Erkennen von und Reagieren auf Ransomware-Angriffe

Es gibt mehrere potenzielle Auslöser, die auf einen Ransomware-Vorfall hinweisen können. Im Gegensatz zu vielen anderen Arten von Schadsoftware handelt es sich bei den meisten um Auslöser mit höherer Zuverlässigkeit (bei denen vor der Deklaration eines Vorfalls kaum zusätzliche Untersuchungen oder Analysen erforderlich sein dürften) und nicht um Auslöser mit geringerer Zuverlässigkeit (bei denen vor der Deklaration eines Vorfalls wahrscheinlich weitere Untersuchungen oder Analysen erforderlich sind).

Im Allgemeinen fallen solche Angriffe durch das grundlegende Systemverhalten, das Fehlen wichtiger System- oder Benutzerdateien und eine Forderung nach Lösegeld auf. In diesem Fall sollte der Analyst überlegen, ob der Vorfall sofort deklariert und eskaliert werden soll und auch automatisierte Aktionen zur Abschwächung des Angriffs ergriffen werden sollen.

Erkennen von Ransomware-Angriffen

Microsoft Defender für Cloud bietet hochwertige Funktionen zur Erkennung von Bedrohungen und Reaktion darauf, die auch als erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bezeichnet werden.

Gewährleisten Sie eine schnelle Erkennung und Behebung gängiger Angriffe auf VMs, SQL-Server, Webanwendungen und Identität.

• Priorisieren allgemeiner Einstiegspunkte – Ransomware (und andere) Operatoren bevorzugen Endpunkt/E-Mail/Identität + Remotedesktopprotokoll (RDP)
  • Integriertes XDR-Tool: Verwenden Sie integrierte Tools für erweiterte Erkennung und Reaktion (XDR), z. B. Microsoft Defender für Cloud, um hochwertige Warnungen bereitzustellen sowie Probleme und manuelle Schritte bei der Reaktion zu minimieren.
  • Brute Force: Überwachen Sie auf Brute-Force-Versuche wie Kennwort-Spray.
• Überwachen sie auf Die Sicherheit von Angreifern – da dies oft Teil der Human Operated Ransomware (HumOR) Angriffskette ist
  • Löschen von Ereignisprotokollen: Dies betrifft insbesondere das Sicherheitsereignisprotokoll und PowerShell-Betriebsprotokolle.
  • Deaktivieren von Sicherheitstools/-kontrollen (im Zusammenhang mit einigen Gruppen).
• Kein Ignorieren von Standardschadsoftware: Ransomware-Angreifer erwerben regelmäßig Zugriff auf Zielorganisationen über Darknet-Märkte.
• Integrieren externer Experten: Integrieren Sie diese in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Detection and Response Team (DART).
• Schnelles Isolieren kompromittierter Computer mithilfe von Defender für Endpunkt in einer lokalen Bereitstellung.

Reagieren auf Ransomware-Angriffe

Vorfalldeklaration

Sobald ein erfolgreicher Ransomware-Angriff bestätigt wurde, sollte der Analyst überprüfen, ob es sich um einen neuen Vorfall handelt oder ob dieser mit einem vorhandenen Vorfall zusammenhängt. Suchen Sie nach derzeit offenen Tickets, die auf ähnliche Vorfälle hinweisen. Wenn das der Fall ist, aktualisieren Sie das aktuelle Vorfallsticket mit neuen Informationen im Ticketsystem. Wenn es sich um einen neuen Vorfall handelt, sollte er im entsprechenden Ticketsystem deklariert und an die jeweiligen Teams oder Anbieter eskaliert werden, damit der Vorfall eingedämmt und gemindert wird. Beachten Sie, dass für die Verwaltung von Ransomware-Vorfällen möglicherweise Aktionen von mehreren IT- und Sicherheitsteams erforderlich sind. Stellen Sie nach Möglichkeit sicher, dass das Ticket eindeutig als Ransomware-Vorfall gekennzeichnet ist, um den Workflow zu lenken.

Eindämmung/Minderung

Im Allgemeinen sollten verschiedene Lösungen für Server-/Endpunkt-Antischadsoftware, E-Mail-Antischadsoftware und Netzwerkschutz so konfiguriert werden, dass bekannte Ransomware automatisch eingedämmt und abgeschwächt wird. Es kann jedoch Fälle geben, in denen die spezifische Ransomware-Variante solche Schutzmaßnahmen umgehen und Zielsysteme erfolgreich angreifen konnte.

Microsoft stellt umfangreiche Ressourcen zur Verfügung, mit denen Ihre Prozesse zur Reaktion auf Vorfälle auf Grundlage der wichtigsten bewährten Methoden für die Azure-Sicherheit aktualisiert werden können.

Nachfolgend sind empfohlene Aktionen zum Eindämmen oder Abschwächen eines deklarierten Vorfalls im Zusammenhang mit Ransomware aufgeführt, bei der automatisierte Aktionen, die von Antischadsoftwaresystemen ausgeführt wurden, nicht erfolgreich waren:

1. Einbinden der Anbieter von Antischadsoftware über Standardsupportprozesse
2. Manuelles Hinzufügen von Hashes und anderen Informationen, die im Zusammenhang mit Schadsoftware stehen, zu Antischadsoftwaresystemen
3. Anwenden von Updates der Anbieter von Antischadsoftware
4. Eindämmen betroffener Systeme, bis Abhilfemaßnahmen ergriffen werden können
5. Deaktivieren kompromittierter Konten
6. Ausführen einer Fehlerursachenanalyse
7. Anwenden relevanter Patches und Konfigurationsänderungen auf betroffenen Systemen
8. Blockieren der Ransomware-Kommunikation mithilfe interner und externer Kontrollen
9. Löschen zwischengespeicherter Inhalte

Wiederherstellung

Das Microsoft Detection and Response Team hilft Ihnen beim Schutz vor Angriffen.

Das Verstehen und Beheben der grundlegenden Sicherheitsprobleme, die zur Kompromittierung geführt haben, sollte für Opfer von Ransomware Priorität haben.

Integrieren Sie externe Experten in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Detection and Response Team (DART). Das DART arbeitet mit Kunden auf der ganzen Welt zusammen und hilft ihnen, sich vor Angriffen zu schützen und diese abzuwehren, bevor sie auftreten, und untersucht und behebt sie, wenn ein Angriff erfolgt ist.

Kunden können unsere Sicherheitsexperten direkt im Microsoft Defender-Portal für eine zeitnahe und genaue Reaktion einbinden. Experten bieten Einblicke, die erforderlich sind, um die komplexen Bedrohungen, die sich auf Ihre Organisation auswirken, besser zu verstehen. Dies reicht von Anfragen zu Warnungen, potenziell kompromittierten Geräten und der zugrunde liegenden Ursache einer verdächtigen Netzwerkverbindung bis hin zu zusätzlichen Threat Intelligence-Informationen zu laufenden Kampagnen für erweiterte persistente Bedrohungen.

Microsoft kann Ihr Unternehmen bei der Rückkehr zu einem sicheren Betrieb unterstützen.

Microsoft führt Hunderte von Wiederherstellungen kompromittierter Systeme durch und verfügt über eine bewährte Methodik. Dadurch werden Sie nicht nur in eine sicherere Position versetzt, sondern Sie haben auch die Möglichkeit, Ihre langfristige Strategie zu überdenken, anstatt nur auf die Situation zu reagieren.

Microsoft bietet Rapid Ransomware Recovery-Dienste. Dabei wird Unterstützung in allen Bereichen geboten, z. B. die Wiederherstellung von Identitätsdiensten, Korrektur und Härtung sowie die Überwachung der Bereitstellung, um Opfer von Ransomware-Angriffen dabei zu unterstützen, in kürzester Zeit zum normalen Geschäftsbetrieb zurückzukehren.

Unsere Rapid Ransomware Recovery-Dienste werden für die Dauer der Inanspruchnahme als „Vertraulich“ behandelt. Rapid Ransomware Recovery Engagements werden ausschließlich vom Compromise Recovery Security Practice (CRSP)-Team bereitgestellt, Teil des Azure Cloud & AI Do Standard. Wenn Sie weitere Informationen wünschen, können Sie sich unter Kontakt zur Azure-Sicherheit anfordern an das CRSP-Team wenden.

Nächste Schritte

Weitere Informationen finden Sie im Whitepaper zu Azure-Abwehrmechanismen für Ransomware-Angriffe.

Weitere Artikel in dieser Reihe:

• Schutz vor Ransomware in Azure
• Vorbereiten auf einen Ransomware-Angriff
• Azure-Features und -Ressourcen für Schutz, Erkennung und Reaktion