Partilhar via


Responder a ataques de ransomware

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Quando suspeitar que estava ou está atualmente sob um ataque de ransomware, estabeleça comunicações seguras com a sua equipa de resposta a incidentes imediatamente. Podem realizar as seguintes fases de resposta para interromper o ataque e mitigar os danos:

  • Investigação e contenção
  • Erradicação e recuperação

Este artigo fornece um manual de procedimentos generalizado para responder a ataques de ransomware. Considere adaptar os passos e tarefas descritos neste artigo ao seu próprio manual de procedimentos de operações de segurança. NOTA: para obter informações sobre como prevenir ataques de ransomware, consulte Implementar rapidamente prevenções de ransomware.

Contenção

A contenção e a investigação devem ocorrer o mais simultaneamente possível; No entanto, deve concentrar-se em alcançar rapidamente a contenção, para que tenha mais tempo para investigar. Estes passos ajudam-no a determinar o âmbito do ataque e a isolá-lo apenas para entidades afetadas, como contas de utilizador e dispositivos.

Passo 1: Avaliar o âmbito do incidente

Veja esta lista de perguntas e tarefas para descobrir a extensão do ataque. Microsoft Defender XDR pode fornecer uma vista consolidada de todos os recursos afetados ou em risco para ajudar na avaliação da resposta a incidentes. Veja Resposta a incidentes com Microsoft Defender XDR. Pode utilizar os alertas e a lista de provas no incidente para determinar:

  • Que contas de utilizador podem estar comprometidas?
    • Que contas foram utilizadas para entregar o payload?
  • Que dispositivos integrados e detetados são afetados e como?
    • Dispositivos de origem
    • Dispositivos afetados
    • Dispositivos suspeitos
  • Identifique qualquer comunicação de rede associada ao incidente.
  • Que aplicações são afetadas?
  • Que payloads foram distribuídos?
  • Como é que o atacante está a comunicar com os dispositivos comprometidos? (A proteção de rede tem de estar ativada):
    • Aceda à página indicadores para adicionar um bloco para o IP e o URL (se tiver essas informações).
  • Qual era o meio de entrega de payload?

Passo 2: Preservar os sistemas existentes

Execute esta lista de tarefas e perguntas para proteger os sistemas existentes contra ataques:

  • Se tiver cópias de segurança online, considere desligar o sistema de cópia de segurança da rede até ter a certeza de que o ataque está contido, consulte Plano de cópia de segurança e restauro para proteger contra ransomware | Microsoft Docs.
  • Se estiver a experienciar ou esperar uma implementação de ransomware iminente e ativa:
    • Suspenda as contas privilegiadas e locais que suspeita fazerem parte do ataque. Pode fazê-lo a partir do separador Utilizadores nas propriedades do incidente no portal do Microsoft Defender.
    • Pare todas as sessões de início de sessão remoto.
    • Reponha as palavras-passe da conta de utilizador comprometida e exija que os utilizadores de contas de utilizador comprometidas iniciem sessão novamente.
    • Faça o mesmo para contas de utilizador que possam estar comprometidas.
    • Se as contas locais partilhadas estiverem comprometidas, peça ao administrador de TI que o ajude a impor uma alteração de palavra-passe em todos os dispositivos expostos. Exemplo de consulta Kusto:
DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 
  • Para os dispositivos que ainda não estão isolados e não fazem parte da infraestrutura crítica:
    • Isole os dispositivos comprometidos da rede, mas não os desligue.
    • Se identificar os dispositivos de origem ou de propagação, isole-os primeiro.
  • Preservar sistemas comprometidos para análise.

Passo 3: Impedir a propagação

Utilize esta lista para impedir que o ataque se espalhe para entidades adicionais.

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
  • Consulta Kusto para inícios de sessão não RDP (mais realista para a maioria das redes):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

Investigação

Utilize esta secção para investigar o ataque e planear a sua resposta.

Avaliar a sua situação atual

  • O que inicialmente o fez ter conhecimento do ataque de ransomware?
    • Se a equipa de TI identificou a ameaça inicial ( como notar que as cópias de segurança estão a ser eliminadas, alertas antivírus, alertas de deteção e resposta de pontos finais (EDR) ou alterações suspeitas do sistema — é frequentemente possível tomar medidas decisivas rápidas para impedir o ataque, normalmente pelas ações de contenção descritas neste artigo.
  • Que data e hora aprendeu pela primeira vez sobre o incidente?
    • Que atualizações de sistema e segurança não foram instaladas nos dispositivos nessa data? Isto é importante para compreender que vulnerabilidades podem ter sido aproveitadas para que possam ser resolvidas noutros dispositivos.
    • Que contas de utilizador foram utilizadas nessa data?
    • Que novas contas de utilizador foram criadas desde essa data?
    • Que programas foram adicionados para serem iniciados automaticamente por volta da hora em que o incidente ocorreu?
  • Existe alguma indicação de que o atacante está atualmente a aceder aos sistemas?
    • Existem sistemas comprometidos suspeitos que estejam a ter atividade invulgar?
    • Existem contas comprometidas suspeitas que parecem estar a ser utilizadas ativamente pelo adversário?
    • Existem provas de servidores de comando e controlo (C2) ativos em EDR, firewall, VPN, proxy Web e outros registos?

Identificar o processo de ransomware

Procurar credenciais expostas nos dispositivos infetados

  • Para contas de utilizador cujas credenciais foram potencialmente comprometidas, reponha as palavras-passe da conta e exija que os utilizadores iniciem sessão novamente.
  • As seguintes IOAs podem indicar movimento lateral:
Clique para expandir
  • SuspiciousExploratoryCommands
  • MLFileBasedAlert
  • IfeoDebuggerPersistence
  • SuspiciousRemoteFileDropAndExecution
  • ExploratoryWindowsCommands
  • IoaStickyKeys
  • Amplificador mimikatz Defender
  • Ferramenta de análise de rede utilizada pelo PARINACOTA
  • DefenderServerAlertMSSQLServer
  • SuspiciousLowReputationFileDrop
  • SuspiciousServiceExecution
  • AdminUserAddition
  • MimikatzArtifactsDetector
  • Scuba-WdigestEnabledToAccessCredentials
  • DefenderMalware
  • MLSuspCmdBehavior
  • MLSuspiciousRemoteInvocation
  • SuspiciousRemoteComponentInvocation
  • SuspiciousWmiProcessCreation
  • MLCmdBasedWithRemoting
  • Process Accesses Lsass
  • Execução de Processos Rundll32 Suspeita
  • BitsAdmin
  • DefenderCobaltStrikeDetection
  • DefenderHacktool
  • IoaSuspPSCommandline
  • Metasploit
  • MLSuspToolBehavior
  • RegistryQueryForPasswords
  • SuspiciousWdavExclusion
  • ASEPRegKey
  • CobaltStrikeExecutionDetection
  • DefenderBackdoor
  • DefenderBehaviorSuspiciousActivity
  • DefenderMalwareExecuted
  • DefenderServerAlertDomainController
  • DupTokenPrivilegeEscalationDetector
  • FalsoWindowsBinary
  • IoaMaliciousCmdlets
  • LivingOffTheLandBinary
  • MicrosoftSignedBinaryAbuse
  • MicrosoftSignedBinaryScriptletAbuse
  • MLFileBasedWithRemoting
  • MLSuspSvchostBehavior
  • ReadSensitiveMemory
  • RemoteCodeInjection-IREnabled
  • Scuba-EchoSeenOverPipeOnLocalhost
  • Scuba-SuspiciousWebScriptFileDrop
  • Registo de DLL suspeito por odbcconf
  • Atividade DPAPI Suspeita
  • Execução de Processos de Troca Suspeitas
  • Iniciação de tarefa agendada suspeita
  • SuspiciousLdapQueryDetector
  • SuspiciousScheduledTaskRegistration
  • A aplicação não fidedigno abre uma ligação RDP

Identificar as aplicações de linha de negócio (LOB) que não estão disponíveis devido ao incidente

  • A aplicação necessita de uma identidade?
    • Como é executada a autenticação?
    • Como são armazenadas e geridas credenciais como certificados ou segredos?
  • As cópias de segurança avaliadas da aplicação, a respetiva configuração e os respetivos dados estão disponíveis?
  • Determine o processo de recuperação comprometido.

Erradicação e recuperação

Utilize estes passos para erradicar a ameaça e recuperar recursos danificados.

Passo 1: Verificar as cópias de segurança

Se tiver cópias de segurança offline, é provável que possa restaurar os dados que foram encriptados depois de remover o payload de ransomware (software maligno) do seu ambiente e depois de verificar que não existe acesso não autorizado no seu inquilino do Microsoft 365.

Passo 2: Adicionar indicadores

Adicione canais de comunicação de atacante conhecidos como indicadores, bloqueados em firewalls, nos servidores proxy e nos pontos finais.

Passo 3: Repor utilizadores comprometidos

Reponha as palavras-passe de quaisquer contas de utilizador comprometidas conhecidas e exija um novo início de sessão.

  • Considere repor as palavras-passe de qualquer conta com privilégios com ampla autoridade administrativa, como os membros do grupo Admins do Domínio.
  • Se uma conta de utilizador tiver sido criada por um atacante, desative a conta. Não elimine a conta, a menos que não existam planos para realizar peritos em segurança para o incidente.

Passo 4: Isolar pontos de controlo do atacante

Isole quaisquer pontos de controlo de atacante conhecidos dentro da empresa a partir da Internet.

Passo 5: Remover software maligno

Remova o software maligno dos dispositivos afetados.

  • Execute uma análise completa e atual do antivírus em todos os computadores e dispositivos suspeitos para detetar e remover o payload associado ao ransomware.
  • Não se esqueça de analisar dispositivos que sincronizam dados ou os destinos de unidades de rede mapeadas.

Passo 6: Recuperar ficheiros num dispositivo limpo

Recuperar ficheiros num dispositivo limpo.

  • Pode utilizar o Histórico de Ficheiros no Windows 11, Windows 10, Windows 8.1 e Proteção do Sistema no Windows 7 para tentar recuperar os seus ficheiros e pastas locais.

Passo 7: Recuperar ficheiros no OneDrive para Empresas

Recuperar ficheiros no OneDrive para Empresas.

  • O Restauro de Ficheiros no OneDrive para Empresas permite-lhe restaurar um OneDrive inteiro para um ponto anterior no tempo nos últimos 30 dias. Para obter mais informações, consulte Restaurar o seu OneDrive.

Passo 8: Recuperar e-mail eliminado

Recuperar e-mail eliminado.

Passo 9: Reativar Exchange ActiveSync e Sincronização do OneDrive

  • Depois de limpar os seus computadores e dispositivos e recuperar os dados, pode reativar Exchange ActiveSync e Sincronização do OneDrive que desativou anteriormente no passo 3 da contenção.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.