Delen via

Ransomware-aanvallen detecteren en erop reageren

  • Artikel

Er zijn verschillende mogelijke triggers die kunnen duiden op een ransomware-incident. In tegenstelling tot veel andere soorten malware zijn de meeste triggers met een hogere betrouwbaarheid (waarbij weinig extra onderzoek of analyse vereist moet zijn vóór de declaratie van een incident) in plaats van triggers met een lagere betrouwbaarheid (waarbij meer onderzoek of analyse waarschijnlijk vereist is voordat een incident moet worden gedeclareerd).

Over het algemeen zijn dergelijke infecties duidelijk van basissysteemgedrag, het ontbreken van sleutelsysteem- of gebruikersbestanden en de vraag naar losgeld. In dit geval moet de analist overwegen of het incident onmiddellijk moet worden declareren en escaleren, inclusief het nemen van geautomatiseerde acties om de aanval te beperken.

Ransomware-aanvallen detecteren

Microsoft Defender voor Cloud biedt hoogwaardige mogelijkheden voor detectie en respons van bedreigingen, ook wel Extended Detection and Response (XDR) genoemd.

Zorg voor snelle detectie en herstel van veelvoorkomende aanvallen op VM's, SQL-servers, webtoepassingen en identiteit.

  • Prioriteit geven aan veelvoorkomende toegangspunten – Ransomware -operators (en andere) geven de voorkeur aan Eindpunt/E-mail/Identiteit + Remote Desktop Protocol (RDP)

    • Geïntegreerde XDR - Gebruik geïntegreerde XDR-hulpprogramma's (Extended Detection and Response), zoals Microsoft Defender voor Cloud om waarschuwingen van hoge kwaliteit te bieden en wrijving en handmatige stappen tijdens het reageren te minimaliseren
    • Brute Force - Monitor voor brute-force pogingen zoals wachtwoordspray

  • Monitor for Adversary Disableing Security – aangezien dit vaak deel uitmaakt van HumOR-aanvalsketen (Human-Operated Ransomware)

  • Gebeurtenislogboeken wissen , met name het beveiligingslogboek en operationele PowerShell-logboeken

    • Uitschakelen van beveiligingshulpprogramma's/besturingselementen (gekoppeld aan sommige groepen)

  • Niet negeren Commodity Malware - Ransomware-aanvallers kopen regelmatig toegang tot doelorganisaties vanuit donkere markten

  • Integreer externe experts – in processen om expertise aan te vullen, zoals het Microsoft Incident Response-team (voorheen DART/CRSP).

  • Isoleer snel gecompromitteerde apparaten met Defender voor Eindpunt in on-premises implementatie.

Reageren op ransomware-aanvallen

Incidentdeclaratie

Zodra een geslaagde ransomware-infectie is bevestigd, moet de analist controleren of dit een nieuw incident vertegenwoordigt of dat het mogelijk is gerelateerd aan een bestaand incident. Zoek naar momenteel geopende tickets die vergelijkbare incidenten aangeven. Zo ja, werk het huidige incidentticket bij met nieuwe informatie in het ticketsysteem. Als dit een nieuw incident is, moet een incident worden gedeclareerd in het relevante ticketingsysteem en worden geëscaleerd naar de juiste teams of providers die het incident moeten bevatten en beperken. Houd er rekening mee dat het beheren van ransomware-incidenten mogelijk acties vereist die worden uitgevoerd door meerdere IT- en beveiligingsteams. Zorg er waar mogelijk voor dat het ticket duidelijk wordt geïdentificeerd als een ransomware-incident om de werkstroom te begeleiden.

Insluiting/beperking

In het algemeen moeten verschillende server-/eindpunt antimalware, e-mail antimalware en netwerkbeveiligingsoplossingen worden geconfigureerd om automatisch bekende ransomware te bevatten en te beperken. Er kunnen echter gevallen zijn, waarbij de specifieke ransomware variant in staat is geweest om dergelijke beveiligingen te omzeilen en succesvol doelsystemen te infecteren.

Microsoft biedt uitgebreide bronnen voor het bijwerken van uw processen voor het reageren op incidenten op de best practices voor Azure-beveiliging.

Hieronder volgen aanbevolen acties om een gedeclareerd incident met ransomware te bevatten of te beperken, waarbij geautomatiseerde acties die door antimalwaresystemen worden uitgevoerd, niet succesvol zijn geweest:

  1. Antimalwareleveranciers benaderen via standaardondersteuningsprocessen
  2. Handmatig hashes en andere informatie toevoegen die is gekoppeld aan malware aan antimalwaresystemen
  3. Updates van leveranciers van antimalware toepassen
  4. Bevatten getroffen systemen totdat ze kunnen worden hersteld
  5. Gecompromitteerde accounts uitschakelen
  6. Hoofdoorzaakanalyse uitvoeren
  7. Relevante patches en configuratiewijzigingen toepassen op betrokken systemen
  8. Ransomware-communicatie blokkeren met behulp van interne en externe controles
  9. Inhoud in cache leegmaken

Weg naar herstel

Het Microsoft Detection and Response Team helpt u te beschermen tegen aanvallen

Het begrijpen en oplossen van de fundamentele beveiligingsproblemen die tot het compromis hebben geleid, moet in de eerste plaats een prioriteit zijn voor ransomware-doelen.

Integreer externe experts in processen om expertise, zoals Microsoft Incident Response, aan te vullen. Microsoft Incident Response neemt contact op met klanten over de hele wereld, helpt om aanvallen te beschermen en te beveiligen voordat ze plaatsvinden, en onderzoekt en herstelt wanneer er een aanval is opgetreden.

Klanten kunnen onze beveiligingsexperts rechtstreeks vanuit de Microsoft Defender-portal benaderen voor een tijdige en nauwkeurige reactie. Experts bieden inzichten die nodig zijn om meer inzicht te krijgen in de complexe bedreigingen die van invloed zijn op uw organisatie, van waarschuwingsvragen, mogelijk aangetaste apparaten, hoofdoorzaak van een verdachte netwerkverbinding tot aanvullende bedreigingsinformatie met betrekking tot doorlopende geavanceerde permanente bedreigingscampagnes.

Microsoft is klaar om uw bedrijf te helpen bij het terugkeren naar veilige activiteiten.

Microsoft voert honderden compromisherstelbewerkingen uit en heeft een methode die is geprobeerd en waar. Niet alleen krijgt u een veiligere positie, het biedt u de mogelijkheid om uw langetermijnstrategie te overwegen in plaats van op de situatie te reageren.

Microsoft biedt Rapid Ransomware Recovery-services. Hiertoe wordt hulp geboden op alle gebieden, zoals herstel van identiteitsservices, herstel en beveiliging en met bewakingsimplementatie om doelen van ransomware-aanvallen te helpen terug te keren naar normale zaken in de kortst mogelijke periode.

Onze Rapid Ransomware Recovery-services worden behandeld als 'Vertrouwelijk' voor de duur van de afspraak. Rapid Ransomware Recovery-afspraken worden uitsluitend geleverd door het CRSP-team (Compromise Recovery Security Practice), onderdeel van het Azure Cloud & AI-domein. Voor meer informatie kunt u contact opnemen met CRSP via Contact aanvragen over Azure-beveiliging.

De volgende stap

Zie het witboek: Azure Defenses for ransomware attack whitepaper.

Andere artikelen in deze reeks: