Zsarolóprogram-támadások észlelése és megválaszolás

  • Cikk

Számos lehetséges eseményindító utalhat zsarolóprogram-incidensre. Sok más típusú kártevőtől eltérően a legtöbb esetben nagyobb megbízhatósági eseményindítók lesznek (ahol az incidens bejelentése előtt kevés további vizsgálatra vagy elemzésre van szükség) a kevésbé megbízható triggerek helyett (ahol valószínűleg több vizsgálatra vagy elemzésre lenne szükség az incidens bejelentése előtt).

Általánosságban elmondható, hogy az ilyen fertőzések nyilvánvalóak az alapvető rendszer viselkedéséből, a kulcsrendszer vagy a felhasználói fájlok hiányából, valamint a váltságdíj iránti igényből. Ebben az esetben az elemzőnek meg kell fontolnia, hogy azonnal deklarálja és eszkalálja-e az incidenst, beleértve a támadás mérséklése érdekében végzett automatizált műveleteket is.

Zsarolóprogram-támadások észlelése

Felhőhöz készült Microsoft Defender kiváló minőségű fenyegetésészlelési és -reagálási képességeket biztosít, más néven kiterjesztett észlelési és reagálási (XDR) funkciókat.

Gondoskodjon a virtuális gépek, SQL Serverek, webalkalmazások és identitások gyakori támadásainak gyors észleléséről és elhárításáról.

  • A gyakori belépési pontok rangsorolása – A Ransomware (és más) operátorok előnyben részesítik az Endpoint/Email/Identity + Remote Desktop Protocol (RDP) protokollt
    • Integrált XDR – Az integrált kiterjesztett észlelési és reagálási (XDR) eszközök, például a Microsoft Felhőhöz készült Defender használatával kiváló minőségű riasztásokat biztosít, és minimálisra csökkenti a súrlódást és a manuális lépéseket a válasz során
    • Találgatásos kényszerítés – A jelszópermethez hasonló találgatásos kísérletek monitorozása
  • A támadók biztonsági letiltásának monitorozása – mivel ez gyakran része az emberi üzemeltetésű Ransomware (HumOR) támadási láncának
    • Eseménynaplók törlése – különösen a biztonsági eseménynapló és a PowerShell működési naplói
    • Biztonsági eszközök/vezérlők letiltása (egyes csoportokhoz társítva)
  • Ne hagyja figyelmen kívül az árutőzsdei kártevőket – A ransomware-támadók rendszeresen vásárolnak hozzáférést a célszervezetekhez sötét piacokról
  • Külső szakértők integrálása – a szakértelem kiegészítésére szolgáló folyamatokba, például a Microsoft Észlelési és Válaszcsapatába (DART).
  • Gyorsan elkülönítheti a sérült számítógépeket a Defender for Endpoint használatával a helyszíni üzembe helyezés során.

Válasz a ransomware-támadásokra

Incidens deklarációja

A sikeres ransomware-fertőzés megerősítése után az elemzőnek ellenőriznie kell, hogy ez egy új incidenst jelent-e, vagy egy meglévő incidenshez kapcsolódik-e. Keresse meg a jelenleg megnyitott jegyeket, amelyek hasonló incidenseket jeleznek. Ha igen, frissítse az aktuális incidensjegyet új információkkal a jegykezelő rendszerben. Ha ez egy új incidens, az incidenst be kell jelenteni a megfelelő jegyrendszerben, és eszkalálni kell a megfelelő csapatokhoz vagy szolgáltatókhoz az incidens megfékezése és enyhítése érdekében. Vegye figyelembe, hogy a zsarolóprogram-incidensek kezelése több informatikai és biztonsági csapat által végzett műveleteket igényelhet. Ha lehetséges, győződjön meg arról, hogy a jegy egyértelműen zsarolóprogram-incidensként van azonosítva a munkafolyamat irányításához.

Elszigetelés/kockázatcsökkentés

Általánosságban elmondható, hogy a különböző kiszolgálói/végponti kártevőirtókat, az e-mail kártevőirtókat és a hálózatvédelmi megoldásokat úgy kell konfigurálni, hogy automatikusan tartalmazzák és mérsékeljék az ismert zsarolóprogramokat. Lehetnek azonban olyan esetek, amikor az adott ransomware-változat képes volt megkerülni az ilyen védelmet, és sikeresen megfertőzni a célrendszereket.

A Microsoft széles körű erőforrásokat biztosít az incidenskezelési folyamatok frissítéséhez az Azure legfontosabb biztonsági ajánlott eljárásaiban.

Az alábbiak javasolt intézkedések a zsarolóprogramokkal kapcsolatos deklarált incidensek megfékezésére vagy enyhítésére, ha a kártevőirtó rendszerek által végrehajtott automatizált műveletek sikertelenek voltak:

  1. Kártevőirtó-gyártók bevonása standard támogatási folyamatokon keresztül
  2. Kártevőkkel kapcsolatos kivonatok és egyéb információk manuális hozzáadása kártevőirtó rendszerekhez
  3. Kártevőirtó szállítói frissítések alkalmazása
  4. Az érintett rendszereket mindaddig tartalmazza, amíg azok szervizelésre nem kerülnek
  5. Feltört fiókok letiltása
  6. Alapvető okok elemzése
  7. Releváns javítások és konfigurációs módosítások alkalmazása az érintett rendszereken
  8. Zsarolóprogram-kommunikáció letiltása belső és külső vezérlőkkel
  9. Gyorsítótárazott tartalom törlése

Út a helyreállításhoz

A Microsoft észlelési és válaszcsapata segít megvédeni Önt a támadásoktól

A zsarolóprogramok áldozatai számára prioritást kell biztosítani a kompromisszumhoz vezető alapvető biztonsági problémák megértése és javítása.

Külső szakértők integrálása olyan folyamatokba, amelyek szakértelmet egészítenek ki, például a Microsoft Észlelési és Válaszcsapatát (DART). A DART világszerte kapcsolatba lép az ügyfelekkel, segít megvédeni és megerősíteni a támadásokat, mielőtt bekövetkeznének, valamint kivizsgálja és elhárítja a támadásokat.

Az ügyfelek közvetlenül a Microsoft Defender portálon keresztül is kapcsolatba léphetnek biztonsági szakértőinkkel, hogy időben és pontosan válaszolnak. A szakértők elemzéseket nyújtanak a szervezetet érintő összetett fenyegetések jobb megértéséhez, a riasztási vizsgálatoktól, a potenciálisan sérült eszközöktől a gyanús hálózati kapcsolat kiváltó okán át a folyamatos, folyamatos, állandó fenyegetéskampányokkal kapcsolatos további fenyegetésfelderítésig.

A Microsoft készen áll arra, hogy segítse a vállalatot a biztonságos működéshez való visszatérésben.

A Microsoft több száz kompromisszumos helyreállítást hajt végre, és kipróbált és igaz módszertant használ. Nem csak, hogy kapsz egy biztonságosabb helyzetben, ez lehetővé teszi, hogy fontolja meg a hosszú távú stratégia helyett reagál a helyzetre.

A Microsoft gyors ransomware recovery szolgáltatásokat nyújt. Ennek keretében minden területen segítséget nyújtunk, például az identitásszolgáltatások helyreállítását, a szervizelést és a megerősítést, valamint az üzembe helyezés monitorozását, hogy segítsünk a zsarolóprogram-támadások áldozatainak abban, hogy a lehető legrövidebb időn belül visszatérjenek a normál üzletmenethez.

A Rapid Ransomware Recovery szolgáltatásainkat "Bizalmas" néven kezeljük az előjegyzés időtartama alatt. A Rapid Ransomware Recovery-előjegyzéseket kizárólag a Compromise Recovery Security Practice (CRSP) csapata biztosítja, amely az Azure Cloud &AI-tartomány része. További információkért forduljon a CRSP-hez a Kérelem kapcsolattartónál az Azure-biztonsággal kapcsolatban.

A következő lépések

Lásd a tanulmányt: Azure defenses for ransomware attack whitepaper.

A sorozat további cikkei: