Wykrywanie i reagowanie na ataki wymuszające okup

Zdarzenia oprogramowania wymuszającego okup zwykle występują z wyraźnymi znakami ostrzegawczymi, które mogą identyfikować zespoły ds. zabezpieczeń. W przeciwieństwie do innych typów złośliwego oprogramowania, ransomware zazwyczaj daje wyraźne oznaki, które wymagają minimalnego badania przed ogłoszeniem incydentu. Te wyzwalacze o wysokiej pewności stoją w przeciwieństwie do bardziej subtelnych zagrożeń, które wymagają obszernej analizy przed eskalacją. Gdy ransomware atakuje, dowody są często nie do przeoczenia.

Ogólnie rzecz biorąc, takie infekcje są oczywiste z podstawowego zachowania systemu, braku kluczowych plików systemu lub użytkowników i popytu na okup. W takich przypadkach analityk powinien rozważyć, czy natychmiast zadeklarować i eskalować zdarzenie, w tym podejmowania wszelkich zautomatyzowanych akcji w celu wyeliminowania ataku.

Wykrywanie ataków wymuszających okup

Microsoft Defender dla Chmury zapewnia wysokiej jakości funkcje wykrywania zagrożeń i reagowania na nie, nazywane również wykrywaniem rozszerzonym i reagowaniem (XDR).

Zapewnij szybkie wykrywanie i korygowanie typowych ataków na maszyny wirtualne, serwery SQL, aplikacje internetowe i tożsamość.

• Priorytetowe traktowanie typowych punktów dostępu — operatorzy ransomware (i inni) preferują punkty końcowe, e-mail, tożsamość + Remote Desktop Protocol (RDP)

  • Zintegrowana funkcja XDR — użyj zintegrowanych narzędzi wykrywania rozszerzonego i reagowania (XDR), takich jak Microsoft Defender dla Chmury, aby zapewnić alerty wysokiej jakości i zminimalizować problemy i ręczne kroki podczas reagowania
  • Atak siłowy — monitorowanie prób ataku siłowego, takich jak spray haseł

• Monitorowanie pod kątem wyłączania zabezpieczeń przez osoby atakujące — często stanowi część łańcucha ataków Human-Operated Ransomware (HumOR)

• Czyszczenie dzienników zdarzeń — szczególnie dziennik zdarzeń zabezpieczeń i dzienniki operacyjne programu PowerShell

  • Wyłączanie narzędzi zabezpieczeń/kontroli (związanych z niektórymi grupami)

• Nie ignoruj złośliwego oprogramowania konwencjonalnego — atakujący ransomware regularnie kupują dostęp do organizacji docelowych z rynków darknetu

• Integrowanie ekspertów zewnętrznych — z procesami uzupełniającymi wiedzę, taką jak zespół reagowania na zdarzenia firmy Microsoft (wcześniej DART/CRSP).

• Szybko izolować urządzenia z naruszonymi zabezpieczeniami za pomocą Defender for Endpoint we wdrożeniu lokalnym.

Reagowanie na ataki ransomware

Deklaracja zdarzenia

Po potwierdzeniu pomyślnego zakażenia oprogramowaniem wymuszającym okup analityk powinien sprawdzić, czy reprezentuje nowy incydent, czy może być związany z istniejącym zdarzeniem. Poszukaj obecnie otwartych biletów, które wskazują podobne zdarzenia. Jeśli tak, zaktualizuj bieżący bilet zdarzenia przy użyciu nowych informacji w systemie biletów. Jeśli jest to nowy incydent, zdarzenie powinno zostać zadeklarowane w odpowiednim systemie biletów i eskalowane do odpowiednich zespołów lub dostawców w celu powstrzymania i ograniczenia incydentu. Należy pamiętać, że zarządzanie zdarzeniami wymuszania oprogramowania wymuszającego okup może wymagać akcji podejmowanych przez wiele zespołów IT i zespołów ds. zabezpieczeń. Jeśli to możliwe, upewnij się, że bilet jest wyraźnie identyfikowany jako zdarzenie wymuszające okup, aby kierować przepływem pracy.

Zawieranie/środki zaradcze

Ogólnie rzecz biorąc, różne rozwiązania ochrony przed złośliwym oprogramowaniem serwera/punktu końcowego, ochrony przed złośliwym oprogramowaniem poczty e-mail i ochrony sieci powinny być skonfigurowane tak, aby automatycznie zawierały i ograniczały znane oprogramowanie wymuszającego okup. Mogą jednak wystąpić przypadki, w których określony wariant oprogramowania wymuszającego okup może pominąć takie zabezpieczenia i pomyślnie zainfekować systemy docelowe.

Firma Microsoft udostępnia obszerne zasoby ułatwiające aktualizowanie procesów reagowania na zdarzenia w najlepszych rozwiązaniach dotyczących zabezpieczeń platformy Azure.

Poniżej przedstawiono zalecane działania mające na celu powstrzymanie lub złagodzenie zadeklarowanego incydentu obejmującego oprogramowanie wymuszające okup, w przypadku gdy zautomatyzowane działania podejmowane przez systemy chroniące przed złośliwym oprogramowaniem kończą się niepowodzeniem:

1. Angażowanie dostawców ochrony przed złośliwym oprogramowaniem za pomocą standardowych procesów pomocy technicznej
2. Ręczne dodawanie skrótów i innych informacji skojarzonych ze złośliwym oprogramowaniem do systemów ochrony przed złośliwym oprogramowaniem
3. Stosowanie aktualizacji dostawcy ochrony przed złośliwym oprogramowaniem
4. Ogranicz systemy, których dotyczy problem, dopóki nie będzie można ich naprawić.
5. Wyłączanie kont z naruszeniem zabezpieczeń
6. Przeprowadzanie analizy głównej przyczyny
7. Stosowanie odpowiednich poprawek i zmian konfiguracji w systemach, których dotyczy problem
8. Blokuj komunikację z oprogramowaniem wymuszającym okup przy użyciu kontroli wewnętrznej i zewnętrznej
9. Przeczyszczanie buforowanej zawartości

Droga do odzyskania

Zespół ds. wykrywania i reagowania firmy Microsoft pomaga chronić cię przed atakami

Zrozumienie i rozwiązanie podstawowych problemów z zabezpieczeniami, które doprowadziły do naruszenia bezpieczeństwa w pierwszej kolejności, powinno być priorytetem dla celów oprogramowania wymuszającego okup.

Integrowanie zewnętrznych ekspertów z procesami w celu uzupełnienia wiedzy, takiej jak reagowanie na zdarzenia firmy Microsoft. Reagowanie na zdarzenia firmy Microsoft angażuje się w klientów na całym świecie, pomagając chronić i wzmacniać zabezpieczenia przed atakami przed ich wystąpieniem, a także badać i korygować, kiedy wystąpił atak.

Klienci mogą kontaktować się z naszymi ekspertami w zakresie zabezpieczeń bezpośrednio z poziomu portalu Microsoft Defender, aby uzyskać terminowe i dokładne odpowiedzi. Eksperci zapewniają szczegółowe informacje potrzebne do lepszego zrozumienia złożonych zagrożeń wpływających na organizację, od zapytań dotyczących alertów, potencjalnie zagrożonych urządzeń, głównej przyczyny podejrzanego połączenia sieciowego, do dodatkowej analizy zagrożeń dotyczącej trwających zaawansowanych trwałych kampanii zagrożeń.

Firma Microsoft jest gotowa pomóc Twojej firmie w powrocie do bezpiecznych operacji.

Firma Microsoft wykonuje setki odzyskiwania po naruszeniu zabezpieczeń i ma wypróbowaną i prawdziwą metodologię. Nie tylko pozwoli Ci to na uzyskanie bezpieczniejszej pozycji, ale także pozwoli ci rozważyć długoterminową strategię, a nie reagować na tę sytuację.

Firma Microsoft udostępnia szybkie usługi odzyskiwania oprogramowania wymuszającego okup. W tym celu pomoc jest zapewniana we wszystkich obszarach, takich jak przywracanie usług tożsamości, korygowanie i wzmacnianie zabezpieczeń oraz wdrażanie monitorowania, aby pomóc celom ataków wymuszających okup powrócić do normalnego działania w najkrótszym możliwym przedziale czasu.

Nasze szybkie usługi odzyskiwania oprogramowania wymuszającego okup są traktowane jako "Poufne" przez czas trwania zakontraktowania. Szybkie odzyskiwanie ransomware jest realizowane wyłącznie przez zespół CRSP (Compromise Recovery Security Practice), wchodzący w skład domeny Chmura i AI platformy Azure. Aby uzyskać więcej informacji, możesz skontaktować się z CRSP pod adresem Żądanie kontaktu dotyczącego zabezpieczeń platformy Azure.

Co dalej?

Zobacz oficjalny dokument: Azure defenses against ransomware attacks whitepaper (Dokumentacja obrony Azure przed atakami ransomware).

Inne artykuły z tej serii:

• Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure
• Przygotowanie do ataku wymuszającego okup
• Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie