Rilevare e rispondere agli attacchi ransomware

Ci sono diversi trigger potenziali che possono indicare un evento ransomware. A differenza di molti altri tipi di malware, la maggior parte sarà un trigger con maggiore attendibilità (in cui prima della dichiarazione di un evento imprevisto devono essere necessarie poche indagini o analisi aggiuntive) anziché trigger con attendibilità inferiore (in cui è probabile che siano necessarie più indagini o analisi prima che venga dichiarato un evento imprevisto).

In generale, tali infezioni ovvie dal comportamento di sistema di base, l'assenza di file chiave o utente e la richiesta di riscatto. In questo caso, l'analista deve valutare se dichiarare e inoltrare immediatamente l'evento imprevisto, incluse le azioni automatizzate per attenuare l'attacco.

Rilevamento di attacchi ransomware

Microsoft Defender per il cloud offre funzionalità di rilevamento e risposta delle minacce di alta qualità, denominate anche rilevamento esteso e risposta (XDR).

Garantire il rilevamento rapido e la correzione di attacchi comuni su macchine virtuali, SQL Server, applicazioni Web e identità.

• Classificare in ordine di priorità i punti di ingresso comuni : gli operatori ransomware (e altri) prediligeno endpoint/posta elettronica/identità + Remote Desktop Protocol (RDP)
  • XDR integrato: usare strumenti XDR (Extended Detection and Response) integrati come Microsoft Defender per il cloud per fornire avvisi di alta qualità e ridurre al minimo i problemi e i passaggi manuali durante la risposta
  • Forza bruta - Monitorare i tentativi di forza bruta, ad esempio password spraying
• Monitorare per la disabilitazione della sicurezza da parte di avversari: come spesso fa parte della catena di attacchi Di tipo Ransomware gestito dall'uomo (HumOR)
  • Cancellazione dei log eventi, in particolare il registro eventi di sicurezza e i log operativi di PowerShell
  • Disabilitazione di strumenti/controlli di sicurezza (associati ad alcuni gruppi)
• Non ignorare il malware delle materie prime - Gli utenti malintenzionati ransomware acquistano regolarmente l'accesso alle organizzazioni di destinazione da mercati scuri
• Integrare esperti esterni: nei processi per integrare competenze, ad esempio Microsoft Detection and Response Team (DART).
• Isolare rapidamente i computer compromessi usando Defender per endpoint nella distribuzione locale.

Risposta agli attacchi ransomware

Dichiarazione di evento imprevisto

Una volta che un'infezione ransomware riuscita è stata confermata, l'analista dovrebbe verificare che questo rappresenti un nuovo incidente o se potrebbe essere correlato a un evento imprevisto esistente. Cercare ticket attualmente aperti che indicano eventi imprevisti simili. In tal caso, aggiornare il ticket dell'evento imprevisto corrente con nuove informazioni nel sistema di creazione di ticket. Se si tratta di un nuovo evento imprevisto, un evento imprevisto deve essere dichiarato nel sistema di ticket pertinente e inoltrato ai team o ai provider appropriati per contenere e attenuare l'evento imprevisto. Tenere presente che la gestione degli eventi imprevisti ransomware può richiedere azioni eseguite da più team IT e di sicurezza. Se possibile, assicurarsi che il ticket sia chiaramente identificato come evento imprevisto ransomware per guidare il flusso di lavoro.

Contenimento/Mitigazione

In generale, è consigliabile configurare varie soluzioni antimalware server/endpoint, antimalware di posta elettronica e protezione di rete per contenere e attenuare automaticamente il ransomware noto. Ci possono essere casi, tuttavia, dove la variante ransomware specifica è stato in grado di ignorare tali protezioni e infettare correttamente i sistemi bersaglio.

Microsoft offre risorse complete per aggiornare i processi di risposta agli eventi imprevisti nelle principali procedure consigliate per la sicurezza di Azure.

Di seguito sono riportate le azioni consigliate per contenere o attenuare un evento imprevisto dichiarato che coinvolge ransomware in cui le azioni automatizzate eseguite dai sistemi antimalware hanno avuto esito negativo:

1. Coinvolgere i fornitori antimalware tramite processi di supporto standard
2. Aggiungere manualmente hash e altre informazioni associate al malware ai sistemi antimalware
3. Applicare gli aggiornamenti del fornitore antimalware
4. Contenere sistemi interessati fino a quando non possono essere corretti
5. Disabilitare gli account compromessi
6. Eseguire l'analisi della causa radice
7. Applicare patch e modifiche di configurazione pertinenti nei sistemi interessati
8. Bloccare le comunicazioni ransomware usando controlli interni ed esterni
9. Ripulire il contenuto memorizzato nella cache

Strada verso il recupero

Microsoft Detection and Response Team aiuterà a proteggere l'utente dagli attacchi

Comprendere e risolvere i problemi di sicurezza fondamentali che hanno portato alla compromissione in primo luogo dovrebbe essere una priorità per le vittime ransomware.

Integrare esperti esterni nei processi per aggiungere competenze, come ad esempio il Microsoft Detection and Response Team (DART). DART interagisce con i clienti in tutto il mondo, contribuendo a proteggere e proteggere gli attacchi prima che si verifichino, nonché a indagare e correggere quando si è verificato un attacco.

I clienti possono coinvolgere i nostri esperti di sicurezza direttamente dall'interno di Microsoft Defender Portal per una risposta tempestiva e accurata. Gli esperti forniscono informazioni dettagliate necessarie per comprendere meglio le minacce complesse che interessano l'organizzazione, dalle richieste di avvisi, ai dispositivi potenzialmente compromessi, alla causa radice di una connessione di rete sospetta, ad altre informazioni sulle minacce relative alle campagne di minacce persistenti avanzate in corso.

Microsoft è pronto per aiutare l'azienda a tornare alle operazioni sicure.

Microsoft esegue centinaia di ripristini compromessi e ha una metodologia provata e vera. Non solo vi porterà a una posizione più sicura, vi permetterà di prendere in considerazione la vostra strategia a lungo termine piuttosto che reagire alla situazione.

Microsoft fornisce servizi di ripristino rapido ransomware. In questo caso, l'assistenza viene fornita in tutte le aree, ad esempio il ripristino dei servizi di identità, la correzione e la protezione avanzata e con il monitoraggio della distribuzione per aiutare le vittime di attacchi ransomware a tornare al normale business nel breve intervallo di tempo possibile.

I nostri servizi di ripristino rapido ransomware vengono trattati come "Riservati" per la durata dell'impegno. Gli impegni di ripristino rapido ransomware vengono distribuiti esclusivamente dal team CRSP (Compromise Recovery Security Practice), parte del dominio cloud e intelligenza artificiale di Azure. Per altre informazioni, è possibile contattare CRSP all'indirizzo Richiedi contatto sulla sicurezza di Azure.

Passaggi successivi

Vedere il white paper: Difese di Azure per attacchi ransomware white paper.

Altri articoli in questa serie:

• Protezione ransomware in Azure
• Prepararsi per un attacco ransomware
• Funzionalità e risorse di Azure che consentono di proteggere, rilevare e rispondere