Abordagem e práticas recomendadas de ransomware da equipe de resposta a incidentes da Microsoft

O ransomware operado por humanos não é um problema de software malicioso - é um problema criminoso humano. As soluções usadas para resolver problemas de commodities não são suficientes para prevenir uma ameaça que mais se assemelha a um agente de ameaça de Estado-nação que:

• Desativa ou desinstala o software antivírus antes de encriptar ficheiros
• Desativa os serviços de segurança e o registro em log para evitar a deteção
• Localiza e corrompe ou exclui backups antes de enviar um pedido de resgate

Essas ações geralmente são feitas com programas legítimos - como o Quick Assist em maio de 2024 - que você já pode ter em seu ambiente para fins administrativos. Nas mãos de criminosos, essas ferramentas são usadas maliciosamente para realizar ataques.

Responder à crescente ameaça de ransomware requer uma combinação de configuração empresarial moderna, produtos de segurança atualizados e a vigilância de pessoal de segurança treinado para detetar e responder às ameaças antes que os dados sejam perdidos.

A equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP) responde a comprometimentos de segurança para ajudar os clientes a se tornarem ciberresilientes. A Resposta a Incidentes da Microsoft fornece resposta reativa a incidentes no local e investigações proativas remotas. O Microsoft Incident Response usa as parcerias estratégicas da Microsoft com organizações de segurança em todo o mundo e grupos internos de produtos da Microsoft para fornecer a investigação mais completa e completa possível.

Este artigo descreve como o Microsoft Incident Response lida com ataques de ransomware para clientes da Microsoft, para que você possa considerar a aplicação de elementos de sua abordagem e práticas recomendadas para seu próprio manual de operações de segurança.

Nota

O conteúdo deste artigo foi derivado do blog Um guia para combater ransomware operado por humanos: Parte 1 e Um guia para combater ransomware operado por humanos: Parte 2 Postagens no blog da equipe de segurança da Microsoft.

Como a Resposta a Incidentes da Microsoft usa os serviços de segurança da Microsoft

A Resposta a Incidentes da Microsoft depende fortemente de dados para todas as investigações e usa implantações existentes de serviços de segurança da Microsoft, como Microsoft Defender para Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps.

Microsoft Defender para Ponto Final

O Defender for Endpoint é a plataforma de segurança de endpoint empresarial da Microsoft projetada para ajudar os analistas de segurança de rede corporativa a prevenir, detetar, investigar e responder a ameaças avançadas. O Defender for Endpoint pode detetar ataques usando análise comportamental avançada e aprendizado de máquina. Seus analistas podem usar o Defender for Endpoint para análises comportamentais de invasores.

Seus analistas também podem realizar consultas de caça avançadas para desativar indicadores de comprometimento (IOCs) ou procurar comportamento conhecido se identificarem um grupo de agentes de ameaça.

No Defender for Endpoint, você tem acesso a um serviço de monitoramento e análise de nível especializado em tempo real dos Especialistas em Ameaças da Microsoft para atividades suspeitas contínuas de atores. Você também pode colaborar com especialistas sob demanda para obter mais informações sobre alertas e incidentes.

Microsoft Defender para Identidade

Você usa o Defender for Identity para investigar contas comprometidas conhecidas e encontrar contas potencialmente comprometidas em sua organização. O Defender for Identity envia alertas para atividades maliciosas conhecidas que os atores costumam usar, como ataques DCSync, tentativas de execução remota de código e ataques pass-the-hash. O Defender for Identity permite identificar atividades e contas suspeitas para restringir a investigação.

Microsoft Defender for Cloud Apps

O Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security) permite que seus analistas detetem comportamentos incomuns em aplicativos na nuvem para identificar ransomware, usuários comprometidos ou aplicativos não autorizados. O Defender for Cloud Apps é a solução de agente de segurança de acesso à nuvem (CASB) da Microsoft que permite o monitoramento de serviços de nuvem e acesso a dados em serviços de nuvem pelos usuários.

Classificação de Segurança da Microsoft

O conjunto de serviços Microsoft Defender XDR fornece recomendações de correção em tempo real para reduzir a superfície de ataque. O Microsoft Secure Score é uma medida da postura de segurança de uma organização, com um número maior indicando que mais ações de melhoria foram tomadas. Consulte a documentação do Secure Score para saber mais sobre como sua organização pode usar esse recurso para priorizar ações de correção baseadas em seu ambiente.

A abordagem de Resposta a Incidentes da Microsoft para conduzir investigações de incidentes de ransomware

Você deve fazer todos os esforços para determinar como o adversário obteve acesso aos seus ativos para que as vulnerabilidades possam ser corrigidas. Caso contrário, é altamente provável que o mesmo tipo de ataque aconteça novamente no futuro. Em alguns casos, o agente da ameaça toma medidas para cobrir seus rastros e destruir evidências, então é possível que toda a cadeia de eventos não seja evidente.

A seguir estão três etapas principais nas investigações de ransomware Microsoft Incident Response:

Passo	Goal	Perguntas iniciais
1. Avaliar a situação atual	Entenda o escopo	O que inicialmente o fez saber de um ataque de ransomware? A que hora/data teve conhecimento do incidente? Quais logs estão disponíveis e há alguma indicação de que o ator está acessando os sistemas no momento?
2. Identifique os aplicativos de linha de negócios (LOB) afetados	Coloque os sistemas novamente online	A aplicação requer uma identidade? Os backups do aplicativo, da configuração e dos dados estão disponíveis? O conteúdo e a integridade dos backups são verificados regularmente usando um exercício de restauração?
3. Determine o processo de recuperação de compromisso (CR)	Remover o controle de invasor do ambiente	N/A

Etapa 1: Avaliar a situação atual

Uma avaliação da situação atual é fundamental para entender o escopo do incidente e para determinar as melhores pessoas para ajudar e planejar e escopo as tarefas de investigação e remediação. Fazer as seguintes perguntas iniciais é crucial para ajudar a determinar a situação.

O que inicialmente o fez saber do ataque de ransomware?

Se sua equipe de TI identificou a ameaça inicial, como notar backups sendo excluídos, alertas antivírus, alertas de deteção e resposta de ponto final (EDR) ou alterações suspeitas no sistema, geralmente é possível tomar medidas rápidas e decisivas para impedir o ataque, geralmente desativando todas as comunicações de entrada e saída da Internet. Essa ameaça pode afetar temporariamente as operações de negócios, mas isso normalmente seria muito menos impactante do que um adversário implantando ransomware.

Se uma chamada do usuário para o helpdesk de TI identificar a ameaça, pode haver aviso prévio suficiente para tomar medidas defensivas para prevenir ou minimizar os efeitos do ataque. Se uma entidade externa, como a aplicação da lei ou uma instituição financeira, identificar a ameaça, é provável que o dano já esteja feito e você verá evidências em seu ambiente de que o agente da ameaça tem controle administrativo da sua rede. Essas evidências podem variar de notas de ransomware, telas bloqueadas ou pedidos de resgate.

Em que data/hora teve conhecimento do incidente?

Estabelecer a data e a hora da atividade inicial é importante porque ajuda a reduzir o escopo da triagem inicial para vitórias rápidas do atacante. Outras perguntas podem incluir:

• Que atualizações faltavam nessa data? É importante entender quais vulnerabilidades podem ter sido exploradas pelo adversário.
• Que contas foram utilizadas nessa data?
• Que novas contas foram criadas desde essa data?

Quais logs estão disponíveis e há alguma indicação de que o ator está acessando os sistemas no momento?

Os logs - como antivírus, EDR e rede virtual privada (VPN) - são um indicador de suspeita de comprometimento. As perguntas de acompanhamento podem incluir:

• Os logs estão sendo agregados em uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) - como Microsoft Sentinel, Splunk, ArcSight e outros - e atuais? Qual é o período de conservação destes dados?
• Existem sistemas suspeitos comprometidos que estão experimentando atividades incomuns?
• Há alguma conta suspeita comprometida que pareça ser usada ativamente pelo adversário?
• Há alguma evidência de comando e controles ativos (C2s) em EDR, firewall, VPN, proxy da Web e outros logs?

Como parte da avaliação da situação atual, você pode precisar de um controlador de domínio dos Serviços de Domínio Ative Directory (AD DS) que não tenha sido comprometido, um backup recente de um controlador de domínio ou um controlador de domínio recente colocado offline para manutenção ou atualizações. Determine também se a autenticação multifator (MFA) era necessária para todos na empresa e se o Microsoft Entra ID foi usado.

Etapa 2: Identificar os aplicativos LOB que não estão disponíveis devido ao incidente

Esta etapa é fundamental para descobrir a maneira mais rápida de colocar os sistemas on-line novamente enquanto obtém as evidências necessárias.

A aplicação requer uma identidade?

• Como é executada a autenticação?
• Como credenciais como certificados ou segredos são armazenadas e gerenciadas?

Os backups testados do aplicativo, da configuração e dos dados estão disponíveis?

• O conteúdo e a integridade dos backups são verificados regularmente usando um exercício de restauração? Essa verificação é particularmente importante após alterações no gerenciamento de configuração ou atualizações de versão.

Etapa 3: Determinar o processo de recuperação de comprometimento

Esta etapa pode ser necessária se você tiver determinado que o plano de controle, que normalmente é o AD DS, foi comprometido.

Sua investigação deve sempre ter o objetivo de fornecer resultados que alimentem diretamente o processo de CR. CR é o processo que remove o controle do invasor de um ambiente e aumenta taticamente a postura de segurança dentro de um período definido. A CR ocorre após a violação de segurança. Para saber mais sobre CR, leia o artigo do blog CRSP da equipe de Prática de Segurança de Recuperação de Compromisso da Microsoft: A equipe de emergência lutando contra ataques cibernéticos ao lado dos clientes .

Depois de reunir as respostas às perguntas nas etapas 1 e 2, você pode criar uma lista de tarefas e atribuir proprietários. Um fator-chave para um compromisso de resposta a incidentes bem-sucedido é a documentação completa e detalhada de cada item de trabalho (como o proprietário, status, descobertas, data e hora), tornando a compilação de descobertas no final do contrato um processo simples.

Recomendações e práticas recomendadas de resposta a incidentes da Microsoft

Aqui estão as recomendações e práticas recomendadas do Microsoft Incident Response para atividades de contenção e pós-incidente.

Contenção

A contenção só pode acontecer depois de determinar o que precisa ser contido. No caso do ransomware, o objetivo do adversário é obter credenciais que permitam o controle administrativo sobre um servidor altamente disponível e, em seguida, implantar o ransomware. Em alguns casos, o agente de ameaças identifica dados confidenciais e os exfiltra para um local que controla.

A recuperação tática é exclusiva para o ambiente, o setor e o nível de conhecimento e experiência de TI da sua organização. As etapas descritas abaixo são recomendadas para etapas de contenção táticas e de curto prazo que sua organização pode tomar. Para saber mais sobre como obter orientação de longo prazo, consulte Protegendo o acesso privilegiado. Para obter uma visão abrangente de ransomware e extorsão e como preparar e proteger sua organização, consulte Ransomware operado por humanos.

As seguintes etapas de contenção podem ser feitas simultaneamente à medida que novos vetores de ameaça são descobertos.

Etapa 1: Avaliar o âmbito da situação

• Quais contas de usuário foram comprometidas?
• Que dispositivos são afetados?
• Que aplicações são afetadas?

Etapa 2: Preservar os sistemas existentes

• Desative todas as contas de usuário privilegiadas, exceto um pequeno número de contas usadas pelos administradores para ajudar a redefinir a integridade da infraestrutura do AD DS. Se você acredita que uma conta de usuário está comprometida, desative-a imediatamente.
• Isole os sistemas comprometidos da rede, mas não os desligue.
• Isolar pelo menos um controlador de domínio em boas condições em cada domínio dois é ainda melhor. Desconecte-os da rede ou desligue-os completamente. O objetivo é impedir a propagação de ransomware para sistemas críticos, estando a identidade entre os mais vulneráveis. Se todos os controladores de domínio forem virtuais, certifique-se de que o backup do sistema e das unidades de dados da plataforma de virtualização seja feito em mídia externa offline que não esteja conectada à rede, caso a própria plataforma de virtualização esteja comprometida.
• Isolar servidores de aplicativos críticos em boas condições, por exemplo, SAP, banco de dados de gerenciamento de configuração (CMDB), faturamento e sistemas de contabilidade.

Essas duas etapas podem ser feitas simultaneamente à medida que novos vetores de ameaça são descobertos. Desative esses vetores de ameaça e, em seguida, tente encontrar um sistema em boas condições para isolar da rede.

Outras ações táticas de contenção podem incluir:

• Redefina a senha krbtgt, duas vezes em rápida sucessão. Considere o uso de um processo com script e repetível. Esse script permite que você redefina a senha da conta krbtgt e as chaves relacionadas, minimizando a probabilidade de problemas de autenticação Kerberos serem causados pela operação. Para minimizar possíveis problemas, o tempo de vida útil do krbtgt pode ser reduzido uma ou mais vezes antes da primeira redefinição de senha para que as duas redefinições sejam feitas rapidamente. Observe que todos os controladores de domínio que você planeja manter em seu ambiente devem estar online.

• Implante uma Diretiva de Grupo em todo o(s) domínio(s) que impeça o login privilegiado (Administradores de Domínio) em qualquer coisa além de controladores de domínio e estações de trabalho somente administrativas privilegiadas (se houver).

• Instale todas as atualizações de segurança ausentes para sistemas operacionais e aplicativos. Cada atualização ausente é um vetor de ameaça potencial que os adversários podem identificar e explorar rapidamente. O Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender for Endpoint fornece uma maneira fácil de ver exatamente o que está faltando, bem como o impacto potencial das atualizações ausentes.

  • Para dispositivos Windows 10 (ou superior), confirme se a versão atual (ou n-1) está em execução em todos os dispositivos.

  • Implante regras de redução de superfície de ataque (ASR) para evitar a infeção por malware.

  • Habilite todos os recursos de segurança do Windows 10.

• Verifique se cada aplicativo externo, incluindo acesso VPN, está protegido por autenticação multifator, de preferência usando um aplicativo de autenticação que esteja sendo executado em um dispositivo seguro.

• Para dispositivos que não usam o Defender for Endpoint como seu principal software antivírus, execute uma verificação completa com o Microsoft Safety Scanner em sistemas isolados em boas condições antes de reconectá-los à rede.

• Para qualquer sistema operacional legado, atualize para um sistema operacional suportado ou descomissione esses dispositivos. Se essas opções não estiverem disponíveis, tome todas as medidas possíveis para isolar esses dispositivos, incluindo isolamento de rede/VLAN, regras de segurança do protocolo Internet (IPsec) e restrições de entrada, para que eles só sejam acessíveis aos aplicativos pelos usuários/dispositivos para fornecer continuidade de negócios.

As configurações mais arriscadas consistem em executar sistemas de missão crítica em sistemas operacionais herdados tão antigos quanto o Windows NT 4.0 e aplicativos, tudo em hardware herdado. Não só esses sistemas operacionais e aplicativos são inseguros e vulneráveis, se esse hardware falhar, os backups normalmente não podem ser restaurados em hardware moderno. A menos que o hardware herdado de substituição esteja disponível, esses aplicativos deixam de funcionar. Considere fortemente converter esses aplicativos para serem executados em sistemas operacionais e hardware atuais.

Atividades pós-incidente

A Resposta a Incidentes da Microsoft recomenda a implementação das seguintes recomendações de segurança e práticas recomendadas após cada incidente.

• Certifique-se de que as práticas recomendadas estão em vigor para soluções de e-mail e colaboração para tornar mais difícil para os invasores abusar delas, permitindo que os usuários internos acessem conteúdo externo com facilidade e segurança.

• Siga as práticas recomendadas de segurança Zero Trust para soluções de acesso remoto a recursos organizacionais internos.

• Começando com administradores de impacto crítico, siga as práticas recomendadas para a segurança da conta, incluindo o uso de autenticação sem senha ou MFA.

• Implementar uma estratégia abrangente para reduzir o risco de comprometimento de acesso privilegiado.

  • Para acesso administrativo à nuvem e floresta/domínio, use o modelo de acesso privilegiado (PAM) da Microsoft.

  • Para gerenciamento administrativo de endpoint, use a solução de senha administrativa local (LAPS).

• Implemente proteção de dados para bloquear técnicas de ransomware e confirmar a recuperação rápida e confiável de um ataque.

• Reveja os seus sistemas críticos. Verifique se há proteção e backups contra apagamento ou criptografia deliberada de invasores. É importante que você teste e valide periodicamente esses backups.

• Garanta a rápida deteção e correção de ataques comuns em endpoint, e-mail e identidade.

• Descubra ativamente e melhore continuamente a postura de segurança do seu ambiente.

• Atualize os processos organizacionais para gerenciar os principais eventos de ransomware e simplificar a terceirização para evitar atrito.

PAM

O uso do PAM (anteriormente conhecido como modelo de administração hierárquica) melhora a postura de segurança do Microsoft Entra ID, que envolve:

• Dividindo as contas administrativas em um ambiente "planejado" - uma conta para cada nível, geralmente quatro:

• Plano de Controle (anteriormente Nível 0): Administração de controladores de domínio e outros serviços de identidade cruciais, como os Serviços de Federação do Ative Directory (ADFS) ou o Microsoft Entra Connect, que também inclui aplicativos de servidor que exigem permissões administrativas para o AD DS, como o Exchange Server.

• Os dois aviões seguintes eram anteriormente Tier 1:

  • Plano de Gestão: Gestão de ativos, monitorização e segurança.

  • Plano de Dados/Carga de Trabalho: Aplicativos e servidores de aplicativos.

• Os dois aviões seguintes eram anteriormente Tier 2:

  • Acesso de usuário: direitos de acesso para usuários (como contas).

  • Acesso ao aplicativo: direitos de acesso para aplicativos.

• Cada um desses aviões tem uma estação de trabalho administrativa separada para cada plano e só tem acesso aos sistemas nesse plano. Outras contas de outros planos têm acesso negado a estações de trabalho e servidores nos outros planos por meio de atribuições de direitos de usuário definidas para essas máquinas.

O resultado líquido do PAM é que:

• Uma conta de utilizador comprometida só tem acesso ao avião a que pertence.

• Contas de usuário mais confidenciais não farão login em estações de trabalho e servidores com um nível de segurança de plano mais baixo, reduzindo assim o movimento lateral.

VOLTAS

Por padrão, o Microsoft Windows e o AD DS não têm gerenciamento centralizado de contas administrativas locais em estações de trabalho e servidores membros. Isso pode resultar em uma senha comum que é dada para todas essas contas locais ou, pelo menos, em grupos de máquinas. Essa situação permite que possíveis invasores comprometam uma conta de administrador local e, em seguida, usem essa conta para obter acesso a outras estações de trabalho ou servidores na organização.

O LAPS da Microsoft atenua isso usando uma extensão do lado do cliente da Diretiva de Grupo que altera a senha administrativa local em intervalos regulares em estações de trabalho e servidores de acordo com o conjunto de políticas. Cada uma dessas senhas é diferente e armazenada como um atributo no objeto de computador do AD DS. Esse atributo pode ser recuperado de um aplicativo cliente simples, dependendo das permissões atribuídas a esse atributo.

O LAPS requer que o esquema do AD DS seja estendido para permitir que o atributo adicional, os modelos de Diretiva de Grupo do LAPS sejam instalados e uma pequena extensão do lado do cliente seja instalada em cada estação de trabalho e servidor membro para fornecer a funcionalidade do lado do cliente.

Você pode obter o LAPS no Centro de Download da Microsoft.

Recursos adicionais de ransomware

Principais informações da Microsoft:

• Ransomware operado por humanos

• Proteja-se rapidamente contra ransomware e extorsão

• Relatório de Defesa Digital da Microsoft de 2023 (ver páginas 17-26)

• Ransomware: Uma ameaça generalizada e contínua Relatório de análise de ameaças no portal Microsoft Defender

• Estudo de caso do ransomware Microsoft Incident Response

Microsoft 365:

• Implantar proteção contra ransomware para seu locatário do Microsoft 365
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Recupere-se de um ataque de ransomware
• Proteção contra malware e ransomware
• Proteja o seu PC Windows 10 contra ransomware
• Lidar com ransomware no SharePoint Online
• Relatórios de análise de ameaças de ransomware no portal Microsoft Defender

Microsoft Defender XDR:

• Encontre ransomware com caça avançada

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Plano de backup e restauração para proteger contra ransomware
• Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
• Recuperando-se do comprometimento sistêmico da identidade
• Deteção avançada de ataques em várias fases no Microsoft Sentinel
• Fusion Detection para Ransomware no Microsoft Sentinel

Aplicativos do Microsoft Defender para nuvem:

• Criar políticas de deteção de anomalias no Defender for Cloud Apps