Share via

Mendeteksi dan menanggapi serangan ransomware

  • Artikel

Ada beberapa pemicu potensial yang mungkin mengindikasikan insiden ransomware. Tidak seperti banyak jenis malware lainnya, sebagian besar akan menjadi pemicu kepercayaan yang lebih tinggi (ketika sedikit penyelidikan atau analisis tambahan harus diperlukan sebelum deklarasi insiden) daripada pemicu kepercayaan yang lebih rendah (ketika lebih banyak penyelidikan atau analisis kemungkinan akan diperlukan sebelum insiden harus dinyatakan).

Secara umum, infeksi tersebut jelas dari perilaku sistem dasar, tidak adanya sistem kunci atau file pengguna dan permintaan tebusan. Dalam hal ini, analis harus mempertimbangkan apakah akan segera menyatakan dan meningkatkan insiden tersebut, termasuk mengambil tindakan otomatis untuk mengurangi serangan.

Mendeteksi serangan ransomware

Microsoft Defender untuk Cloud menyediakan deteksi ancaman dan kemampuan respons berkualitas tinggi, juga disebut Deteksi dan Respons yang Diperluas (XDR).

Pastikan deteksi cepat dan remediasi serangan umum pada VM, Server SQL, aplikasi Web, dan identitas.

  • Prioritaskan Titik Masuk Umum – Operator Ransomware (dan lainnya) mendukung Titik Akhir/Email/Identitas + Protokol Desktop Jarak Jauh (RDP)
    • Integrated XDR - Gunakan alat Extended Detection and Response (XDR) terintegrasi seperti Microsoft Defender for Cloud untuk memberikan pemberitahuan berkualitas tinggi dan meminimalkan gesekan dan langkah-langkah manual selama respons
    • Brute Force - Monitor untuk upaya brute-force seperti kata sandi spray
  • Pantau untuk Adversary Disabling Security – karena ini sering menjadi bagian dari rantai serangan Human Operated Ransomware (HumOR)
    • Pembersihan Log Peristiwa – terutama log Peristiwa Keamanan dan log Operasional PowerShell
    • Menonaktifkan alat/kontrol keamanan (terkait dengan beberapa grup)
  • Jangan Abaikan Malware Komoditas – Penyerang ransomware secara teratur membeli akses ke organisasi target dari pasar gelap
  • Integrasikan pakar luar - ke dalam proses untuk melengkapi keahlian, seperti Microsoft Detection and Response Team (DART).
  • Mengisolasi komputer yang disusupi dengan cepat menggunakan Pertahanan untuk Titik akhir dalam penyebaran lokal.

Menanggapi serangan ransomware

Deklarasi insiden

Setelah infeksi ransomware yang berhasil telah dikonfirmasi, analis harus memverifikasi ini merupakan insiden baru atau apakah itu mungkin terkait dengan insiden yang ada. Carilah tiket yang saat ini terbuka yang menunjukkan insiden serupa. Jika demikian, perbarui tiket insiden saat ini dengan informasi baru dalam sistem tiket. Jika ini adalah insiden baru, insiden harus dinyatakan dalam sistem tiket yang relevan dan ditingkatkan ke tim atau penyedia yang sesuai untuk menahan dan mengurangi insiden tersebut. Berhati-hatilah bahwa mengelola insiden ransomware mungkin memerlukan tindakan yang diambil oleh beberapa tim TI dan keamanan. Jika memungkinkan, pastikan bahwa tiket diidentifikasi dengan jelas sebagai insiden ransomware untuk memandu alur kerja.

Penahanan/Mitigasi

Secara umum, berbagai antimalware server/antimalware titik akhir, email dan solusi perlindungan jaringan harus dikonfigurasi untuk secara otomatis mengandung dan mengurangi ransomware yang diketahui. Mungkin ada kasus, bagaimanapun, ketika varian ransomware tertentu telah mampu melewati perlindungan tersebut dan berhasil menginfeksi sistem target.

Microsoft menyediakan sumber daya yang luas untuk membantu memperbarui proses respons insiden Anda di Praktik Terbaik Keamanan Azure Teratas.

Berikut ini adalah tindakan yang direkomendasikan untuk menahan atau mengurangi insiden yang dinyatakan melibatkan ransomware ketika tindakan otomatis yang diambil oleh sistem antimalware tidak berhasil:

  1. Libatkan vendor antimalware melalui proses dukungan standar
  2. Menambahkan hash secara manual dan informasi lain yang terkait dengan malware ke sistem antimalware
  3. Menerapkan pembaruan vendor antimalware
  4. Mengandung sistem yang terpengaruh sampai sistem tersebut dapat diperbaiki
  5. Nonaktifkan akun yang disusupi
  6. Jalankan analisis akar masalah
  7. Terapkan patch yang relevan dan perubahan konfigurasi pada sistem yang terpengaruh
  8. Blokir komunikasi ransomware menggunakan kontrol internal dan eksternal
  9. Hapus menyeluruh aset ter-cache

Jalan menuju pemulihan

Tim Microsoft Detection and Response akan membantu melindungi Anda dari serangan

Memahami dan memperbaiki masalah keamanan mendasar yang menyebabkan kompromi di tempat pertama harus menjadi prioritas bagi korban ransomware.

Integrasikan pakar luar ke dalam proses untuk melengkapi keahlian, seperti Microsoft Detection and Response Team (DART). DART terlibat dengan pelanggan di seluruh dunia, membantu melindungi dan mengeras terhadap serangan sebelum terjadi, serta menyelidiki dan memulihkan ketika serangan telah terjadi.

Pelanggan dapat melibatkan pakar keamanan kami langsung dari dalam Portal Pertahanan Microsoft untuk respons yang tepat waktu dan akurat. Para ahli memberikan wawasan yang diperlukan untuk lebih memahami ancaman kompleks yang mempengaruhi organisasi Anda, dari pertanyaan pemberitahuan, perangkat yang berpotensi disusupi, akar penyebab koneksi jaringan yang mencurigakan, hingga lebih banyak intelijen ancaman mengenai kampanye ancaman persisten lanjutan yang sedang berlangsung.

Microsoft siap membantu perusahaan Anda dalam kembali ke operasi yang aman.

Microsoft melakukan ratusan pemulihan kompromi dan memiliki metodologi yang dicoba dan benar. Tidak hanya akan membawa Anda ke posisi yang lebih aman, itu memberi Anda kesempatan untuk mempertimbangkan strategi jangka panjang Anda daripada bereaksi terhadap situasi.

Microsoft juga menyediakan layanan Rapid Ransomware Recovery. Di bawah ini, bantuan diberikan di semua bidang seperti pemulihan layanan identitas, remediasi dan pengerasan dan dengan pemantauan penyebaran untuk membantu korban serangan ransomware untuk kembali ke bisnis normal dalam jangka waktu sesingkat mungkin.

Layanan Pemulihan Ransomware Cepat kami diperlakukan sebagai "Rahasia" selama keterlibatan. Keterlibatan Rapid Ransomware Recovery secara eksklusif dikirimkan oleh tim Compromise Recovery Security Practice (CRSP), bagian dari Azure Cloud &AI Domain. Untuk informasi selengkapnya, Anda dapat menghubungi CRSP di Kontak permintaan tentang keamanan Azure.

Selanjutnya

Lihat buku putih: Pertahanan Azure untuk buku putih serangan ransomware.

Lihat artikel lain dalam seri ini: