Dela via

Identifiera och svara på utpressningstrojanattacker

  • Artikel

Det finns flera potentiella utlösare som kan tyda på en utpressningstrojanincident. Till skillnad från många andra typer av skadlig kod är de flesta utlösare med högre förtroende (där lite ytterligare undersökning eller analys bör krävas före deklarationen av en incident) snarare än utlösare med lägre konfidens (där mer undersökning eller analys sannolikt skulle krävas innan en incident ska deklareras).

I allmänhet är sådana infektioner uppenbara från grundläggande systembeteende, avsaknaden av nyckelsystem eller användarfiler och efterfrågan på lösensumma. I det här fallet bör analytikern överväga om incidenten omedelbart ska deklareras och eskaleras, inklusive att vidta automatiserade åtgärder för att minimera attacken.

Identifiera utpressningstrojanattacker

Microsoft Defender för molnet tillhandahåller funktioner för identifiering och svar av hög kvalitet, även kallat XDR (Extended Detection and Response).

Säkerställa snabb identifiering och reparation av vanliga attacker på virtuella datorer, SQL-servrar, webbprogram och identiteter.

  • Prioritera vanliga startpunkter – Utpressningstrojaner (och andra) operatörer föredrar slutpunkt/e-post/identitet + RDP (Remote Desktop Protocol)

    • Integrerad XDR – Använd integrerade XDR-verktyg (Extended Detection and Response) som Microsoft Defender för molnet för att tillhandahålla högkvalitativa aviseringar och minimera friktion och manuella steg under svar
    • Brute Force – Övervaka för råstyrkeförsök som lösenordsspray

  • Övervaka för att inaktivera säkerhet – eftersom detta ofta är en del av humOR-attackkedjan (Human-Operated Ransomware)

  • Rensning av händelseloggar – särskilt loggen för säkerhetshändelse och PowerShell-driftloggar

    • Inaktivera säkerhetsverktyg/kontroller (associeras med vissa grupper)

  • Ignorera inte skadlig kod för råvaror – Utpressningstrojaner köper regelbundet åtkomst till målorganisationer från mörka marknader

  • Integrera externa experter – i processer för att komplettera expertis, till exempel Microsoft Incident Response-teamet (tidigare DART/CRSP).

  • Isolera snabbt komprometterade enheter med hjälp av Defender för Endpoint i lokal distribution.

Svara på utpressningstrojanattacker

Incidentdeklaration

När en lyckad utpressningstrojaninfektion har bekräftats bör analytikern verifiera att detta representerar en ny incident eller om den kan vara relaterad till en befintlig incident. Leta efter öppna biljetter som indikerar liknande incidenter. I så fall uppdaterar du den aktuella incidentbegäran med ny information i biljettsystemet. Om det här är en ny incident ska en incident deklareras i det relevanta biljettsystemet och eskaleras till lämpliga team eller leverantörer för att begränsa och minimera incidenten. Tänk på att hantering av utpressningstrojanincidenter kan kräva åtgärder som vidtas av flera IT- och säkerhetsteam. Se där det är möjligt till att biljetten tydligt identifieras som en utpressningstrojanincident för att vägleda arbetsflödet.

Inneslutning/minskning

I allmänhet bör olika server-/slutpunktsprogram mot skadlig kod, e-postprogram och nätverksskyddslösningar konfigureras för att automatiskt innehålla och minimera kända utpressningstrojaner. Det kan dock finnas fall där den specifika utpressningstrojanvarianten har kunnat kringgå sådana skydd och framgångsrikt infektera målsystem.

Microsoft tillhandahåller omfattande resurser som hjälper dig att uppdatera dina processer för incidenthantering i de bästa metodtipsen för Azure-säkerhet.

Följande är rekommenderade åtgärder för att begränsa eller minimera en deklarerad incident med utpressningstrojaner där automatiserade åtgärder som vidtagits av program mot skadlig kod har misslyckats:

  1. Kontakta leverantörer av program mot skadlig kod via standardsupportprocesser
  2. Lägg manuellt till hashvärden och annan information som är associerad med skadlig kod i program mot skadlig kod
  3. Tillämpa leverantörsuppdateringar för program mot skadlig kod
  4. Innehåller berörda system tills de kan åtgärdas
  5. Inaktivera komprometterade konton
  6. Utföra rotorsaksanalys
  7. Tillämpa relevanta korrigeringar och konfigurationsändringar på berörda system
  8. Blockera utpressningstrojankommunikation med hjälp av interna och externa kontroller
  9. Rensa cachelagrat innehåll

Väg till återställning

Microsoft Detection and Response Team hjälper dig att skydda dig mot attacker

Att förstå och åtgärda de grundläggande säkerhetsproblem som ledde till kompromissen i första hand bör vara en prioritet för utpressningstrojanmål.

Integrera externa experter i processer för att komplettera expertis, till exempel Microsoft Incident Response. Microsoft Incident Response samarbetar med kunder runt om i världen, hjälper till att skydda och härda mot attacker innan de inträffar, samt undersöka och åtgärda när en attack har inträffat.

Kunder kan kontakta våra säkerhetsexperter direkt från Microsoft Defender-portalen för att få ett snabbt och korrekt svar. Experter ger insikter som behövs för att bättre förstå de komplexa hot som påverkar din organisation, från aviseringsförfrågningar, potentiellt komprometterade enheter, rotorsaken till en misstänkt nätverksanslutning till ytterligare hotinformation om pågående avancerade beständiga hotkampanjer.

Microsoft är redo att hjälpa ditt företag att återgå till säker drift.

Microsoft utför hundratals återställningar av kompromisser och har en metod som är beprövad och sann. Det kommer inte bara att få dig till en säkrare position, det ger dig möjlighet att överväga din långsiktiga strategi snarare än att reagera på situationen.

Microsoft tillhandahåller Rapid Ransomware Recovery-tjänster. Under detta tillhandahålls hjälp inom alla områden, till exempel återställning av identitetstjänster, reparation och härdning och övervakningsdistribution för att hjälpa mål för utpressningstrojanattacker att återgå till normal verksamhet inom kortast möjliga tidsram.

Våra Rapid Ransomware Recovery-tjänster behandlas som "konfidentiella" under hela åtagandet. Rapid Ransomware Recovery-åtaganden levereras exklusivt av CRSP-teamet (Compromise Recovery Security Practice), som är en del av Azure Cloud & AI-domänen. Om du vill ha mer information kan du kontakta CRSP på Begäranskontakt om Azure-säkerhet.

Vad händer härnäst?

Se vitboken: Azure-skydd för utpressningstrojanattack.

Andra artiklar i den här serien: