Compartilhar via


Abordagem de ransomware da equipe de Resposta a Incidentes da Microsoft e boas práticas

O ransomware operado por humanos não é um problema de software mal-intencionado, é um problema criminoso humano. As soluções usadas para resolver problemas de mercadorias não são suficientes para evitar uma ameaça que mais se assemelha a um ator da ameaça do Estado-nação que:

  • Desativa ou desinstala o software antivírus antes de criptografar os arquivos
  • Desativa os serviços de segurança e o registro em log para evitar a detecção
  • Localiza e corrompe ou exclui backups antes de enviar um pedido de resgate

Essas ações geralmente são feitas com programas legítimos - como o Assistência Rápida em maio de 2024 - que você já pode ter em seu ambiente para fins administrativos. Em mãos criminosas, essas ferramentas são usadas maliciosamente para conduzir ataques.

A resposta à crescente ameaça de ransomware requer uma combinação de configuração empresarial moderna, produtos de segurança atualizados e a vigilância de uma equipe de segurança treinada para detectar e responder às ameaças antes que os dados sejam perdidos.

A equipe de Resposta a Incidentes da Microsoft (antiga DART/CRSP) responde aos comprometimentos de segurança para ajudar os clientes a se tornarem ciberneticamente resilientes. A Resposta a Incidentes da Microsoft fornece resposta a incidentes reativos no local e investigações proativas remotas. A Resposta a Incidentes da Microsoft usa as parcerias estratégicas da Microsoft com organizações de segurança no mundo inteiro e grupos internos de produtos da Microsoft para fornecer a mais completa e minuciosa investigação possível.

Este artigo descreve como a Resposta a Incidentes da Microsoft lida com ataques de ransomware aos clientes da Microsoft, para que você possa pensar em aplicar boas práticas e elementos da abordagem da empresa no seu próprio guia estratégico de operações de segurança.

Observação

O conteúdo deste artigo foi derivado das postagens no blog A guide to combatting human-operated ransomware: Part 1 e A guide to combatting human-operated ransomware: Part 2 da equipe de Segurança da Microsoft.

Como a Resposta a Incidentes da Microsoft usa os serviços de segurança da Microsoft

A Resposta a Incidentes da Microsoft se baseia fortemente em dados para todas as investigações e usa as implantações de serviços de segurança da Microsoft existentes, como o Microsoft Defender para Office 365, o Microsoft Defender para Ponto de Extremidade, o Microsoft Defender para Identidade e o Microsoft Defender para Aplicativos de Nuvem.

Microsoft Defender para ponto de extremidade

O Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial da Microsoft projetada para ajudar os analistas de segurança de redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. O Defender para Ponto de Extremidade pode detectar ataques usando análise comportamental avançada e aprendizado de máquina. Seus analistas podem usar o Defender para Ponto de Extremidade para análises comportamentais de invasores.

Seus analistas também podem realizar consultas de busca avançada de ameaças para desativar indicadores de comprometimento (IOCs) ou procurar comportamento conhecido se identificarem um grupo de agentes de ameaças.

No Defender para Ponto de Extremidade, você tem acesso a um serviço de monitoramento e análise em nível de especialista em tempo real pelos Especialistas em Ameaças da Microsoft para atividades suspeitas de atores. Também é possível colaborar com especialistas sob demanda para obter insights adicionais sobre alertas e incidentes.

Microsoft Defender para Identidade

Você usa o Defender para Identidade para investigar contas comprometidas conhecidas e para encontrar contas potencialmente comprometidas na organização. O Defender para Identidade envia alertas referentes a atividades mal-intencionadas conhecidas que os atores costumam usar, como ataques DCSync, tentativas de execução remota de código e ataques pass-the-hash. O Defender para Identidade permite identificar atividades e contas suspeitas para restringir a investigação.

Microsoft Defender for Cloud Apps

O Defender para Aplicativos de Nuvem (anteriormente conhecido como Microsoft Cloud App Security) permite que seus analistas detectem comportamentos incomuns em aplicativos de nuvem para identificar ransomware, usuários comprometidos ou aplicativos fraudulentos. O Defender para Aplicativos de Nuvem é a solução de agente de segurança de acesso à nuvem (CASB) da Microsoft que permite o monitoramento de serviços em nuvem e acesso a dados em serviços de nuvem pelos usuários.

Microsoft Secure Score

O conjunto de serviços do Microsoft Defender XDR fornece recomendações de correção dinâmica para reduzir a superfície de ataque. A Classificação de Segurança da Microsoft é uma medida da postura de segurança de uma organização, com um número mais alto indicando mais ações de aperfeiçoamento empregadas. Consulte a documentação da Classificação de segurança para saber mais sobre como sua organização pode usar esse recurso para priorizar ações de correção baseadas em seu ambiente.

A abordagem de Resposta a Incidentes da Microsoft para conduzir investigações de incidentes de ransomware

Não meça esforços para determinar como o adversário obteve acesso aos seus ativos para que as vulnerabilidades possam ser corrigidas. Caso contrário, é altamente provável que o mesmo tipo de ataque volte a ocorrer no futuro. Em alguns casos, o ator da ameaça toma medidas para cobrir seus rastros e destruir evidências, então é possível que toda a cadeia de eventos não seja evidente.

Veja a seguir três etapas importantes das investigações de ransomware da Resposta a Incidentes da Microsoft:

Etapa Meta Perguntas iniciais
1. Avaliar a situação atual Entender o escopo Em primeiro lugar, o que deixou você ciente de um ataque de ransomware?

Que hora/data soube do incidente pela primeira vez?

Quais logs estão disponíveis e há algum indício de que o ator está acessando os sistemas no momento?
2. Identificar os aplicativos de linha de negócios (LOB) afetados Colocar os sistemas online novamente O aplicativo requer uma identidade?

Há backups do aplicativo, da configuração e dos dados disponíveis?

O conteúdo e a integridade dos backups são verificados regularmente por meio de um exercício de restauração?
3. Determinar o processo de recuperação de comprometimento (CR) Remover o controle do invasor do ambiente N/D

Etapa 1: avaliar a situação atual

Uma avaliação da situação atual é fundamental para compreender o escopo do incidente e determinar as melhores pessoas para ajudar a planejar e definir o escopo das tarefas de investigação e correção. Fazer as perguntas iniciais a seguir é crucial para ajudar a determinar a situação.

Em primeiro lugar, o que deixou você ciente de um ataque de ransomware?

Se a sua equipe de TI identificou a ameaça inicial (como perceber backups sendo excluídos, alertas de antivírus, alertas de detecção e resposta de ponto de extremidade (EDR) ou alterações suspeitas no sistema) geralmente é possível tomar medidas rápidas e decisivas para impedir o ataque, geralmente desabilitando todas as comunicações de entrada e saída da Internet. Essa ameaça pode afetar temporariamente as operações de negócios, mas isso normalmente seria muito menos impactante do que um adversário implantando ransomware.

Se uma chamada de usuário para o suporte técnico de TI identificar a ameaça, pode haver aviso prévio suficiente para tomar medidas defensivas para prevenir ou minimizar os efeitos do ataque. Se a ameaça foi identificada por uma entidade externa (como a imposição da lei ou uma instituição financeira), é provável que o dano já esteja feito, e você verá evidências em seu ambiente de que o autor da ameaça já ganhou o controle administrativo de sua rede. Isso pode variar de notas de ransomware a telas bloqueadas ou pedidos de resgate.

Que data/hora soube do incidente pela primeira vez?

Estabelecer a data e a hora da atividade inicial é importante porque ajuda a reduzir o escopo da triagem inicial para vitórias rápidas do invasor. Outras perguntas que podem ser feitas:

  • Quais atualizações estavam faltando naquela data? É importante entender quais vulnerabilidades podem ter sido exploradas pelo adversário.
  • Quais contas foram usadas nessa data?
  • Quais novas contas foram criadas desde essa data?

Quais logs estão disponíveis e há algum indício de que o ator está acessando os sistemas no momento?

Os logs, como antivírus, EDR e rede virtual privada (VPN), são um indicador de suspeita de comprometimento. Perguntas de acompanhamento que podem ser feitas:

  • Os logs estão sendo agregados em uma solução SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança), como Microsoft Sentinel, Splunk, ArcSight e outros, e estão atualizados? Qual é o período de retenção de dados?
  • Há alguma suspeita de sistemas comprometidos que estão passando por atividades incomuns?
  • Há suspeita de alguma conta comprometida que parece ser usada ativamente pelo adversário?
  • Existe alguma evidência de comando e controles ativos (C2s) em EDR, firewall, VPN, proxy Web e outros logs?

Como parte da avaliação da situação atual, talvez você precise de um controlador de domínio dos Active Directory Domain Services (AD DS) que não tenha sido comprometido, um backup recente de um controlador de domínio ou um controlador de domínio recente colocado offline para manutenção ou atualizações. Determine também se a autenticação multifator (MFA) foi necessária para todos na empresa e se o Microsoft Entra ID foi usado.

Etapa 2: identificar os aplicativos LOB não disponíveis devido ao incidente

Essa etapa é fundamental para descobrir a maneira mais rápida de colocar os sistemas on-line novamente enquanto obtém as evidências necessárias.

O aplicativo requer uma identidade?

  • Como é feita a autenticação?
  • Como credenciais como certificados ou segredos são armazenadas e gerenciadas?

Há backups testados do aplicativo, da configuração e dos dados disponíveis?

  • O conteúdo e a integridade dos backups são verificados regularmente por meio de um exercício de restauração? Essa verificação é importante principalmente após alterações de gerenciamento de configuração ou atualizações de versão.

Etapa 3: determinar o processo de recuperação de comprometimento

Essa etapa pode ser necessária se você tiver determinado que o painel de controle, que normalmente é o AD DS, foi comprometido.

Sua investigação deve sempre ter a meta de fornecer resultados que alimentem diretamente o processo de RC. CR é o processo que remove o controle do invasor de um ambiente e aumenta taticamente a postura de segurança dentro de um período definido. A CR ocorre após a violação de segurança. Para saber mais sobre a CR, leia o artigo do blog CRSP: The emergency team fighting cyber attacks beside customers da Equipe de segurança para recuperação de comprometimento da Microsoft.

Depois de reunir as respostas às perguntas acima, é possível criar uma lista de tarefas e atribuir proprietários. Um fator importante para um compromisso de resposta a incidentes bem-sucedido é a documentação completa e detalhada de cada item de trabalho (como proprietário, status, descobertas, data e hora), tornando a compilação de descobertas no final do contrato um processo simples.

Recomendações e boas práticas da Resposta a Incidentes da Microsoft

Aqui estão as recomendações e boas práticas da Resposta a Incidentes da Microsoft para atividades de contenção e pós-incidente.

Contenção

A contenção pode ocorrer somente depois que você determinar o que precisa ser contido. No caso do ransomware, o objetivo do adversário é obter credenciais que permitam o controle administrativo sobre um servidor altamente disponível e, em seguida, implantar o ransomware. Em alguns casos, o ator da ameaça identifica dados confidenciais e os exfiltra para um local controlado por ele.

A recuperação tática é exclusiva para o ambiente, o setor e o nível de conhecimento e experiência de TI da organização. As etapas descritas abaixo são recomendadas para etapas de contenção táticas e de curto prazo que a organização pode executar. Para saber mais sobre orientações de longo prazo, consulte Securing privileged access. Para obter uma visão abrangente de ransomware e extorsão e como preparar e proteger sua organização, consulte Human-operated ransomware.

As etapas de contenção a seguir podem ser realizadas simultaneamente à medida que novos vetores de ameaça são descobertos.

Etapa 1: avaliar o escopo da situação

  • Quais contas de usuário foram comprometidas?
  • Quais dispositivos são afetados?
  • Quais aplicativos são afetados?

Etapa 2: preservar os sistemas existentes

  • Desative todas as contas de usuário privilegiadas, exceto um pequeno número de contas usadas por seus administradores para ajudar a redefinir a integridade de sua infraestrutura do AD DS. Se você acredita que uma conta de usuário está comprometida, desative-a imediatamente.
  • Isole os sistemas comprometidos da rede, mas não os desligue.
  • Isolar pelo menos um controlador de domínio em boas condições em cada domínio. Dois é ainda melhor. Desconecte-os da rede ou desligue-os completamente. O objetivo é impedir a disseminação de ransomware para sistemas críticos. A identidade está entre os mais vulneráveis. Se todos os controladores de domínio forem virtuais, certifique-se de que o sistema e as unidades de dados da plataforma de virtualização sejam armazenados em mídia externa offline que não esteja conectada à rede, caso a própria plataforma de virtualização seja comprometida.
  • Isole os servidores de aplicativos críticos em boas condições, por exemplo, SAP, banco de dados de gerenciamento de configuração (CMDB), sistemas de faturamento e contabilidade.

Essas duas etapas podem ser realizadas simultaneamente à medida que novos vetores de ameaça são descobertos. Desative esses vetores de ameaça e tente encontrar um sistema em boas condições para isolar da rede.

Outras ações táticas de contenção podem incluir:

  • Redefina a senha do krbtgt, duas vezes em rápida sucessão. Considere o uso de um processo roteirizado e repetível. Esse script permite redefinir a senha da conta krbtgt e as chaves relacionadas, minimizando a probabilidade de problemas de autenticação Kerberos serem causados pela operação. Para minimizar possíveis problemas, o tempo de vida do krbtgt pode ser reduzido uma ou mais vezes antes da primeira redefinição de senha para que as duas redefinições sejam feitas rapidamente. Observe que todos os controladores de domínio que você planeja manter em seu ambiente devem estar online.

  • Implante uma Política de Grupo em todo o(s) domínio(s) que impeça o logon privilegiado (Administradores de Domínio) em qualquer coisa, exceto controladores de domínio e estações de trabalho somente administrativas privilegiadas (se houver).

  • Instale todas as atualizações de segurança ausentes para sistemas operacionais e aplicativos. Cada atualização ausente é um vetor de ameaça potencial que os adversários podem identificar e explorar rapidamente. O Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade fornece uma maneira fácil de ver exatamente o que está faltando, bem como o impacto potencial das atualizações ausentes.

  • Verifique se todos os aplicativos externos, incluindo o acesso VPN, estão protegidos por autenticação multifator, de preferência usando um aplicativo de autenticação que esteja sendo executado em um dispositivo seguro.

  • Para dispositivos que não usam o Defender para Ponto de Extremidade como software antivírus principal, execute uma verificação completa com o Verificador de Segurança da Microsoft em sistemas isolados em boas condições antes de reconectá-los à rede.

  • Para qualquer sistema operacional herdado, atualize para um sistema operacional compatível ou descomissione esses dispositivos. Se essas opções não estiverem disponíveis, tome todas as medidas possíveis para isolar esses dispositivos, incluindo isolamento de rede/VLAN, regras de IPsec (Internet Protocol Security) e restrições de entrada, para que eles só sejam acessíveis aos aplicativos pelos usuários/dispositivos para fornecer continuidade de negócios.

As configurações mais arriscadas consistem em executar sistemas de missão crítica em sistemas operacionais herdados tão antigos quanto o Windows NT 4.0 e aplicativos, todos em hardware herdado. Não só esses sistemas operacionais e aplicativos são inseguros e vulneráveis, como se esse hardware falhar, os backups normalmente não poderão ser restaurados no hardware moderno. A menos que hardware herdado de substituição esteja disponível, esses aplicativos deixam de funcionar. Considere seriamente a possibilidade de converter esses aplicativos para que sejam executados nos sistemas operacionais e no hardware atuais.

Atividades pós-incidente

A Resposta a Incidentes da Microsoft recomenda implementar as recomendações e boas práticas de segurança a seguir após cada incidente.

  • Certifique-se de que as melhores práticas estão em vigor para soluções de email e colaboração a fim de tornar mais difícil aos invasores abusar delas e permitir que os usuários acessem o conteúdo externo com facilidade e segurança.

  • Siga as melhores práticas de segurança Confiança Zero para soluções de acesso remoto a recursos organizacionais internos.

  • Começando com administradores de impacto crítico, siga as práticas recomendadas para segurança de conta, incluindo o uso de autenticação sem senha ou MFA.

  • Implementar uma estratégia abrangente para reduzir o risco de comprometimento de acessos com privilégios.

  • Implementar proteção de dados para bloquear técnicas de ransomware e confirmar a recuperação rápida e confiável de um ataque.

  • Revise seus sistemas críticos. Verifique se há proteção e backups contra eliminação ou criptografia deliberadas de atacantes. É importante que você teste e valide periodicamente esses backups.

  • Garanta a rápida detecção e correção de ataques comuns em endpoint, email e identidade.

  • Descubra ativamente e melhore continuamente a postura de segurança do ambiente.

  • Atualize os processos organizacionais para gerenciar os principais eventos de ransomware e simplifique a terceirização para evitar atrito.

PAM

O uso do PAM (anteriormente conhecido como modelo de administração hierárquica) aprimora a postura de segurança do Microsoft Entra ID, que envolve:

  • Dividir contas administrativas em um ambiente "planejado": uma conta para cada nível, geralmente quatro:

  • Painel de Controle (anteriormente Camada 0): Administração de controladores de domínio e outros serviços de identidade cruciais, como os Serviços de Federação do Active Directory (AD FS) ou o Microsoft Entra Connect, que também inclui aplicativos de servidor que exigem permissões administrativas para o AD DS, como o Exchange Server.

  • Os dois painéis seguintes eram anteriormente Camada 1:

    • Plano de gerenciamento: gerenciamento, monitoramento e segurança de ativos.

    • Plano de Dados/Carga de Trabalho: aplicativos e servidores de aplicativos.

  • Os dois painéis seguintes eram anteriormente Camada 1:

    • Acesso de usuário: direitos de acesso para usuários (como contas).

    • Acesso a aplicativos: direitos de acesso para aplicativos.

  • Cada um desses planos tem uma estação de trabalho administrativa separada para cada plano e só tem acesso aos sistemas desse plano. Outras contas de outros painéis têm acesso negado a estações de trabalho e servidores nos outros painéis por meio de atribuições de direitos de usuário definidas para essas máquinas.

O resultado líquido do PAM é que:

  • Uma conta de usuário comprometida só tem acesso ao painel ao qual pertence.

  • Contas de usuário mais confidenciais não farão login em estações de trabalho e servidores com um nível de segurança de painel mais baixo, reduzindo assim o movimento lateral.

LAPS

Por padrão, o Microsoft Windows e o AD DS não têm gerenciamento centralizado de contas administrativas locais em estações de trabalho e servidores membros. Isso pode resultar em uma senha comum que é dada para todas essas contas locais ou, pelo menos, em grupos de máquinas. Essa situação permite que possíveis invasores comprometam uma conta de administrador local e, em seguida, usem essa conta para obter acesso a outras estações de trabalho ou servidores na organização.

O LAPS da Microsoft atenua isso usando uma extensão do lado do cliente da Política de Grupo que altera a senha administrativa local em intervalos regulares em estações de trabalho e servidores de acordo com o conjunto de políticas. Cada uma dessas senhas é diferente e armazenada como um atributo no objeto de computador do AD DS. Esse atributo pode ser recuperado de um aplicativo cliente simples, dependendo das permissões atribuídas a esse atributo.

O LAPS requer que o esquema do AD DS seja estendido para permitir que o atributo adicional, os modelos de Política de Grupo LAPS sejam instalados e uma pequena extensão do lado do cliente seja instalada em cada estação de trabalho e servidor membro para fornecer a funcionalidade do lado do cliente.

Você pode obter o LAPS no Centro de Download da Microsoft.

Recursos adicionais de ransomware

Informações importantes da Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender para Aplicativos de Nuvem: