Detección y respuesta a ataques de ransomware
Hay varios desencadenadores potenciales que podrían indicar un incidente de ransomware. A diferencia de muchos otros tipos de malware, la mayoría serán desencadenadores de mayor confianza (donde es necesario realizar poca investigación o análisis adicionales antes de la declaración de un incidente) en lugar de desencadenadores de confianza inferior (donde probablemente se requiera más investigación o análisis antes de declarar un incidente).
En general, estas infecciones son evidentes por el comportamiento básico del sistema, la ausencia de archivos clave del sistema o de usuario y la demanda de rescate. En este caso, el analista debe considerar si debe declarar y remitir inmediatamente el incidente, incluida la toma de medidas automatizadas para mitigar el ataque.
Detección de ataques de ransomware
Microsoft Defender for Cloud proporciona funcionalidades de detección y respuesta de amenazas de alta calidad, también denominada detección y respuesta extendidas (XDR).
Garantice una rápida detección y corrección de ataques comunes en máquinas virtuales, instancias de SQL Server, aplicaciones web e identidades.
Priorización de puntos de entrada comunes: los operadores de ransomware (y otros) favorecen el punto de conexión/correo electrónico/identidad + Protocolo de escritorio remoto (RDP)
- XDR integrada: use herramientas integradas de detección y respuesta extendidas (XDR) como Microsoft Defender for Cloud para proporcionar alertas de alta calidad y minimizar la fricción y los pasos manuales durante la respuesta.
- Fuerza bruta: supervise los intentos de fuerza bruta, como la difusión de contraseñas.
Monitor para deshabilitar la seguridad de los adversarios, ya que esto suele formar parte de la cadena de ataques Ransomware operado por humanos (HumOR)
Borrado de registros de eventos: especialmente el registro de eventos de seguridad y los registros operativos de PowerShell.
- Deshabilitación de herramientas y controles de seguridad: (asociados con algunos grupos).
No omitir malware de mercancías: los atacantes de ransomware compran periódicamente acceso a las organizaciones objetivo en los mercados ocultos.
Integrar expertos externos – en procesos para complementar la experiencia, como el equipo de respuesta a incidentes de Microsoft (anteriormente DART/CRSP).
Aislar rápidamente dispositivos en peligro mediante Defender para punto de conexión en la implementación local.
Respuesta a ataques de ransomware
Declaración de incidentes
Una vez confirmada una infección de ransomware correcta, el analista debe comprobar que representa un nuevo incidente o si podría estar relacionado con un incidente existente. Busque vales abiertos actualmente que indiquen incidentes similares. Si es así, actualice el vale de incidente actual con nueva información en el sistema de vales. Si se trata de un incidente nuevo, se debe declarar un incidente en el sistema de vales pertinente y remitirse a los equipos o proveedores adecuados para contener y mitigar el incidente. Tenga en cuenta que la administración de incidentes de ransomware puede requerir acciones realizadas por varios equipos de TI y seguridad. Siempre que sea posible, asegúrese de que el vale está identificado claramente como un incidente de ransomware para guiar el flujo de trabajo.
Contención y mitigación
En general, se deben configurar varias soluciones antimalware de servidor o punto de conexión, antimalware de correo electrónico y protección de red para que contengan y mitiguen automáticamente el ransomware conocido. Sin embargo, puede haber casos en los que la variante de ransomware específica ha sido capaz de omitir tales protecciones y infectar correctamente los sistemas de destino.
Microsoft proporciona amplios recursos para ayudar a actualizar los procesos de respuesta a incidentes en los Principales procedimientos recomendados de seguridad de Azure.
Las siguientes son acciones recomendadas para contener o mitigar un incidente declarado que implica ransomware en el que las acciones automatizadas realizadas por los sistemas antimalware no han sido correctas:
- Participación de proveedores de antimalware a través de procesos de soporte técnico estándar
- Adición manual de hashes y otra información asociada con malware a sistemas antimalware
- Aplicación de actualizaciones de proveedores de antimalware
- Contención de sistemas afectados hasta que se puedan corregir
- Deshabilitación de cuentas en riesgo
- Realización del análisis de la causa principal
- Aplicación de revisiones y cambios de configuración pertinentes en los sistemas afectados
- Bloqueo de las comunicaciones de ransomware mediante controles internos y externos
- Purga del contenido almacenado en caché
Camino a la recuperación
El Equipo de detección y respuesta de Microsoft le ayudará a protegerse frente a ataques
Comprender y corregir los problemas de seguridad fundamentales que llevaron al compromiso en primer lugar debe ser una prioridad para los objetivos de ransomware.
Integre expertos externos en procesos para complementar la experiencia, como respuesta a incidentes de Microsoft. El equipo de respuesta a incidentes de Microsoft interactúa con los clientes de todo el mundo, ayudando a protegerse y reforzarse contra los ataques antes de que se produzcan, así como investigar y corregir cuando se haya producido un ataque.
Los clientes pueden interactuar con nuestros expertos en seguridad directamente desde el Portal de Microsoft Defender para obtener una respuesta oportuna y precisa. Los expertos proporcionan la información necesaria para comprender mejor las amenazas complejas que afectan a su organización, desde las consultas de alertas, los dispositivos potencialmente en riesgo y la causa principal de una conexión de red sospechosa, hasta la inteligencia adicional sobre amenazas relativa a las campañas en curso de amenazas persistentes avanzadas.
Microsoft está listo para ayudar a su empresa a volver a operaciones seguras.
Microsoft realiza cientos de recuperaciones de situaciones en peligro con una metodología de eficacia probada. No solo le situará a una posición más segura, sino que le ofrece la oportunidad de considerar su estrategia a largo plazo en lugar de reaccionar ante las situaciones.
Microsoft brinda servicios de recuperación rápida de ransomware. En este marco, se proporciona asistencia en todas las áreas, como la restauración de servicios de identidad, la corrección y la protección, y con la implementación de supervisión para ayudar a los objetivos de ataques de ransomware para volver al negocio normal en el período más corto posible.
Nuestros servicios de recuperación rápida de ransomware se tratan como "confidenciales" mientras dure la interacción. Los compromisos rápidos de recuperación de ransomware se entregan exclusivamente por el equipo de La práctica de seguridad de la recuperación en peligro (CRSP), parte del dominio de la nube y la inteligencia artificial de Azure. Para más información, puede ponerse en contacto con CRSP en Solicitud de contacto sobre la seguridad de Azure.
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware.
Otros artículos de esta serie: