el mundo para ayudarles a protegerse y afirmarse contra los ataques antes de que se produzcan, así como a investigar y corregir cuando se un ataque ha tenido lugar.

Los clientes pueden interactuar con nuestros expertos en seguridad directamente desde el Portal de Microsoft Defender para obtener una respuesta oportuna y precisa. Los expertos proporcionan la información necesaria para comprender mejor las amenazas complejas que afectan a su organización, desde las consultas de alertas, los dispositivos potencialmente en riesgo y la causa principal de una conexión de red sospechosa, hasta la inteligencia adicional sobre amenazas relativa a las campañas en curso de amenazas persistentes avanzadas.

Microsoft está listo para ayudar a su empresa a volver a operaciones seguras.

Microsoft realiza cientos de recuperaciones de situaciones en peligro con una metodología de eficacia probada. No solo le situará a una posición más segura, sino que le ofrece la oportunidad de considerar su estrategia a largo plazo en lugar de reaccionar ante las situaciones.

Microsoft brinda servicios de recuperación rápida de ransomware. En este sentido, se proporciona asistencia en todas las áreas, como la restauración de los servicios de identidad, la corrección y protección, y con la implementación de supervisión para ayudar a las víctimas de ataques de ransomware a volver a la actividad normal en el menor período de tiempo posible.

Nuestros servicios de recuperación rápida de ransomware se tratan como "confidenciales" mientras dure la interacción. Los compromisos rápidos de recuperación de ransomware se entregan exclusivamente por el equipo de La práctica de seguridad de la recuperación en peligro (CRSP), parte del dominio de la nube y la inteligencia artificial de Azure. Para más información, puede ponerse en contacto con CRSP en Solicitud de contacto sobre la seguridad de Azure.

Pasos siguientes

Consulte las notas del producto: Defensas de Azure para los ataques de ransomware.

Otros artículos de esta serie:

• Protección contra ransomware en Azure
• Preparación frente a un ataque por ransomware
• Características y recursos de Azure que le ayudan a proteger, detectar y responder