Responder a ataques de ransomware

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Quando suspeitar que estava ou está atualmente sob um ataque de ransomware, estabeleça comunicações seguras com a sua equipa de resposta a incidentes imediatamente. Podem realizar as seguintes fases de resposta para interromper o ataque e mitigar os danos:

• Investigação e contenção
• Erradicação e recuperação

Este artigo fornece um manual de procedimentos generalizado para responder a ataques de ransomware. Considere adaptar os passos e tarefas descritos neste artigo ao seu próprio manual de procedimentos de operações de segurança. NOTA: para obter informações sobre como prevenir ataques de ransomware, consulte Implementar rapidamente prevenções de ransomware.

Contenção

A contenção e a investigação devem ocorrer o mais simultaneamente possível; No entanto, deve concentrar-se em alcançar rapidamente a contenção, para que tenha mais tempo para investigar. Estes passos ajudam-no a determinar o âmbito do ataque e a isolá-lo apenas para entidades afetadas, como contas de utilizador e dispositivos.

Passo 1: Avaliar o âmbito do incidente

Veja esta lista de perguntas e tarefas para descobrir a extensão do ataque. Microsoft Defender XDR pode fornecer uma vista consolidada de todos os recursos afetados ou em risco para ajudar na avaliação da resposta a incidentes. Veja Resposta a incidentes com Microsoft Defender XDR. Pode utilizar os alertas e a lista de provas no incidente para determinar:

• Que contas de utilizador podem estar comprometidas?
  • Que contas foram utilizadas para entregar o payload?
• Que dispositivos integrados e detetados são afetados e como?
  • Dispositivos de origem
  • Dispositivos afetados
  • Dispositivos suspeitos
• Identifique qualquer comunicação de rede associada ao incidente.
• Que aplicações são afetadas?
• Que payloads foram distribuídos?
• Como é que o atacante está a comunicar com os dispositivos comprometidos? (A proteção de rede tem de estar ativada):
  • Aceda à página indicadores para adicionar um bloco para o IP e o URL (se tiver essas informações).
• Qual era o meio de entrega de payload?

Passo 2: Preservar os sistemas existentes

Execute esta lista de tarefas e perguntas para proteger os sistemas existentes contra ataques:

• Se tiver cópias de segurança online, considere desligar o sistema de cópia de segurança da rede até ter a certeza de que o ataque está contido, consulte Plano de cópia de segurança e restauro para proteger contra ransomware | Microsoft Docs.
• Se estiver a experienciar ou esperar uma implementação de ransomware iminente e ativa:
  • Suspenda as contas privilegiadas e locais que suspeita fazerem parte do ataque. Pode fazê-lo a partir do separador Utilizadores nas propriedades do incidente no portal do Microsoft Defender.
  • Pare todas as sessões de início de sessão remoto.
  • Reponha as palavras-passe da conta de utilizador comprometida e exija que os utilizadores de contas de utilizador comprometidas iniciem sessão novamente.
  • Faça o mesmo para contas de utilizador que possam estar comprometidas.
  • Se as contas locais partilhadas estiverem comprometidas, peça ao administrador de TI que o ajude a impor uma alteração de palavra-passe em todos os dispositivos expostos. Exemplo de consulta Kusto:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Para os dispositivos que ainda não estão isolados e não fazem parte da infraestrutura crítica:
  • Isole os dispositivos comprometidos da rede, mas não os desligue.
  • Se identificar os dispositivos de origem ou de propagação, isole-os primeiro.
• Preservar sistemas comprometidos para análise.

Passo 3: Impedir a propagação

Utilize esta lista para impedir que o ataque se espalhe para entidades adicionais.

• Se estiverem a ser utilizadas contas locais partilhadas no ataque, considere Bloquear a Utilização Remota de Contas Locais.
  • Consulta Kusto para todos os inícios de sessão de rede que são administradores locais:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Consulta Kusto para inícios de sessão não RDP (mais realista para a maioria das redes):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Colocar em quarentena e adicionar indicadores para ficheiros infetados.
• Certifique-se de que a solução antivírus é configurável no seu estado de proteção ideal. Para Microsoft Defender Antivírus, isto inclui:
  • A proteção em tempo real está ativada.
  • A proteção contra adulteração está ativada. No portal Microsoft Defender, selecione Definições > Pontos finais Funcionalidades avançadas > Proteção > contra adulteração.
  • As regras de redução da superfície de ataque estão ativadas.
  • A proteção da cloud está ativada.
• Desative Exchange ActiveSync e Sincronização do OneDrive.
  • Para desativar Exchange ActiveSync de uma caixa de correio, consulte Como desativar Exchange ActiveSync para utilizadores no Exchange Online.
  • Para desativar outros tipos de acesso a uma caixa de correio, consulte:
    • Ativar ou desativar o MAPI para uma caixa de correio.
    • Ativar ou Desativar o acesso POP3 ou IMAP4 para um utilizador.
  • Colocar Sincronização do OneDrive em pausa ajuda a proteger os seus dados da cloud de serem atualizados por dispositivos potencialmente infetados. Para obter mais informações, consulte Como Colocar em Pausa e Retomar a sincronização no OneDrive.
• Aplique patches relevantes e alterações de configuração nos sistemas afetados.
• Bloquear comunicações de ransomware através de controlos internos e externos.
• Remover conteúdo em cache

Investigação

Utilize esta secção para investigar o ataque e planear a sua resposta.

Avaliar a sua situação atual

• O que inicialmente o fez ter conhecimento do ataque de ransomware?
  • Se a equipa de TI identificou a ameaça inicial ( como notar que as cópias de segurança estão a ser eliminadas, alertas antivírus, alertas de deteção e resposta de pontos finais (EDR) ou alterações suspeitas do sistema — é frequentemente possível tomar medidas decisivas rápidas para impedir o ataque, normalmente pelas ações de contenção descritas neste artigo.
• Que data e hora aprendeu pela primeira vez sobre o incidente?
  • Que atualizações de sistema e segurança não foram instaladas nos dispositivos nessa data? Isto é importante para compreender que vulnerabilidades podem ter sido aproveitadas para que possam ser resolvidas noutros dispositivos.
  • Que contas de utilizador foram utilizadas nessa data?
  • Que novas contas de utilizador foram criadas desde essa data?
  • Que programas foram adicionados para serem iniciados automaticamente por volta da hora em que o incidente ocorreu?
• Existe alguma indicação de que o atacante está atualmente a aceder aos sistemas?
  • Existem sistemas comprometidos suspeitos que estejam a ter atividade invulgar?
  • Existem contas comprometidas suspeitas que parecem estar a ser utilizadas ativamente pelo adversário?
  • Existem provas de servidores de comando e controlo (C2) ativos em EDR, firewall, VPN, proxy Web e outros registos?

Identificar o processo de ransomware

• Com a investigação avançada, procure o processo identificado nos eventos de criação do processo noutros dispositivos.

Procurar credenciais expostas nos dispositivos infetados

• Para contas de utilizador cujas credenciais foram potencialmente comprometidas, reponha as palavras-passe da conta e exija que os utilizadores iniciem sessão novamente.
• As seguintes IOAs podem indicar movimento lateral:

Clique para expandir

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Amplificador mimikatz Defender
• Ferramenta de análise de rede utilizada pelo PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Process Accesses Lsass
• Execução de Processos Rundll32 Suspeita
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FalsoWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Registo de DLL suspeito por odbcconf
• Atividade DPAPI Suspeita
• Execução de Processos de Troca Suspeitas
• Iniciação de tarefa agendada suspeita
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• A aplicação não fidedigno abre uma ligação RDP

Identificar as aplicações de linha de negócio (LOB) que não estão disponíveis devido ao incidente

• A aplicação necessita de uma identidade?
  • Como é executada a autenticação?
  • Como são armazenadas e geridas credenciais como certificados ou segredos?
• As cópias de segurança avaliadas da aplicação, a respetiva configuração e os respetivos dados estão disponíveis?
• Determine o processo de recuperação comprometido.

Erradicação e recuperação

Utilize estes passos para erradicar a ameaça e recuperar recursos danificados.

Passo 1: Verificar as cópias de segurança

Se tiver cópias de segurança offline, é provável que possa restaurar os dados que foram encriptados depois de remover o payload de ransomware (software maligno) do seu ambiente e depois de verificar que não existe acesso não autorizado no seu inquilino do Microsoft 365.

Passo 2: Adicionar indicadores

Adicione canais de comunicação de atacante conhecidos como indicadores, bloqueados em firewalls, nos servidores proxy e nos pontos finais.

Passo 3: Repor utilizadores comprometidos

Reponha as palavras-passe de quaisquer contas de utilizador comprometidas conhecidas e exija um novo início de sessão.

• Considere repor as palavras-passe de qualquer conta com privilégios com ampla autoridade administrativa, como os membros do grupo Admins do Domínio.
• Se uma conta de utilizador tiver sido criada por um atacante, desative a conta. Não elimine a conta, a menos que não existam planos para realizar peritos em segurança para o incidente.

Passo 4: Isolar pontos de controlo do atacante

Isole quaisquer pontos de controlo de atacante conhecidos dentro da empresa a partir da Internet.

Passo 5: Remover software maligno

Remova o software maligno dos dispositivos afetados.

• Execute uma análise completa e atual do antivírus em todos os computadores e dispositivos suspeitos para detetar e remover o payload associado ao ransomware.
• Não se esqueça de analisar dispositivos que sincronizam dados ou os destinos de unidades de rede mapeadas.

Passo 6: Recuperar ficheiros num dispositivo limpo

Recuperar ficheiros num dispositivo limpo.

• Pode utilizar o Histórico de Ficheiros no Windows 11, Windows 10, Windows 8.1 e Proteção do Sistema no Windows 7 para tentar recuperar os seus ficheiros e pastas locais.

Passo 7: Recuperar ficheiros no OneDrive para Empresas

Recuperar ficheiros no OneDrive para Empresas.

• O Restauro de Ficheiros no OneDrive para Empresas permite-lhe restaurar um OneDrive inteiro para um ponto anterior no tempo nos últimos 30 dias. Para obter mais informações, consulte Restaurar o seu OneDrive.

Passo 8: Recuperar e-mail eliminado

Recuperar e-mail eliminado.

• No caso raro de o ransomware ter eliminado todo o e-mail numa caixa de correio, pode recuperar os itens eliminados. Consulte Recuperar mensagens eliminadas na caixa de correio de um utilizador no Exchange Online.

Passo 9: Reativar Exchange ActiveSync e Sincronização do OneDrive

• Depois de limpar os seus computadores e dispositivos e recuperar os dados, pode reativar Exchange ActiveSync e Sincronização do OneDrive que desativou anteriormente no passo 3 da contenção.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.