Auf Ransomware-Angriffe reagieren

Hinweis

Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.

Wenn Sie vermuten, dass Sie unter einem Ransomware-Angriff waren oder gerade sind, richten Sie sofort eine sichere Kommunikation mit Ihrem Incident-Response-Team ein. Sie können die folgenden Reaktionsphasen ausführen, um den Angriff zu unterbrechen und den Schaden zu mindern:

• Untersuchung und Eindämmung
• Ausrottung und Wiederherstellung

Dieser Artikel enthält ein generalisiertes Playbook für die Reaktion auf Ransomware-Angriffe. Erwägen Sie, die in diesem Artikel beschriebenen Schritte und Aufgaben an Ihr eigenes Playbook für Sicherheitsvorgänge anzupassen. HINWEIS: Informationen zum Verhindern von Ransomware-Angriffen finden Sie unter Schnelle Bereitstellung von Ransomware-Präventionen.

Eindämmung

Eindämmung und Untersuchung sollten so gleichzeitig wie möglich erfolgen; Sie sollten sich jedoch darauf konzentrieren, schnell eine Eindämmung zu erreichen, damit Sie mehr Zeit für die Untersuchung haben. Diese Schritte helfen Ihnen, den Umfang des Angriffs zu bestimmen und ihn nur auf betroffene Entitäten wie Benutzerkonten und Geräte zu isolieren.

Schritt 1: Bewerten des Umfangs des Incidents

Führen Sie diese Liste mit Fragen und Aufgaben durch, um das Ausmaß des Angriffs zu ermitteln. Microsoft Defender XDR können eine konsolidierte Ansicht aller betroffenen oder gefährdeten Ressourcen bereitstellen, um Ihre Bewertung der Reaktion auf Vorfälle zu unterstützen. Weitere Informationen finden Sie unter Reaktion auf Vorfälle mit Microsoft Defender XDR. Sie können die Warnungen und die Beweisliste im Incident verwenden, um Folgendes zu ermitteln:

• Welche Benutzerkonten können kompromittiert werden?
  • Welche Konten wurden verwendet, um die Nutzlast zu übermitteln?
• Welche integrierten und ermittelten Geräte sind betroffen und wie?
  • Ursprungsgeräte
  • Betroffener Geräte
  • Verdächtige Geräte
• Identifizieren Sie jede Netzwerkkommunikation, die mit dem Incident verbunden ist.
• Welche Anwendungen sind betroffen?
• Welche Nutzlasten wurden verteilt?
• Wie kommuniziert der Angreifer mit den kompromittierten Geräten? (Netzwerkschutz muss aktiviert sein):
  • Wechseln Sie zur Seite Indikatoren , um einen Block für die IP-Adresse und URL hinzuzufügen (sofern Sie über diese Informationen verfügen).
• Was war das Nutzlast-Übermittlungsmedium?

Schritt 2: Beibehalten vorhandener Systeme

Führen Sie diese Liste von Aufgaben und Fragen durch, um vorhandene Systeme vor Angriffen zu schützen:

• Wenn Sie Über Onlinesicherungen verfügen, sollten Sie erwägen, das Sicherungssystem vom Netzwerk zu trennen, bis Sie sicher sind, dass der Angriff eingedämmt ist. Weitere Informationen finden Sie unter Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware | Microsoft-Dokumentation.
• Wenn Sie eine bevorstehende und aktive Ransomware-Bereitstellung erleben oder erwarten:
  • Setzen Sie privilegierte und lokale Konten aus, von denen Sie vermuten, dass sie Teil des Angriffs sind. Sie können dies über die Registerkarte Benutzer in den Eigenschaften des Incidents im Microsoft Defender Portal tun.
  • Beenden Sie alle Remoteanmeldungssitzungen.
  • Setzen Sie die kompromittierten Benutzerkontokennwörter zurück, und fordern Sie die Benutzer von kompromittierten Benutzerkonten auf, sich erneut anzumelden.
  • Führen Sie dies auch für Benutzerkonten aus, die möglicherweise kompromittiert werden.
  • Wenn freigegebene lokale Konten kompromittiert werden, bitten Sie Ihren IT-Administrator, eine Kennwortänderung für alle verfügbar gemachten Geräte zu erzwingen. Kusto-Beispielabfrage:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Für die Geräte, die noch nicht isoliert sind und nicht Teil der kritischen Infrastruktur sind:
  • Isolieren Sie kompromittierte Geräte aus dem Netzwerk, aber schließen Sie sie nicht ab.
  • Wenn Sie die Ursprungs- oder Spreadergeräte identifizieren, isolieren Sie diese zuerst.
• Behalten Sie kompromittierte Systeme für die Analyse bei.

Schritt 3: Verhindern der Ausbreitung

Verwenden Sie diese Liste, um zu verhindern, dass sich der Angriff auf weitere Entitäten ausbreitet.

• Wenn bei dem Angriff freigegebene lokale Konten verwendet werden, sollten Sie die Blockierung der Remotenutzung lokaler Konten in Betracht ziehen.
  • Kusto-Abfrage für alle Netzwerkanmeldungen, bei denen es sich um lokale Administratoren handelt:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Kusto-Abfrage für Nicht-RDP-Anmeldungen (realistischer für die meisten Netzwerke):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Quarantäne und Hinzufügen von Indikatoren für dateien, die infiziert sind.
• Stellen Sie sicher, dass Ihre Antivirenlösung im optimalen Schutzzustand konfiguriert ist. Für Microsoft Defender Antivirus umfasst dies Folgendes:
  • Echtzeitschutz ist aktiviert.
  • Manipulationsschutz ist aktiviert. Wählen Sie im Microsoft Defender-Portal Einstellungen > Endpunkte > Erweiterte Funktionen > Manipulationsschutz aus.
  • Regeln zur Verringerung der Angriffsfläche sind aktiviert.
  • Cloudschutz ist aktiviert.
• Deaktivieren Sie Exchange ActiveSync und OneDrive-Synchronisation.
  • Informationen zum Deaktivieren Exchange ActiveSync für ein Postfach finden Sie unter Deaktivieren von Exchange ActiveSync für Benutzer in Exchange Online.
  • Informationen zum Deaktivieren anderer Zugriffstypen auf ein Postfach finden Sie unter:
    • Aktivieren oder deaktivieren Sie MAPI für ein Postfach.
    • Aktivieren oder deaktivieren Sie den POP3- oder IMAP4-Zugriff für einen Benutzer.
  • Das Anhalten OneDrive-Synchronisation trägt dazu bei, dass Ihre Clouddaten nicht von potenziell infizierten Geräten aktualisiert werden. Weitere Informationen finden Sie unter Anhalten und Fortsetzen der Synchronisierung in OneDrive.
• Wenden Sie relevante Patches und Konfigurationsänderungen auf betroffenen Systemen an.
• Blockieren Sie die Kommunikation mit Ransomware mit internen und externen Kontrollen.
• Zwischengespeicherte Inhalte bereinigen

Untersuchung

Verwenden Sie diesen Abschnitt, um den Angriff zu untersuchen und Ihre Reaktion zu planen.

Bewerten Ihrer aktuellen Situation

• Was hat Sie ursprünglich auf den Ransomware-Angriff aufmerksam gemacht?
  • Wenn IT-Mitarbeiter die anfängliche Bedrohung erkannt haben – z. B. das Feststellen, dass Sicherungen gelöscht werden, Antivirenwarnungen, EDR-Warnungen (Endpoint Detection and Response) oder verdächtige Systemänderungen – ist es häufig möglich, schnell entscheidende Maßnahmen zu ergreifen, um den Angriff zu verhindern, in der Regel durch die in diesem Artikel beschriebenen Eindämmungsmaßnahmen.
• Welches Datum und welche Uhrzeit haben Sie zum ersten Mal von dem Vorfall erfahren?
  • Welche System- und Sicherheitsupdates wurden an diesem Datum nicht auf Geräten installiert? Dies ist wichtig, um zu verstehen, welche Sicherheitsrisiken möglicherweise genutzt wurden, damit sie auf anderen Geräten behoben werden können.
  • Welche Benutzerkonten wurden an diesem Datum verwendet?
  • Welche neuen Benutzerkonten wurden seit diesem Datum erstellt?
  • Welche Programme wurden hinzugefügt, um automatisch zu starten, wenn der Vorfall aufgetreten ist?
• Gibt es Hinweise darauf, dass der Angreifer derzeit auf Systeme zugreift?
  • Gibt es verdächtigte kompromittierte Systeme, bei denen ungewöhnliche Aktivitäten auftreten?
  • Gibt es mutmaßliche kompromittierte Konten, die vom Angreifer aktiv genutzt werden?
  • Gibt es Hinweise auf aktive C2-Server (Command-and-Control) in EDR, Firewall, VPN, Webproxy und anderen Protokollen?

Identifizieren sie den Ransomware-Prozess

• Suchen Sie mithilfe der erweiterten Suche nach dem identifizierten Prozess in den Prozesserstellungsereignissen auf anderen Geräten.

Suchen Nach verfügbar gemachten Anmeldeinformationen auf den infizierten Geräten

• Setzen Sie für Benutzerkonten, deren Anmeldeinformationen potenziell kompromittiert wurden, die Kontokennwörter zurück, und fordern Sie die Benutzer auf, sich erneut anzumelden.
• Die folgenden IOAs können auf laterale Verschiebung hinweisen:

Klicken Sie hier, um zu erweitern.

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender-Verstärker
• Von PARINACOTA verwendetes Netzwerkscantool
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Process Accesses Lsass
• Verdächtige Rundll32-Prozessausführung
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Verdächtige DLL-Registrierung durch odbcconf
• Verdächtige DPAPI-Aktivität
• Verdächtige Exchange-Prozessausführung
• Verdächtiger geplanter Taskstart
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Nicht vertrauenswürdige Anwendung öffnet eine RDP-Verbindung

Identifizieren der branchenspezifischen Apps, die aufgrund des Incidents nicht verfügbar sind

• Erfordert die App eine Identität?
  • Wie wird die Authentifizierung durchgeführt?
  • Wie werden Anmeldeinformationen wie Zertifikate oder Geheimnisse gespeichert und verwaltet?
• Sind ausgewertete Sicherungen der Anwendung, ihrer Konfiguration und ihrer Daten verfügbar?
• Bestimmen Sie Ihren kompromittanten Wiederherstellungsprozess.

Ausrottung und Wiederherstellung

Verwenden Sie diese Schritte, um die Bedrohung zu beseitigen und beschädigte Ressourcen wiederherzustellen.

Schritt 1: Überprüfen Ihrer Sicherungen

Wenn Sie Offlinesicherungen haben, können Sie die verschlüsselten Daten wahrscheinlich wiederherstellen, nachdem Sie die Ransomware-Nutzlast (Schadsoftware) aus Ihrer Umgebung entfernt haben und nachdem Sie überprüft haben, dass es keinen nicht autorisierten Zugriff in Ihrem Microsoft 365-Mandanten gibt.

Schritt 2: Hinzufügen von Indikatoren

Fügen Sie alle bekannten Kommunikationskanäle für Angreifer als Indikatoren hinzu, die in Firewalls, auf Ihren Proxyservern und auf Endpunkten blockiert sind.

Schritt 3: Zurücksetzen von kompromittierten Benutzern

Setzen Sie die Kennwörter aller bekannten kompromittierten Benutzerkonten zurück, und erfordern Sie eine neue Anmeldung.

• Ziehen Sie in Betracht, die Kennwörter für alle privilegierten Konten mit umfassender Administratorberechtigung zurückzusetzen, z. B. für die Mitglieder der Gruppe "Domänen-Admins".
• Wenn ein Benutzerkonto möglicherweise von einem Angreifer erstellt wurde, deaktivieren Sie das Konto. Löschen Sie das Konto nur, wenn keine Sicherheitsforensik für den Vorfall geplant ist.

Schritt 4: Isolieren von Angriffssteuerungspunkten

Isolieren Sie alle bekannten Angriffssteuerungspunkte innerhalb des Unternehmens vom Internet.

Schritt 5: Entfernen von Schadsoftware

Entfernen Sie die Schadsoftware von den betroffenen Geräten.

• Führen Sie einen vollständigen, aktuellen Antivirus-Scan auf allen verdächtigen Computern und Geräten aus, um die Nutzlast zu erkennen und zu entfernen, die mit der Ransomware verbunden ist.
• Vergessen Sie nicht, Geräte zu überprüfen, die Daten oder die Ziele zugeordneter Netzlaufwerke synchronisieren.

Schritt 6: Wiederherstellen von Dateien auf einem bereinigten Gerät

Stellen Sie Dateien auf einem bereinigten Gerät wieder her.

• Sie können den Dateiverlauf in Windows 11, Windows 10, Windows 8.1 und Systemschutz in Windows 7 verwenden, um zu versuchen, Ihre lokalen Dateien und Ordner wiederherzustellen.

Schritt 7: Wiederherstellen von Dateien in OneDrive for Business

Stellen Sie Dateien in OneDrive for Business wieder her.

• Mit der Dateiwiederherstellung in OneDrive for Business können Sie ein gesamtes OneDrive innerhalb der letzten 30 Tage auf einen früheren Zeitpunkt wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellen Ihres OneDrive.

Schritt 8: Wiederherstellen gelöschter E-Mails

Wiederherstellen gelöschter E-Mails.

• In dem seltenen Fall, dass die Ransomware alle E-Mails in einem Postfach gelöscht hat, können Sie die gelöschten Elemente wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellen gelöschter Nachrichten im Postfach eines Benutzers in Exchange Online.

Schritt 9: Erneutes Aktivieren von Exchange ActiveSync und OneDrive-Synchronisation

• Nachdem Sie Ihre Computer und Geräte bereinigt und die Daten wiederhergestellt haben, können Sie Exchange ActiveSync und OneDrive-Synchronisation, die Sie zuvor in Schritt 3 der Eindämmung deaktiviert haben, erneut aktivieren.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.