Enfoque y procedimientos recomendados de Microsoft DART ransomware

El ransomware operado por personas no es un problema de software malintencionado, es un problema criminal humano. Las soluciones que se usan para abordar problemas de mercancías no son suficientes para evitar una amenaza que se parezca más estrechamente a un actor de amenazas del estado nacional que:

  • Deshabilita o desinstala el software antivirus antes de cifrar archivos
  • Deshabilita los servicios de seguridad y el registro para evitar la detección
  • Localiza y daña o elimina copias de seguridad antes de enviar una demanda de rescate

Estas acciones se realizan normalmente con programas legítimos que es posible que ya tenga en su entorno con fines administrativos. En manos criminales, estas herramientas se usan de forma malintencionada para llevar a cabo ataques.

Responder a la creciente amenaza de ransomware requiere una combinación de la configuración empresarial moderna, productos de seguridad actualizados y la vigilancia del personal de seguridad entrenado para detectar y responder a las amenazas antes de que se pierdan los datos.

El equipo de detección y respuesta de Microsoft (DART) responde a los riesgos de seguridad para ayudar a los clientes a volverse resistentes a los ciberdelincuentes. DART proporciona respuesta a incidentes reactivos in situ e investigaciones proactivas remotas. DART aprovecha las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.

En este artículo se describe cómo DART controla los ataques de ransomware para los clientes de Microsoft para que pueda considerar la posibilidad de aplicar elementos de su enfoque y procedimientos recomendados para su propio cuaderno de estrategias de operaciones de seguridad.

Consulte estas secciones para obtener los detalles:

Nota

Este contenido de artículo se deriva de la guía A para combatir ransomware operado por personas: Parte 1 y Una guía para combatir ransomware operado por humanos: Parte 2 del equipo de seguridad de Microsoft entradas de blog.

Cómo DART usa los servicios de seguridad de Microsoft

DART se basa en gran medida en los datos de todas las investigaciones y usa implementaciones existentes de servicios de seguridad de Microsoft, como Microsoft Defender para Office 365, Microsoft Defender para punto de conexión, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

Defender para punto de conexión

Defender para punto de conexión es la plataforma de seguridad de puntos de conexión empresariales de Microsoft diseñada para ayudar a los analistas de seguridad de red empresariales a evitar, detectar, investigar y responder a amenazas avanzadas. Defender para punto de conexión puede detectar ataques mediante análisis de comportamiento avanzado y aprendizaje automático. Los analistas pueden usar Defender para punto de conexión para el análisis de comportamiento del atacante.

Este es un ejemplo de una alerta en Microsoft Defender para punto de conexión para un ataque pass-the-ticket.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Los analistas también pueden realizar consultas de búsqueda avanzadas para dinamizar los indicadores de riesgo (IOC) o buscar un comportamiento conocido si identifican un grupo de actores de amenazas.

Este es un ejemplo de cómo se pueden usar las consultas de búsqueda avanzadas para localizar el comportamiento conocido del atacante.

An example of an advanced hunting query.

En Defender para punto de conexión, tiene acceso a un servicio de análisis y supervisión de nivel de experto en tiempo real por parte de expertos en amenazas de Microsoft para la actividad de actor sospechosa en curso. También puede colaborar con expertos a petición para obtener información adicional sobre alertas e incidentes.

Este es un ejemplo de cómo Defender para punto de conexión muestra la actividad de ransomware detallada.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

Puede usar Defender for Identity para investigar las cuentas en peligro conocidas y encontrar cuentas potencialmente comprometidas en su organización. Defender for Identity envía alertas para actividades malintencionadas conocidas que los actores suelen usar, como ataques DCSync, intentos de ejecución de código remoto y ataques pass-the-hash. Defender for Identity permite identificar la actividad sospechosa y las cuentas para restringir la investigación.

Este es un ejemplo de cómo Defender for Identity envía alertas para actividades malintencionadas conocidas relacionadas con ataques de ransomware.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender para aplicaciones en la nube

Defender for Cloud Apps (anteriormente conocido como Microsoft Defender for Cloud Apps) permite a los analistas detectar comportamientos inusuales en las aplicaciones en la nube para identificar ransomware, usuarios comprometidos o aplicaciones no autorizadas. Defender for Cloud Apps es la solución del agente de seguridad de acceso a la nube (CASB) de Microsoft que permite supervisar los servicios en la nube y el acceso a los datos en los servicios en la nube por parte de los usuarios.

Este es un ejemplo del panel de Defender for Cloud Apps, que permite que el análisis detecte un comportamiento inusual en las aplicaciones en la nube.

an example of the Defender for Cloud Apps dashboard.

Microsoft Secure Score

El conjunto de servicios de Microsoft 365 Defender proporciona recomendaciones de corrección en directo para reducir la superficie expuesta a ataques. La puntuación de seguridad de Microsoft es una medida de la posición de seguridad de una organización, con un número mayor que indica que se han realizado más acciones de mejora. Consulte la documentación de puntuación de seguridad para obtener más información sobre cómo su organización puede aprovechar esta característica para priorizar las acciones de corrección basadas en su entorno.

El enfoque dart para llevar a cabo investigaciones de incidentes de ransomware

Debe hacer todo lo posible para determinar cómo el adversario obtuvo acceso a los recursos para que se puedan corregir las vulnerabilidades. De lo contrario, es muy probable que el mismo tipo de ataque se produzca de nuevo en el futuro. En algunos casos, el actor de amenazas toma medidas para cubrir sus pistas y destruir pruebas, por lo que es posible que toda la cadena de eventos no sea evidente.

A continuación se muestran tres pasos clave en las investigaciones de ransomware DART:

Paso Objetivo Preguntas iniciales
1. Evaluar la situación actual Descripción del ámbito ¿Qué te hizo saber inicialmente de un ataque ransomware?

¿Qué hora y fecha ha aprendido por primera vez el incidente?

¿Qué registros están disponibles y hay alguna indicación de que el actor tiene acceso actualmente a los sistemas?
2. Identificar las aplicaciones de línea de negocio (LOB) afectadas Obtener sistemas en línea ¿La aplicación requiere una identidad?

¿Están disponibles las copias de seguridad de la aplicación, la configuración y los datos?

¿El contenido y la integridad de las copias de seguridad se comprueban periódicamente mediante un ejercicio de restauración?
3. Determinar el proceso de recuperación en peligro (CR) Eliminación del control del atacante del entorno N/D

Paso 1. Evaluación de la situación actual

Una evaluación de la situación actual es fundamental para comprender el ámbito del incidente y para determinar las mejores personas para ayudar y planear y definir el ámbito de las tareas de investigación y corrección. Hacer las siguientes preguntas iniciales es fundamental para ayudar a determinar la situación.

¿Qué te hizo saber inicialmente del ataque ransomware?

Si el personal de TI identificó la amenaza inicial( como la detección de copias de seguridad que se eliminan, alertas antivirus, alertas de puntos de conexión y respuesta (EDR) o cambios sospechosos del sistema, a menudo es posible tomar medidas decisivas rápidas para frustrar el ataque, normalmente deshabilitando todas las comunicaciones entrantes y salientes de Internet. Esto puede afectar temporalmente a las operaciones empresariales, pero esto normalmente sería mucho menos impactante que un adversario que implementa ransomware.

Si la amenaza se identificó mediante una llamada de usuario al departamento de soporte técnico de TI, puede haber suficiente advertencia previa para tomar medidas defensivas para evitar o minimizar los efectos del ataque. Si una entidad externa identificó la amenaza (como la aplicación de la ley o una institución financiera), es probable que el daño ya se haya hecho y verá evidencia en su entorno de que el actor de amenaza ya ha obtenido el control administrativo de la red. Esto puede oscilar entre las notas de ransomware, las pantallas bloqueadas o las demandas de rescate.

¿Qué fecha y hora ha aprendido por primera vez el incidente?

El establecimiento de la fecha y hora iniciales de la actividad es importante porque ayuda a restringir el ámbito de la evaluación de prioridades inicial para que el atacante gane rápidamente. Las preguntas adicionales pueden incluir:

  • ¿Qué actualizaciones faltaron en esa fecha? Esto es importante para comprender qué vulnerabilidades pueden haber sido explotadas por el adversario.
  • ¿Qué cuentas se usaron en esa fecha?
  • ¿Qué cuentas nuevas se han creado desde esa fecha?

¿Qué registros están disponibles y hay alguna indicación de que el actor accede actualmente a los sistemas?

Los registros( como antivirus, EDR y red privada virtual (VPN) son un indicador de riesgo sospechoso. Las preguntas de seguimiento pueden incluir:

  • ¿Se agregan registros en una solución de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, Splunk, ArcSight y otros? ¿Cuál es el período de retención de estos datos?
  • ¿Hay algún sistema sospechoso en peligro que experimente actividad inusual?
  • ¿Hay cuentas sospechosas en peligro que parezcan ser utilizadas activamente por el adversario?
  • ¿Hay alguna evidencia de controles y comandos activos (C2) en EDR, firewall, VPN, proxy web y otros registros?

Como parte de la evaluación de la situación actual, es posible que necesite un controlador de dominio de Active Directory Domain Services (AD DS) que no se haya puesto en peligro, una copia de seguridad reciente de un controlador de dominio o un controlador de dominio reciente que se desconecte para el mantenimiento o las actualizaciones. Determine también si se requería la autenticación multifactor (MFA) para todos los usuarios de la empresa y si se usó Azure Active Directory (Azure AD ).

Paso 2. Identificación de las aplicaciones loB que no están disponibles debido al incidente

Este paso es fundamental para averiguar la forma más rápida de poner en línea los sistemas mientras se obtienen las pruebas necesarias.

¿La aplicación requiere una identidad?

  • ¿Cómo se realiza la autenticación?
  • ¿Cómo se almacenan y administran las credenciales, como certificados o secretos?

¿Están disponibles las copias de seguridad probadas de la aplicación, la configuración y los datos?

  • ¿Se comprueba periódicamente el contenido y la integridad de las copias de seguridad mediante un ejercicio de restauración? Esto es especialmente importante después de los cambios de administración de la configuración o las actualizaciones de la versión.

Paso 3. Determinación del proceso de recuperación en peligro

Este paso puede ser necesario si ha determinado que el plano de control, que normalmente es AD DS, se ha puesto en peligro.

La investigación siempre debe tener un objetivo de proporcionar la salida que se alimenta directamente en el proceso de CR. CR es el proceso que quita el control del atacante de un entorno y aumenta tácticamente la posición de seguridad dentro de un período establecido. LA CR tiene lugar después de la infracción de seguridad. Para obtener más información sobre cr, lea el CRSP del equipo de prácticas de seguridad de microsoft Compromise Recovery : The emergency team fighting cyber attacks (El equipo de emergencia que lucha contra los ataques cibernéticos junto a los clientes ).

Una vez que haya recopilado las respuestas a las preguntas anteriores, puede crear una lista de tareas y asignar propietarios. Un factor clave en una interacción correcta con la respuesta a incidentes es una documentación exhaustiva y detallada de cada elemento de trabajo (como el propietario, el estado, los resultados, la fecha y la hora), lo que hace que la compilación de los resultados al final de la interacción sea un proceso sencillo.

Recomendaciones y procedimientos recomendados de DART

Estas son las recomendaciones de DART y los procedimientos recomendados para la contención y las actividades posteriores a los incidentes.

Containment

La contención solo puede ocurrir una vez que el análisis ha determinado lo que debe contenerse. En el caso de ransomware, el objetivo del adversario es obtener credenciales que permitan el control administrativo sobre un servidor de alta disponibilidad y luego implementar el ransomware. En algunos casos, el actor de amenazas identifica datos confidenciales y los filtra en una ubicación que controlan.

La recuperación táctica será única para el entorno, el sector y el nivel de experiencia de TI de su organización. Los pasos que se describen a continuación se recomiendan para los pasos de contención táctica y a corto plazo que puede realizar su organización. Para obtener más información sobre las instrucciones a largo plazo, consulte Protección del acceso con privilegios. Para obtener una visión completa del ransomware y la extorsión y cómo preparar y proteger su organización, consulte Ransomware operado por humanos.

Los siguientes pasos de contención se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenaza.

Paso 1: Evaluar el ámbito de la situación

  • ¿Qué cuentas de usuario se han puesto en peligro?
  • ¿Qué dispositivos se ven afectados?
  • ¿Qué aplicaciones se ven afectadas?

Paso 2: Conservar los sistemas existentes

  • Deshabilite todas las cuentas de usuario con privilegios excepto un pequeño número de cuentas usadas por los administradores para ayudar a restablecer la integridad de la infraestructura de AD DS. Si se cree que una cuenta de usuario está en peligro, deshabilítela inmediatamente.
  • Aísle los sistemas en peligro de la red, pero no los apague.
  • Aislar al menos un buen controlador de dominio conocido en cada dominio: dos son incluso mejores. Desconecte de la red o apague completamente. El objeto aquí es detener la propagación de ransomware a sistemas críticos: la identidad es entre los más vulnerables. Si todos los controladores de dominio son virtuales, asegúrese de que el sistema de la plataforma de virtualización y las unidades de datos se realicen copias de seguridad en medios externos sin conexión que no están conectados a la red, en caso de que la propia plataforma de virtualización esté en peligro.
  • Aísle los servidores de aplicaciones válidos críticos conocidos, por ejemplo, SAP, la base de datos de administración de configuración (CMDB), la facturación y los sistemas de contabilidad.

Estos dos pasos se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenaza. Deshabilite esos vectores de amenazas e intente encontrar un buen sistema conocido para aislarse de la red.

Otras acciones de contención táctica pueden incluir:

  • Restablezca la contraseña krbtgt, dos veces en sucesión rápida. Considere la posibilidad de usar un proceso con scripts y repetible. Este script le permite restablecer la contraseña de la cuenta krbtgt y las claves relacionadas, a la vez que minimiza la probabilidad de que la operación cause problemas de autenticación Kerberos. Para minimizar posibles problemas, la duración de krbtgt se puede reducir una o varias veces antes del primer restablecimiento de contraseña para que los dos restablecimientos se realicen rápidamente. Tenga en cuenta que todos los controladores de dominio que planea mantener en su entorno deben estar en línea.

  • Implemente una directiva de grupo en todos los dominios que impida el inicio de sesión con privilegios (administradores de dominio) en cualquier cosa, excepto en controladores de dominio y estaciones de trabajo solo administrativas con privilegios (si los hubiera).

  • Instale todas las actualizaciones de seguridad que faltan para los sistemas operativos y las aplicaciones. Cada actualización que falta es un posible vector de amenaza que los adversarios pueden identificar y aprovechar rápidamente. La administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión proporciona una manera sencilla de ver exactamente lo que falta, así como el posible impacto de las actualizaciones que faltan.

  • Compruebe que todas las aplicaciones externas, incluido el acceso VPN, están protegidas por la autenticación multifactor, preferiblemente mediante una aplicación de autenticación que se ejecuta en un dispositivo protegido.

  • En el caso de los dispositivos que no usan Defender para punto de conexión como software antivirus principal, ejecute un examen completo con Microsoft Safety Scanner en sistemas correctos conocidos aislados antes de volver a conectarlos a la red.

  • Para cualquier sistema operativo heredado, actualice a un sistema operativo compatible o retire estos dispositivos. Si estas opciones no están disponibles, tome todas las medidas posibles para aislar estos dispositivos, como el aislamiento de red/VLAN, las reglas de seguridad del protocolo de Internet (IPsec) y las restricciones de inicio de sesión, por lo que solo son accesibles para las aplicaciones por parte de los usuarios o dispositivos para proporcionar continuidad empresarial.

Las configuraciones más arriesgadas consisten en ejecutar sistemas críticos en sistemas operativos heredados antiguos como Windows NT 4.0 y aplicaciones, todo en hardware heredado. No solo son estos sistemas operativos y aplicaciones inseguros y vulnerables, si se produce un error en ese hardware, las copias de seguridad normalmente no se pueden restaurar en hardware moderno. A menos que el hardware heredado de reemplazo esté disponible, estas aplicaciones dejarán de funcionar. Considere la posibilidad de convertir estas aplicaciones para que se ejecuten en sistemas operativos y hardware actuales.

Actividades posteriores al incidente

DART recomienda implementar las siguientes recomendaciones de seguridad y procedimientos recomendados después de cada incidente.

  • Asegúrese de que se aplican procedimientos recomendados para las soluciones de correo electrónico y colaboración para que sea más difícil para los atacantes abusar de ellos, a la vez que permite a los usuarios internos acceder a contenido externo de forma sencilla y segura.

  • Siga los procedimientos recomendados de seguridad de Confianza cero para las soluciones de acceso remoto a los recursos internos de la organización.

  • A partir de los administradores de impacto crítico, siga los procedimientos recomendados para la seguridad de las cuentas, incluido el uso de la autenticación sin contraseña o MFA.

  • Implemente una estrategia completa para reducir el riesgo de riesgo de acceso con privilegios.

  • Implemente la protección de datos para bloquear las técnicas de ransomware y para confirmar la recuperación rápida y confiable de un ataque.

  • Revise los sistemas críticos. Compruebe la protección y las copias de seguridad contra la eliminación o el cifrado deliberados del atacante. Es importante que pruebe y valide periódicamente estas copias de seguridad.

  • Asegúrese de detectar y corregir rápidamente los ataques comunes en el punto de conexión, el correo electrónico y la identidad.

  • Descubra activamente y mejore continuamente la posición de seguridad de su entorno.

  • Actualice los procesos de la organización para administrar eventos de ransomware principales y simplificar la subcontratación para evitar la fricción.

PAM

El uso de PAM (anteriormente conocido como modelo de administración por niveles) mejora la posición de seguridad de Azure AD. Esto implica lo siguiente:

  • Dividir cuentas administrativas en un entorno "planeado", una cuenta para cada nivel, normalmente cuatro:

  • Plano de control (anteriormente nivel 0): administración de controladores de dominio y otros servicios de identidad cruciales, como Servicios de federación de Active Directory (ADFS) o Azure AD Connect. Esto también incluye aplicaciones de servidor que requieren permisos administrativos para AD DS, como Exchange Server.

  • Los dos aviones siguientes eran anteriormente de nivel 1:

    • Plano de administración: administración de recursos, supervisión y seguridad.

    • Plano de datos/carga de trabajo: aplicaciones y servidores de aplicaciones.

  • Los dos aviones siguientes eran anteriormente de nivel 2:

    • Acceso de usuario: derechos de acceso para usuarios (como cuentas).

    • Acceso a aplicaciones: derechos de acceso para aplicaciones.

  • Cada uno de estos planos tendrá una estación de trabajo administrativa independiente para cada plano y solo tendrá acceso a los sistemas de ese plano. Se denegará el acceso a otras cuentas de otros planos a las estaciones de trabajo y los servidores de los demás planos a través de asignaciones de derechos de usuario establecidas en esas máquinas.

El resultado neto de pam es que:

  • Una cuenta de usuario en peligro solo tendrá acceso al plano al que pertenece.

  • Las cuentas de usuario más confidenciales no iniciarán sesión en estaciones de trabajo y servidores con el nivel de seguridad de un plano inferior, lo que reduce el movimiento lateral.

VUELTAS

De forma predeterminada, Microsoft Windows y AD DS no tienen una administración centralizada de cuentas administrativas locales en estaciones de trabajo y servidores miembros. Esto suele dar lugar a una contraseña común que se asigna a todas estas cuentas locales o al menos en grupos de máquinas. Esto permite a los atacantes poner en peligro una cuenta de administrador local y, a continuación, usar esa cuenta para obtener acceso a otras estaciones de trabajo o servidores de la organización.

LaPS de Microsoft mitiga esto mediante una extensión del lado cliente de directiva de grupo que cambia la contraseña administrativa local a intervalos regulares en estaciones de trabajo y servidores según el conjunto de directivas. Cada una de estas contraseñas es diferente y se almacena como un atributo en el objeto de equipo de AD DS. Este atributo se puede recuperar de una aplicación cliente simple, en función de los permisos asignados a ese atributo.

LAPS requiere que el esquema de AD DS se extienda para permitir el atributo adicional, las plantillas de directiva de grupo LAPS que se van a instalar y una pequeña extensión del lado cliente que se va a instalar en cada estación de trabajo y servidor miembro para proporcionar la funcionalidad del lado cliente.

Puede obtener LAPS desde el Centro de descarga de Microsoft.

Cuadernos de estrategias de respuesta ante incidentes

Examine las instrucciones para identificar e investigar estos tipos de ataques:

Recursos de respuesta a incidentes

Recursos adicionales del ransomware

Información clave de Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Entradas de blog del equipo de seguridad de Microsoft: