Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os incidentes de ransomware normalmente apresentam sinais de aviso distintos que as equipas de segurança podem identificar. Ao contrário de outros tipos de malware, o ransomware geralmente produz indicadores altamente evidentes que exigem uma investigação mínima antes de declarar um incidente. Esses gatilhos de alta confiança contrastam com ameaças mais sutis que exigiriam uma análise extensiva antes da escalada. Quando o ransomware ataca, as provas são muitas vezes inequívocas.
Em geral, tais infeções são óbvias a partir do comportamento básico do sistema, a ausência de sistema chave ou arquivos do usuário, e a exigência de resgate. Nesses casos, o analista deve considerar se deve declarar e escalar imediatamente o incidente, incluindo tomar quaisquer ações automatizadas para mitigar o ataque.
Detetar ataques de ransomware
O Microsoft Defender for Cloud oferece recursos de deteção e resposta a ameaças de alta qualidade, também chamados de XDR (Extended Detection and Response).
Garanta a rápida deteção e correção de ataques comuns a VMs, SQL Servers, aplicativos Web e identidade.
Prioritize Pontos de Entrada Comuns – Os operadores de Ransomware (e outros) favorecem Endpoint/Email/Identidade + Remote Desktop Protocol (RDP)
- XDR integrado - Use ferramentas XDR (Extended Detection and Response) integradas, como o Microsoft Defender for Cloud , para fornecer alertas de alta qualidade e minimizar o atrito e as etapas manuais durante a resposta
- Brute Force - Monitore tentativas de força bruta, como password spray
Monitor de Desativação de Segurança pelo Adversário – Muitas vezes parte da cadeia de ataques de ransomware Human-Operated (HumOR)
Limpeza de logs de eventos – especialmente o log de eventos de segurança e os logs operacionais do PowerShell
- Desativação de ferramentas/controles de segurança (associados a alguns grupos)
Don't Ignore Commodity Malware - Os atacantes de ransomware compram regularmente acesso a organizações-alvo de mercados obscuros
Integre especialistas externos em processos para complementar a experiência, como a equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP).
Isole rapidamente dispositivos comprometidos usando o Defender for Endpoint numa implantação local.
Responder a ataques de ransomware
Declaração de incidente
Uma vez confirmada uma infeção ransomware bem-sucedida, o analista deve verificar se ela representa um novo incidente ou se pode estar relacionada a um incidente existente. Procure bilhetes atualmente abertos que indiquem incidentes semelhantes. Em caso afirmativo, atualize o ticket de incidente atual com novas informações no sistema de bilhetagem. Se se tratar de um incidente novo, um incidente deve ser declarado no sistema de bilhética relevante e encaminhado para as equipas ou fornecedores adequados para conter e mitigar o incidente. Esteja ciente de que o gerenciamento de incidentes de ransomware pode exigir ações tomadas por várias equipes de TI e segurança. Sempre que possível, certifique-se de que o ticket é claramente identificado como um incidente de ransomware para orientar o fluxo de trabalho.
Contenção/Mitigação
Em geral, várias soluções antimalware de servidor/ponto final, antimalware de e-mail e proteção de rede devem ser configuradas para conter e mitigar automaticamente ransomware conhecido. Pode haver casos, no entanto, em que a variante específica do ransomware é capaz de contornar essas proteções e infetar com sucesso os sistemas alvo.
A Microsoft fornece recursos abrangentes para ajudar a atualizar seus processos de resposta a incidentes nas Principais Práticas Recomendadas de Segurança do Azure.
A seguir estão as ações recomendadas para conter ou mitigar um incidente declarado envolvendo ransomware onde as ações automatizadas tomadas pelos sistemas antimalware não são bem-sucedidas:
- Envolva fornecedores de antimalware por meio de processos de suporte padrão
- Adicione manualmente hashes e outras informações associadas a malware a sistemas antimalware
- Aplicar atualizações de fornecedor antimalware
- Conter os sistemas afetados até que possam ser remediados
- Desativar contas comprometidas
- Executar análise de causa raiz
- Aplicar patches e alterações de configuração relevantes nos sistemas afetados
- Bloqueie comunicações de ransomware usando controles internos e externos
- Limpar conteúdo armazenado em cache
Caminho para a recuperação
A Equipa de Deteção e Resposta da Microsoft ajuda a protegê-lo de ataques
Compreender e corrigir os problemas de segurança fundamentais que levaram ao comprometimento em primeiro lugar deve ser uma prioridade para os alvos de ransomware.
Integre especialistas externos em processos para complementar a experiência, como o Microsoft Incident Response. A Resposta a Incidentes da Microsoft interage com clientes em todo o mundo, ajudando a proteger e proteger contra ataques antes que eles ocorram, além de investigar e remediar quando um ataque ocorreu.
Os clientes podem contratar nossos especialistas em segurança diretamente do Portal do Microsoft Defender para obter uma resposta oportuna e precisa. Os especialistas fornecem as informações necessárias para entender melhor as ameaças complexas que afetam sua organização, desde consultas de alerta, dispositivos potencialmente comprometidos, causa raiz de uma conexão de rede suspeita até informações adicionais sobre ameaças em relação a campanhas avançadas de ameaças persistentes em andamento.
A Microsoft está pronta para ajudar a sua empresa a regressar a operações seguras.
A Microsoft realiza centenas de recuperações de comprometimento e tem uma metodologia testada e comprovada. Não só o levará a uma posição mais segura, como também lhe dará a oportunidade de considerar a sua estratégia a longo prazo, em vez de reagir à situação.
A Microsoft fornece serviços de Recuperação Rápida de Ransomware. Neste âmbito, é prestada assistência em todas as áreas, tais como o restabelecimento de serviços de identidade, a remediação, o reforço e a implementação de monitorização para ajudar os alvos de ataques de ransomware a regressarem à normalidade no mais curto espaço de tempo possível.
Nossos serviços de Recuperação Rápida de Ransomware são tratados como "Confidenciais" durante o contrato. Os compromissos de Recuperação Rápida de Ransomware são realizados exclusivamente pela equipa Compromise Recovery Security Practice (CRSP), parte do domínio Azure Cloud & AI. Para obter mais informações, você pode entrar em contato com o CRSP em Solicitar contato sobre a segurança do Azure.
O que vem a seguir
Consulte o documento técnico: Defesas do Azure para ataques de ransomware.
Outros artigos desta série: