Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ransomware-Vorfälle sind in der Regel mit unterschiedlichen Warnzeichen vorhanden, die Sicherheitsteams identifizieren können. Im Gegensatz zu anderen Malware-Typen erzeugt Ransomware in der Regel sehr offensichtliche Indikatoren, die eine minimale Untersuchung erfordern, bevor sie einen Vorfall deklarieren. Diese besonders vertrauenswürdigen Trigger stehen im Gegensatz zu subtileren Bedrohungen, die vor der Eskalation umfangreiche Analysen erfordern würden. Wenn Ransomware schlägt, ist der Beweis oft unverkennbar.
Im Allgemeinen sind solche Infektionen offensichtlich vom grundlegenden Systemverhalten, dem Fehlen von Schlüsselsystem- oder Benutzerdateien und der Nachfrage nach Lösegeld. In solchen Fällen sollte der Analyst überlegen, ob der Vorfall sofort deklariert und eskaliert werden soll, einschließlich automatisierter Aktionen zur Entschärfung des Angriffs.
Erkennen von Ransomware-Angriffen
Microsoft Defender für Cloud bietet hochwertige Funktionen zur Erkennung von Bedrohungen und Reaktion darauf, die auch als erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bezeichnet werden.
Gewährleisten Sie eine schnelle Erkennung und Behebung gängiger Angriffe auf VMs, SQL-Server, Webanwendungen und Identität.
Priorisieren üblicher Einstiegspunkte: Ransomware-Betreiber (und andere Angreifer) bevorzugen Endpunkte/E-Mails/Identitäten und das Remotedesktopprotokoll (RDP).
- Integriertes XDR-Tool: Verwenden Sie integrierte Tools für erweiterte Erkennung und Reaktion (XDR), z. B. Microsoft Defender für Cloud, um hochwertige Warnungen bereitzustellen sowie Probleme und manuelle Schritte bei der Reaktion zu minimieren.
- Brute Force: Überwachen Sie auf Brute-Force-Versuche wie Kennwort-Spray.
Überwachen auf Deaktivierung von Sicherheitsfunktionen durch Angreifer: Häufig Teil einer Angriffskette durch eine von Menschen platzierte Ransomware (Human Operated Ransomware, HumOR)
Löschen von Ereignisprotokollen: Dies betrifft insbesondere das Sicherheitsereignisprotokoll und PowerShell-Betriebsprotokolle.
- Deaktivieren von Sicherheitstools/-kontrollen (im Zusammenhang mit einigen Gruppen).
Kein Ignorieren von Standardschadsoftware: Ransomware-Angreifer erwerben regelmäßig Zugriff auf Zielorganisationen über Darknet-Märkte.
Integrieren Sie externe Experten in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Incident Response-Team (vormals DART/CRSP).
Schnelles Isolieren kompromittierter Geräte mithilfe von Defender für Endpunkt in einer lokalen Bereitstellung.
Reagieren auf Ransomware-Angriffe
Vorfalldeklaration
Sobald eine erfolgreiche Ransomware-Infektion bestätigt wurde, sollte der Analyst überprüfen, ob er einen neuen Vorfall darstellt oder ob es mit einem vorhandenen Vorfall verbunden sein könnte. Suchen Sie nach derzeit offenen Tickets, die auf ähnliche Vorfälle hinweisen. Wenn das der Fall ist, aktualisieren Sie das aktuelle Störungsticket, indem Sie die neuen Informationen in das Ticketsystem einpflegen. Wenn es sich um einen neuen Vorfall handelt, sollte ein Vorfall im entsprechenden Ticketingsystem deklariert und an die entsprechenden Teams oder Anbieter eskaliert werden, um den Vorfall einzudämmen und zu mindern. Beachten Sie, dass für die Verwaltung von Ransomware-Vorfällen möglicherweise Aktionen von mehreren IT- und Sicherheitsteams erforderlich sind. Stellen Sie nach Möglichkeit sicher, dass das Ticket eindeutig als Ransomware-Vorfall gekennzeichnet ist, um den Workflow zu lenken.
Eindämmung/Minderung
Im Allgemeinen sollten verschiedene Server-/Endpunkt-Anti-Malware-, E-Mail-Antischadsoftware- und Netzwerkschutzlösungen so konfiguriert werden, dass sie bekannte Ransomware automatisch enthalten und entschärfen. Es kann jedoch Fälle geben, in denen die spezifische Ransomware-Variante solche Schutzmaßnahmen umgehen und Zielsysteme erfolgreich infizieren kann.
Microsoft stellt umfangreiche Ressourcen zur Verfügung, mit denen Ihre Prozesse zur Reaktion auf Vorfälle auf Grundlage der wichtigsten bewährten Methoden für die Azure-Sicherheit aktualisiert werden können.
Im Folgenden werden empfohlene Aktionen empfohlen, um einen deklarierten Vorfall mit Ransomware einzudämmen oder zu entschärfen, bei dem automatisierte Aktionen von Antischadsoftwaresystemen nicht erfolgreich sind:
- Binden Sie Antivirenanbieter durch Standardsupportprozesse ein.
- Manuelles Hinzufügen von Hashes und anderen Mit Schadsoftware verbundenen Informationen zu Antischadsoftwaresystemen
- Anwenden von Updates von Antischadsoftwareanbietern
- Eindämmen betroffener Systeme, bis Abhilfemaßnahmen ergriffen werden können
- Deaktivieren kompromittierter Konten
- Ausführen einer Fehlerursachenanalyse
- Anwenden relevanter Patches und Konfigurationsänderungen auf betroffenen Systemen
- Blockieren der Ransomware-Kommunikation mithilfe interner und externer Kontrollen
- Löschen zwischengespeicherter Inhalte
Weg zur Genesung
Das Microsoft Detection and Response Team schützt Sie vor Angriffen
Das Verstehen und Beheben der grundlegenden Sicherheitsprobleme, die zur Kompromittierung geführt haben, sollte für Opfer von Ransomware Priorität haben.
Integrieren Sie externe Experten in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Incident Response-Team. Microsoft Incident Response arbeitet mit Kunden auf der ganzen Welt zusammen und hilft ihnen, sich vor Angriffen zu schützen und diese abzuwehren, bevor sie auftreten, und untersucht und behebt bereits erfolgte Angriffe.
Kunden können unsere Sicherheitsexperten direkt über das Microsoft Defender-Portal kontaktieren, um rechtzeitig und präzise reagieren zu können. Experten bieten Einblicke, die erforderlich sind, um die komplexen Bedrohungen, die sich auf Ihre Organisation auswirken, besser zu verstehen. Dies reicht von Anfragen zu Warnungen, potenziell kompromittierten Geräten und der zugrunde liegenden Ursache einer verdächtigen Netzwerkverbindung bis hin zu zusätzlichen Threat Intelligence-Informationen zu laufenden Kampagnen für erweiterte persistente Bedrohungen.
Microsoft kann Ihr Unternehmen bei der Rückkehr zu einem sicheren Betrieb unterstützen.
Microsoft führt Hunderte von Wiederherstellungen kompromittierter Systeme durch und verfügt über eine bewährte Methodik. Dadurch werden Sie nicht nur in eine sicherere Position versetzt, sondern Sie haben auch die Möglichkeit, Ihre langfristige Strategie zu überdenken, anstatt nur auf die Situation zu reagieren.
Microsoft bietet Rapid Ransomware Recovery-Dienste. Dabei wird Unterstützung in allen Bereichen geboten, z. B. die Wiederherstellung von Identitätsdiensten, Korrektur und Härtung sowie die Überwachung der Bereitstellung, um Opfer von Ransomware-Angriffen dabei zu unterstützen, in kürzester Zeit zum normalen Geschäftsbetrieb zurückzukehren.
Unsere Rapid Ransomware Recovery-Dienste werden für die Dauer der Inanspruchnahme als „Vertraulich“ behandelt. Rapid Ransomware Recovery-Projekte werden ausschließlich vom CRSP-Team (Compromise Recovery Security Practice) bereitgestellt, das Teil von Azure Cloud und KI ist. Wenn Sie weitere Informationen wünschen, können Sie sich unter Kontakt zur Azure-Sicherheit anfordern an das CRSP-Team wenden.
Nächste Schritte
Weitere Informationen finden Sie im Whitepaper zu Azure-Abwehrmechanismen für Ransomware-Angriffe.
Weitere Artikel in dieser Reihe: