Respuesta a ataques de ransomware

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Cuando sospeche que estaba o está actualmente bajo un ataque de ransomware, establezca comunicaciones seguras con el equipo de respuesta a incidentes inmediatamente. Pueden realizar las siguientes fases de respuesta para interrumpir el ataque y mitigar el daño:

• Investigación y contención
• Erradicación y recuperación

En este artículo se proporciona un cuaderno de estrategias generalizado para responder a ataques de ransomware. Considere la posibilidad de adaptar los pasos y tareas descritos en este artículo a su propio cuaderno de estrategias de operaciones de seguridad. NOTA: Para obtener información sobre la prevención de ataques de ransomware, vea Rápidamente implementar prevención de ransomware.

Contención

La contención y la investigación deben producirse lo más simultáneamente posible; sin embargo, debe centrarse en lograr rápidamente la contención, por lo que tiene más tiempo para investigar. Estos pasos le ayudan a determinar el ámbito del ataque y a aislarlo solo a entidades afectadas, como cuentas de usuario y dispositivos.

Paso 1: Evaluar el ámbito del incidente

Ejecute esta lista de preguntas y tareas para detectar la extensión del ataque. Microsoft Defender XDR puede proporcionar una vista consolidada de todos los recursos afectados o en riesgo para ayudar en la evaluación de la respuesta a incidentes. Consulte Respuesta a incidentes con Microsoft Defender XDR. Puede usar las alertas y la lista de pruebas del incidente para determinar:

• ¿Qué cuentas de usuario pueden estar en peligro?
  • ¿Qué cuentas se usaron para entregar la carga útil?
• ¿Qué dispositivos incorporados y detectados se ven afectados y cómo?
  • Dispositivos de origen
  • Dispositivos afectados
  • Dispositivos sospechosos
• Identifique cualquier comunicación de red asociada al incidente.
• ¿Qué aplicaciones se ven afectadas?
• ¿Qué cargas se han distribuido?
• ¿Cómo se comunica el atacante con los dispositivos en peligro? (La protección de red debe estar habilitada):
  • Vaya a la página indicadores para agregar un bloque para la dirección IP y la dirección URL (si tiene esa información).
• ¿Cuál era el medio de entrega de carga útil?

Paso 2: Conservación de sistemas existentes

Ejecute esta lista de tareas y preguntas para proteger los sistemas existentes frente a ataques:

• Si tiene copias de seguridad en línea, considere la posibilidad de desconectar el sistema de copia de seguridad de la red hasta que esté seguro de que el ataque está contenido, consulte Backup and restore plan to protect against ransomware | Microsoft Docs.
• Si está experimentando o espera una implementación de ransomware inminente y activa:
  • Suspenda las cuentas con privilegios y locales que sospecha que forman parte del ataque. Puede hacerlo desde la pestaña Usuarios de las propiedades del incidente en el portal de Microsoft Defender.
  • Detenga todas las sesiones de inicio de sesión remoto.
  • Restablezca las contraseñas de cuenta de usuario en peligro y exija a los usuarios de cuentas de usuario en peligro que vuelvan a iniciar sesión.
  • Haga lo mismo con las cuentas de usuario que puedan estar en peligro.
  • Si las cuentas locales compartidas están en peligro, haga que el administrador de TI le ayude a aplicar un cambio de contraseña en todos los dispositivos expuestos. Consulta kusto de ejemplo:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Para los dispositivos que aún no están aislados y no forman parte de la infraestructura crítica:
  • Aísle los dispositivos en peligro de la red, pero no los apague.
  • Si identifica los dispositivos de origen o de dispersión, aíslelos primero.
• Conservar los sistemas en peligro para su análisis.

Paso 3: Impedir la propagación

Use esta lista para evitar que el ataque se propague a entidades adicionales.

• Si se usan cuentas locales compartidas en el ataque, considere la posibilidad de bloquear el uso remoto de cuentas locales.
  • Consulta de Kusto para todos los inicios de sesión de red que son administradores locales:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Consulta de Kusto para inicios de sesión que no son RDP (más realista para la mayoría de las redes):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Poner en cuarentena y agregar indicadores para los archivos infectados.
• Asegúrese de que la solución antivirus se puede configurar en su estado de protección óptimo. Para Microsoft Defender Antivirus, esto incluye:
  • La protección en tiempo real está habilitada.
  • La protección contra alteraciones está habilitada. En el portal de Microsoft Defender, seleccione Configuración > Puntos de conexión Características > avanzadas Protección contra alteraciones>.
  • Las reglas de reducción de superficie expuesta a ataques están habilitadas.
  • La protección en la nube está habilitada.
• Deshabilite Exchange ActiveSync y Sincronización de OneDrive.
  • Para deshabilitar Exchange ActiveSync de un buzón de correo, consulte Cómo deshabilitar Exchange ActiveSync para los usuarios de Exchange Online.
  • Para deshabilitar otros tipos de acceso a un buzón de correo, consulte:
    • Habilite o deshabilite MAPI para un buzón.
    • Habilite o deshabilite el acceso POP3 o IMAP4 para un usuario.
  • Pausar Sincronización de OneDrive ayuda a proteger los datos en la nube de que los dispositivos potencialmente infectados actualicen los datos en la nube. Para obtener más información, vea Pausar y reanudar la sincronización en OneDrive.
• Aplique las revisiones y los cambios de configuración pertinentes en los sistemas afectados.
• Bloquear las comunicaciones de ransomware mediante controles internos y externos.
• Purgar contenido almacenado en caché

Investigación

Use esta sección para investigar el ataque y planear la respuesta.

Evaluación de la situación actual

• ¿Qué inicialmente le hizo consciente del ataque ransomware?
  • Si el personal de TI identificó la amenaza inicial, como detectar la eliminación de copias de seguridad, alertas antivirus, alertas de detección y respuesta de puntos de conexión (EDR) o cambios sospechosos del sistema, a menudo es posible tomar medidas decisivas rápidas para frustrar el ataque, normalmente por las acciones de contención descritas en este artículo.
• ¿Qué fecha y hora se enteró por primera vez del incidente?
  • ¿Qué actualizaciones del sistema y de seguridad no se instalaron en los dispositivos en esa fecha? Esto es importante para comprender qué vulnerabilidades podrían haberse aprovechado para que se puedan abordar en otros dispositivos.
  • ¿Qué cuentas de usuario se usaron en esa fecha?
  • ¿Qué nuevas cuentas de usuario se crearon desde esa fecha?
  • ¿Qué programas se agregaron para iniciarse automáticamente alrededor del momento en que se produjo el incidente?
• ¿Hay alguna indicación de que el atacante está accediendo actualmente a los sistemas?
  • ¿Hay algún sistema en peligro sospechoso que esté experimentando una actividad inusual?
  • ¿Hay alguna sospecha de cuentas en peligro que parezcan ser utilizadas activamente por el adversario?
  • ¿Hay alguna evidencia de servidores de comando y control activos (C2) en EDR, firewall, VPN, proxy web y otros registros?

Identificar el proceso de ransomware

• Mediante la búsqueda avanzada, busque el proceso identificado en los eventos de creación de procesos en otros dispositivos.

Buscar credenciales expuestas en los dispositivos infectados

• En el caso de las cuentas de usuario cuyas credenciales podrían estar en peligro, restablezca las contraseñas de cuenta y exija a los usuarios que vuelvan a iniciar sesión.
• Las siguientes E/SA pueden indicar el movimiento lateral:

Haga clic para expandir

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Amplificador de Mimikatz Defender
• Herramienta de examen de red usada por PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Lsass de accesos de proceso
• Ejecución sospechosa del proceso rundll32
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Registro dll sospechoso por odbcconf
• Actividad de DPAPI sospechosa
• Ejecución sospechosa del proceso de Exchange
• Inicio de tarea programada sospechosa
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• La aplicación que no es de confianza abre una conexión RDP

Identificar las aplicaciones de línea de negocio (LOB) que no están disponibles debido al incidente

• ¿La aplicación requiere una identidad?
  • ¿Cómo se realiza la autenticación?
  • ¿Cómo se almacenan y administran credenciales como certificados o secretos?
• ¿Están disponibles las copias de seguridad evaluadas de la aplicación, su configuración y sus datos?
• Determine el proceso de recuperación en peligro.

Erradicación y recuperación

Siga estos pasos para erradicar la amenaza y recuperar los recursos dañados.

Paso 1: Comprobar las copias de seguridad

Si tiene copias de seguridad sin conexión, es probable que pueda restaurar los datos cifrados después de quitar la carga útil de ransomware (malware) de su entorno y después de comprobar que no hay acceso no autorizado en el inquilino de Microsoft 365.

Paso 2: Agregar indicadores

Agregue los canales de comunicación de atacante conocidos como indicadores, bloqueados en firewalls, en los servidores proxy y en los puntos de conexión.

Paso 3: Restablecer usuarios en peligro

Restablezca las contraseñas de las cuentas de usuario en peligro conocidas y requiera un nuevo inicio de sesión.

• Considere la posibilidad de restablecer las contraseñas de cualquier cuenta con privilegios con una autoridad administrativa amplia, como los miembros del grupo Administradores de dominio.
• Si un atacante puede haber creado una cuenta de usuario, deshabilite la cuenta. No elimine la cuenta a menos que no haya planes para realizar análisis forenses de seguridad para el incidente.

Paso 4: Aislar los puntos de control del atacante

Aísle de Internet cualquier punto de control de atacante conocido dentro de la empresa.

Paso 5: Quitar malware

Quite el malware de los dispositivos afectados.

• Ejecute un examen antivirus completo y actual en todos los equipos y dispositivos sospechosos para detectar y quitar la carga que está asociada con el ransomware.
• No olvide examinar los dispositivos que sincronizan datos o los destinos de las unidades de red asignadas.

Paso 6: Recuperación de archivos en un dispositivo limpio

Recuperar archivos en un dispositivo limpio.

• Puedes usar el historial de archivos en Windows 11, Windows 10, Windows 8.1 y Protección del sistema en Windows 7 para intentar recuperar tus archivos y carpetas locales.

Paso 7: Recuperación de archivos en OneDrive para la Empresa

Recuperar archivos en OneDrive para la Empresa.

• Restauración de archivos en OneDrive para la Empresa permite restaurar un OneDrive completo a un momento dado anterior en los últimos 30 días. Para obtener más información, consulte Restaurar su OneDrive.

Paso 8: Recuperar correo electrónico eliminado

Recuperar correo electrónico eliminado.

• En el raro caso de que el ransomware eliminó todo el correo electrónico en un buzón de correo, puede recuperar los elementos eliminados. Consulte Recuperación de mensajes eliminados en el buzón de correo de un usuario en Exchange Online.

Paso 9: Volver a habilitar Exchange ActiveSync y Sincronización de OneDrive

• Después de limpiar los equipos y dispositivos y recuperar los datos, puede volver a habilitar Exchange ActiveSync y Sincronización de OneDrive que ha deshabilitado anteriormente en el paso 3 de contención.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.