Обнаружение атак программ-шантажистов и реагирование на них

  • Статья

Существует несколько потенциальных триггеров, которые могут указывать на инцидент с программой-шантажистом. В отличие от многих других типов вредоносных программ, большинство из них являются триггерами с более высокой степенью достоверности (где требуется небольшое дополнительное исследование или анализ до объявления инцидента), в отличие от триггеров с невысокой степенью достоверности (где требуется детальное исследование или анализ, прежде чем будет объявлен инцидент).

В целом, такие заражения очевидны по базовому поведению системы, отсутствию ключевых файлов системы или файлов пользователей, а также требованию денежного выкупа. В этом случае аналитик должен решить, следует ли немедленно объявить и эскалировать инцидент, в том числе выполнить автоматические действия для предотвращения атаки.

Обнаружение атак программ-шантажистов

Microsoft Defender для облака предоставляет высококачественные возможности обнаружения угроз и реагирования на них, также называемые расширенным обнаружением и реагированием (XDR).

Обеспечьте быстрое обнаружение и исправление распространенных атак на виртуальные машины, серверы SQL, веб-приложения и удостоверения.

  • Приоритет распространенных точек входа — программ-шантажистов (и других) предпочитают конечную точку, электронную почту или удостоверение и протокол удаленного рабочего стола (RDP)
    • Интегрированные средства XDR. Используйте интегрированные средства расширенного обнаружения и реагирования (XDR), такие как Microsoft Defender для облака, чтобы обеспечить высокое качество оповещений, а также свести к минимуму разногласия и выполнение операций вручную при реагировании;
    • Метод подбора. Выполняйте мониторинг на предмет попыток атак методом перебора, таких как распыление пароля.
  • Мониторинг для защиты от злоумышленников — так как это часто является частью цепочки атак Human Operated Шантажистов (HumOR)
    • Очистка журнала событий. Особенно журнала событий безопасности и рабочих журналов PowerShell;
    • Отключение средств и элементов управления системой безопасности (связанных с определенными группами).
  • Не игнорируйте обычные вредоносные программы. Злоумышленники, использующие программы-шантажисты, регулярно покупают права доступа к целевым организациям на черных рынках.
  • Привлеките к процессам внешних специалистов, чтобы обеспечить экспертные знания, например Microsoft Detection and Response Team (DART).
  • Быстро изолируйте зараженные компьютеры с помощью Defender для конечной точки в локальном развертывании.

Реагирование на атаки программ-шантажистов

Объявление инцидента

После неопровержимого подтверждения заражения программой-шантажистом аналитик должен определить, представляет ли оно новый инцидент или относится к уже существующему инциденту. Ищите открытые в настоящее время запросы, которые указывают на похожие инциденты. Если найдете, обновите текущий запрос об инциденте новой информацией в системе отправки запросов. Если это новый инцидент, он должен быть объявлен в соответствующей системе отправки запросов и передан соответствующим командам или поставщикам для хранения и сдерживания инцидента. Помните, что для устранения инцидентов с программами-шантажистами могут потребоваться действия нескольких ИТ-команд и команд по безопасности. По возможности убедитесь, что в запросе четко указано, что это инцидент с программой-шантажистом для управления рабочим процессом.

Сдерживание и устранение рисков

Как правило, различные решения для защиты от вредоносных программ для серверов и конечных точек, защиты электронной почты и защиты сети должны быть настроены на автоматическое обнаружение и устранение известных программ-шантажистов. Однако возможны случаи, когда конкретный вариант программы-шантажиста сможет обойти такую защиту и успешно заразить целевые системы.

Корпорация Майкрософт предоставляет обширные ресурсы, которые помогут вам обновить процессы реагирования на инциденты с помощью рекомендаций по обеспечению безопасности в Azure.

Ниже приведены рекомендуемые действия для сдерживания или устранения объявленного инцидента, связанного с программой-шантажистом, в случае, если автоматизированные действия, предпринятые системами защиты от вредоносных программ, не увенчались успехом:

  1. Привлекайте поставщиков антивирусных программ через стандартные процессы поддержки.
  2. Вручную добавляйте хэши и другую информацию, связанную с вредоносными программами, в системы защиты от вредоносных программ.
  3. Применяйте обновления поставщиков антивредоносных программ.
  4. Сдерживайте затронутые системы до тех пор, пока они не будут исправлены.
  5. Отключите скомпрометированные учетные записи.
  6. Выполните анализ первопричин.
  7. Примените соответствующие исправления и изменения конфигурации в затронутых системах.
  8. Блокируйте сообщения программ-шантажистов с помощью внутренних и внешних элементов управления.
  9. Очистите кэшированное содержимое.

Пути восстановления

Команда Майкрософт по обнаружению и реагированию поможет защититься от атак.

Понимание и устранение фундаментальных проблем безопасности, которые в первую очередь привели к компрометации, должно быть приоритетным для жертв программ-шантажистов.

Привлеките к процессам внешних специалистов, чтобы обеспечить экспертные знания, например Microsoft Detection and Response Team (DART). DART взаимодействует с клиентами по всему миру, помогая обеспечивать и укреплять защиту от атак до их возникновения, а также исследовать и устранять последствия атак.

Клиенты могут привлечь наших экспертов по безопасности непосредственно на портале Microsoft Defender для своевременного и точного ответа. Эксперты предоставляют полезные сведения, необходимые для лучшего понимания сложных угроз, влияющих на вашу организацию, от запросов предупреждений, потенциально скомпрометированных устройств, основных причин подозрительного сетевого подключения до дополнительных сведений об угрозах, связанных с текущими кампаниями расширенных постоянных угроз.

Корпорация Майкрософт готова помочь вашей компании вернуться к безопасной работе.

Корпорация Майкрософт выполняет сотни операций восстановления и использует проверенную методологию. Это не только обеспечит вам более безопасное положение, но и даст возможность обдумать свою долгосрочную стратегию вместо реакций на отдельные ситуации.

Корпорация Майкрософт предоставляет услуги по быстрому восстановлению от атаки программой-шантажистом. В соответствии с этим, помощь предоставляется во всех областях, таких как восстановление служб идентификации, исправление и усиление безопасности, а также мониторинг развертывания, чтобы помочь жертвам атак программ-шантажистов вернуться к нормальной работе в кратчайшие сроки.

Наши услуги по быстрому восстановлению от атак программ-шантажистов рассматриваются как "конфиденциальные" в течение всего срока действия соглашения. Службы быстрого восстановления программ-шантажистов предоставляются исключительно командой компрометации безопасности восстановления (CRSP), частью домена Azure Cloud и AI. Дополнительные сведения можно получить, обратившись к команде CRSP на странице Запрос контактных данных о безопасности Azure.

Дальнейшие действия

См.: Технический документ по защите Azure от атак программ-шантажистов.

Другие статьи в этой серии: