Respondendo a ataques de ransomware

Observação

Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.

Quando você suspeitar que estava ou está atualmente sob um ataque de ransomware, estabeleça comunicações seguras com sua equipe de resposta a incidentes imediatamente. Eles podem executar as seguintes fases de resposta para interromper o ataque e mitigar os danos:

• Investigação e contenção
• Erradicação e recuperação

Este artigo fornece um guia estratégico generalizado para responder a ataques de ransomware. Considere adaptar as etapas e tarefas descritas neste artigo à sua própria cartilha de operações de segurança. OBSERVAÇÃO: para obter informações sobre como evitar ataques de ransomware, consulte Implantar rapidamente prevenções de ransomware.

Contenção

A contenção e a investigação devem ocorrer da forma mais simultânea possível; no entanto, você deve se concentrar em alcançar rapidamente a contenção, para que você tenha mais tempo para investigar. Essas etapas ajudam você a determinar o escopo do ataque e isolá-lo apenas para entidades afetadas, como contas de usuário e dispositivos.

Etapa 1: avaliar o escopo do incidente

Execute esta lista de perguntas e tarefas para descobrir a extensão do ataque. Microsoft Defender XDR pode fornecer uma visão consolidada de todos os ativos afetados ou em risco para ajudar na avaliação da resposta a incidentes. Consulte Resposta a incidentes com Microsoft Defender XDR. Você pode usar os alertas e a lista de evidências no incidente para determinar:

• Quais contas de usuário podem ser comprometidas?
  • Quais contas foram usadas para entregar o conteúdo?
• Quais dispositivos integrados e descobertos são afetados e como?
  • Dispositivos de origem
  • Dispositivos afetados
  • Dispositivos suspeitos
• Identifique qualquer comunicação de rede associada ao incidente.
• Quais aplicativos são afetados?
• Quais cargas foram espalhadas?
• Como o invasor está se comunicando com os dispositivos comprometidos? (A proteção de rede deve ser habilitada):
  • Acesse a página de indicadores para adicionar um bloco para o IP e URL (se você tiver essas informações).
• Qual era o meio de entrega de carga?

Etapa 2: Preservar sistemas existentes

Execute esta lista de tarefas e perguntas para proteger os sistemas existentes contra ataques:

• Se você tiver backups online, considere desconectar o sistema de backup da rede até ter certeza de que o ataque está contido, consulte Backup e plano de restauração para proteger contra ransomware | Microsoft Docs.
• Se você estiver experimentando ou esperar uma implantação de ransomware iminente e ativa:
  • Suspender contas privilegiadas e locais que você suspeita serem parte do ataque. Você pode fazer isso na guia Usuários nas propriedades do incidente no portal Microsoft Defender.
  • Pare todas as sessões de logon remoto.
  • Redefina as senhas de conta de usuário comprometidas e exija que os usuários das contas de usuário comprometidas entrem novamente.
  • Faça o mesmo para contas de usuário que podem ser comprometidas.
  • Se as contas locais compartilhadas estiverem comprometidas, faça com que seu administrador de TI o ajude a impor uma alteração de senha em todos os dispositivos expostos. Consulta Kusto de exemplo:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Para os dispositivos que ainda não estão isolados e não fazem parte da infraestrutura crítica:
  • Isole dispositivos comprometidos da rede, mas não os desligue.
  • Se você identificar os dispositivos de origem ou propagador, isole-os primeiro.
• Preservar sistemas comprometidos para análise.

Etapa 3: impedir a propagação

Use esta lista para evitar que o ataque se espalhe para entidades adicionais.

• Se as contas locais compartilhadas estiverem sendo usadas no ataque, considere Bloquear o uso remoto de contas locais.
  • Consulta kusto para todos os logons de rede que são administradores locais:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Consulta kusto para logons não RDP (mais realista para a maioria das redes):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Coloque em quarentena e adicione indicadores para arquivos infectados.
• Verifique se sua solução antivírus é configurável em seu estado de proteção ideal. Para Microsoft Defender Antivírus, isso inclui:
  • A proteção em tempo real está habilitada.
  • A proteção contra adulteração está habilitada. No portal Microsoft Defender, selecione Configurações > Pontos de Extremidade Recursos avançados >> Proteção contra adulteração.
  • As regras de redução de superfície de ataque estão habilitadas.
  • A proteção de nuvem está habilitada.
• Desabilite Exchange ActiveSync e Sincronização do OneDrive.
  • Para desabilitar Exchange ActiveSync para uma caixa de correio, consulte Como desabilitar Exchange ActiveSync para usuários em Exchange Online.
  • Para desabilitar outros tipos de acesso a uma caixa de correio, confira:
    • Habilitar ou desabilitar MAPI para uma caixa de correio.
    • Habilitar ou desabilitar o acesso POP3 ou IMAP4 para um usuário.
  • Pausar Sincronização do OneDrive ajuda a proteger seus dados de nuvem de serem atualizados por dispositivos potencialmente infectados. Para obter mais informações, consulte Como pausar e retomar a sincronização no OneDrive.
• Aplique patches relevantes e alterações de configuração nos sistemas afetados.
• Bloqueie as comunicações de ransomware usando controles internos e externos.
• Limpar conteúdo armazenado em cache

Investigação

Use esta seção para investigar o ataque e planejar sua resposta.

Avaliar sua situação atual

• O que inicialmente o fez saber do ataque de ransomware?
  • Se a equipe de TI identificou a ameaça inicial, como observar backups sendo excluídos, alertas antivírus, alertas de EDR (detecção e resposta) de ponto de extremidade ou alterações suspeitas do sistema, muitas vezes é possível tomar medidas decisivas rápidas para impedir o ataque, normalmente pelas ações de contenção descritas neste artigo.
• Que data e hora você soube primeiro do incidente?
  • Quais atualizações de segurança e sistema não foram instaladas em dispositivos nessa data? Isso é importante para entender quais vulnerabilidades podem ter sido aproveitadas para que possam ser abordadas em outros dispositivos.
  • Quais contas de usuário foram usadas nessa data?
  • Quais novas contas de usuário foram criadas desde essa data?
  • Quais programas foram adicionados para começar automaticamente na hora em que o incidente ocorreu?
• Há alguma indicação de que o invasor está acessando sistemas no momento?
  • Há algum sistema suspeito comprometido que esteja experimentando atividades incomuns?
  • Há alguma suspeita de contas comprometidas que parecem ser usadas ativamente pelo adversário?
  • Há alguma evidência de servidores C2 (comando e controle ativos) no EDR, firewall, VPN, proxy Web e outros logs?

Identificar o processo de ransomware

• Usando a caça avançada, pesquise o processo identificado nos eventos de criação do processo em outros dispositivos.

Procure credenciais expostas nos dispositivos infectados

• Para contas de usuário cujas credenciais foram potencialmente comprometidas, redefina as senhas da conta e exija que os usuários entrem novamente.
• Os IOAs a seguir podem indicar movimento lateral:

Clique para expandir

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Amplificador do Mimikatz Defender
• Ferramenta de verificação de rede usada por PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Processar acessos Lsass
• Execução de processo rundll32 suspeita
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Registro de DLL suspeito por odbcconf
• Atividade DPAPI suspeita
• Execução suspeita do processo de troca
• Inicialização de tarefa agendada suspeita
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Aplicativo não confiável abre uma conexão RDP

Identificar os aplicativos LOB (linha de negócios) que não estão disponíveis devido ao incidente

• O aplicativo requer uma identidade?
  • Como a autenticação é executada?
  • Como as credenciais, como certificados ou segredos, são armazenadas e gerenciadas?
• Os backups avaliados do aplicativo, sua configuração e seus dados estão disponíveis?
• Determine seu processo de recuperação de compromisso.

Erradicação e recuperação

Use essas etapas para erradicar a ameaça e recuperar recursos danificados.

Etapa 1: verificar seus backups

Se você tiver backups offline, provavelmente poderá restaurar os dados criptografados depois de remover a carga de ransomware (malware) do seu ambiente e depois de verificar que não há acesso não autorizado em seu locatário do Microsoft 365.

Etapa 2: Adicionar indicadores

Adicione todos os canais de comunicação de invasor conhecidos como indicadores, bloqueados em firewalls, em seus servidores proxy e em pontos de extremidade.

Etapa 3: Redefinir usuários comprometidos

Redefina as senhas de quaisquer contas de usuário comprometidas conhecidas e exija uma nova entrada.

• Considere redefinir as senhas de qualquer conta privilegiada com ampla autoridade administrativa, como os membros do grupo administradores de domínio.
• Se uma conta de usuário pode ter sido criada por um invasor, desabilite a conta. Não exclua a conta a menos que não haja planos para executar a perícia de segurança para o incidente.

Etapa 4: Isolar pontos de controle do invasor

Isole todos os pontos de controle de invasor conhecidos dentro da empresa da Internet.

Etapa 5: Remover malware

Remova o malware dos dispositivos afetados.

• Execute uma verificação antivírus completa e atual em todos os computadores e dispositivos suspeitos para detectar e remover a carga associada ao ransomware.
• Não se esqueça de verificar dispositivos que sincronizam dados ou os destinos de unidades de rede mapeadas.

Etapa 6: recuperar arquivos em um dispositivo limpo

Recuperar arquivos em um dispositivo limpo.

• Você pode usar o Histórico de Arquivos em Windows 11, Windows 10, Windows 8.1 e Proteção do Sistema no Windows 7 para tentar recuperar seus arquivos e pastas locais.

Etapa 7: recuperar arquivos no OneDrive for Business

Recuperar arquivos no OneDrive for Business.

• A restauração de arquivos em OneDrive for Business permite restaurar um OneDrive inteiro para um ponto anterior no tempo nos últimos 30 dias. Para obter mais informações, consulte Restaurar OneDrive.

Etapa 8: Recuperar email excluído

Recuperar email excluído.

• No caso raro de o ransomware excluir todo o email em uma caixa de correio, você pode recuperar os itens excluídos. Consulte Recuperar mensagens excluídas na caixa de correio de um usuário no Exchange Online.

Etapa 9: habilitar novamente Exchange ActiveSync e Sincronização do OneDrive

• Depois de limpar seus computadores e dispositivos e recuperar os dados, você pode habilitar novamente Exchange ActiveSync e Sincronização do OneDrive que você desabilitou anteriormente na etapa 3 da contenção.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.