Share via

Detetar e responder a ataques de ransomware

  • Artigo

Existem vários gatilhos potenciais que podem indicar um incidente de ransomware. Ao contrário de muitos outros tipos de malware, a maioria serão gatilhos de maior confiança (onde pouca investigação ou análise adicional deve ser exigida antes da declaração de um incidente) em vez de gatilhos de baixa confiança (onde mais investigação ou análise provavelmente seria necessária antes que um incidente deva ser declarado).

Em geral, tais infeções óbvias do comportamento básico do sistema, a ausência de sistema chave ou arquivos de usuário e a exigência de resgate. Neste caso, o analista deve considerar se deve declarar e escalar imediatamente o incidente, incluindo tomar quaisquer ações automatizadas para mitigar o ataque.

Detetar ataques de ransomware

O Microsoft Defender for Cloud oferece recursos de deteção e resposta a ameaças de alta qualidade, também chamados de XDR (Extended Detection and Response).

Garanta a rápida deteção e correção de ataques comuns a VMs, SQL Servers, aplicativos Web e identidade.

  • Priorize Pontos de Entrada Comuns – Os operadores de Ransomware (e outros) favorecem o Endpoint/Email/Identity + Remote Desktop Protocol (RDP)
    • XDR integrado - Use ferramentas XDR (Extended Detection and Response) integradas, como o Microsoft Defender for Cloud , para fornecer alertas de alta qualidade e minimizar o atrito e as etapas manuais durante a resposta
    • Força Bruta - Monitore tentativas de força bruta, como spray de senha
  • Monitore a desativação da segurança do adversário – pois isso geralmente faz parte da cadeia de ataque do Human Operated Ransomware (HumOR)
    • Limpeza de logs de eventos – especialmente o log de eventos de segurança e os logs operacionais do PowerShell
    • Desativação de ferramentas/controles de segurança (associados a alguns grupos)
  • Don't Ignore Commodity Malware - Os atacantes de ransomware compram regularmente acesso a organizações-alvo de mercados obscuros
  • Integre especialistas externos em processos para complementar a experiência, como a Equipe de Deteção e Resposta da Microsoft (DART).
  • Isole rapidamente computadores comprometidos usando o Defender for Endpoint na implantação local.

Responder a ataques de ransomware

Declaração de incidente

Uma vez confirmada uma infeção ransomware bem-sucedida, o analista deve verificar se isso representa um novo incidente ou se pode estar relacionado a um incidente existente. Procure bilhetes atualmente abertos que indiquem incidentes semelhantes. Em caso afirmativo, atualize o ticket de incidente atual com novas informações no sistema de bilhetagem. Se se tratar de um incidente novo, um incidente deve ser declarado no sistema de bilhética relevante e encaminhado para as equipas ou fornecedores adequados para conter e mitigar o incidente. Esteja ciente de que o gerenciamento de incidentes de ransomware pode exigir ações tomadas por várias equipes de TI e segurança. Sempre que possível, certifique-se de que o ticket é claramente identificado como um incidente de ransomware para orientar o fluxo de trabalho.

Contenção/Mitigação

Em geral, várias soluções antimalware de servidor/ponto final, antimalware de e-mail e proteção de rede devem ser configuradas para conter e mitigar automaticamente ransomware conhecido. Pode haver casos, no entanto, em que a variante específica do ransomware tenha sido capaz de contornar essas proteções e infetar com sucesso os sistemas alvo.

A Microsoft fornece recursos abrangentes para ajudar a atualizar seus processos de resposta a incidentes nas Principais Práticas Recomendadas de Segurança do Azure.

A seguir estão as ações recomendadas para conter ou mitigar um incidente declarado envolvendo ransomware onde as ações automatizadas tomadas pelos sistemas antimalware não foram bem-sucedidas:

  1. Envolva fornecedores de antimalware através de processos de suporte padrão
  2. Adicione manualmente hashes e outras informações associadas a malware a sistemas antimalware
  3. Aplicar atualizações do fornecedor de antimalware
  4. Conter os sistemas afetados até que possam ser remediados
  5. Desativar contas comprometidas
  6. Executar análise de causa raiz
  7. Aplicar patches e alterações de configuração relevantes nos sistemas afetados
  8. Bloqueie comunicações de ransomware usando controles internos e externos
  9. Limpar conteúdo armazenado em cache

Caminho para a recuperação

A Equipe de Deteção e Resposta da Microsoft ajudará a protegê-lo contra ataques

Compreender e corrigir os problemas de segurança fundamentais que levaram ao compromisso em primeiro lugar deve ser uma prioridade para as vítimas de ransomware.

Integre especialistas externos em processos para complementar a experiência, como a Equipe de Deteção e Resposta da Microsoft (DART). O DART se envolve com clientes em todo o mundo, ajudando a proteger e endurecer contra ataques antes que eles ocorram, bem como investigando e remediando quando um ataque ocorreu.

Os clientes podem contratar nossos especialistas em segurança diretamente do Portal do Microsoft Defender para obter uma resposta oportuna e precisa. Os especialistas fornecem as informações necessárias para entender melhor as ameaças complexas que afetam sua organização, desde consultas de alerta, dispositivos potencialmente comprometidos, causa raiz de uma conexão de rede suspeita até informações adicionais sobre ameaças em relação a campanhas avançadas de ameaças persistentes em andamento.

A Microsoft está pronta para ajudar a sua empresa a regressar a operações seguras.

A Microsoft realiza centenas de recuperações de comprometimento e tem uma metodologia testada e comprovada. Não só o levará a uma posição mais segura, como também lhe dará a oportunidade de considerar a sua estratégia a longo prazo, em vez de reagir à situação.

A Microsoft fornece serviços de Recuperação Rápida de Ransomware. Neste âmbito, é prestada assistência em todas as áreas, como o restabelecimento de serviços de identidade, a remediação e o endurecimento, e a implementação de monitorização para ajudar as vítimas de ataques de ransomware a regressarem à normalidade no mais curto espaço de tempo possível.

Nossos serviços de Recuperação Rápida de Ransomware são tratados como "Confidenciais" durante o contrato. Os compromissos de Recuperação Rápida de Ransomware são entregues exclusivamente pela equipe CRSP (Compromise Recovery Security Practice), parte do Azure Cloud & AI Domain. Para obter mais informações, você pode entrar em contato com o CRSP em Solicitar contato sobre a segurança do Azure.

O que se segue

Consulte o white paper: Azure defenses for ransomware attack whitepaper.

Outros artigos desta série: