Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Incidentes de ransomware normalmente apresentam sinais de aviso distintos que as equipes de segurança podem identificar. Ao contrário de outros tipos de malware, o ransomware geralmente produz indicadores altamente evidentes que exigem investigação mínima antes de declarar um incidente. Esses gatilhos de alta confiança contrastam com ameaças mais sutis que exigiriam uma análise abrangente antes do escalonamento. Quando o ransomware ataca, as evidências são muitas vezes inconfundíveis.
Em geral, essas infecções são óbvias pelo comportamento básico do sistema, pela ausência de arquivos chave do sistema ou do usuário e pela demanda por resgate. Nesses casos, o analista deve considerar se deve declarar e escalonar imediatamente o incidente, incluindo tomar qualquer ação automatizada para atenuar o ataque.
Dica
Para obter diretrizes abrangentes de detecção e resposta de ransomware em todas as plataformas e serviços da Microsoft, consulte Proteger sua organização contra ransomware e extorsão. Este artigo se concentra especificamente nos recursos de detecção e resposta baseados no Azure.
Como detectar ataques de ransomware
O Microsoft Defender para Nuvem fornece recursos de detecção e resposta de ameaças de alta qualidade para recursos do Azure, também chamados de XDR (Detecção e Resposta Estendida).
Verifique a detecção rápida e a correção de ataques comuns em VMs do Azure, SQL Servers, aplicativos Web e identidade em seu ambiente do Azure.
Priorizar Pontos de Entrada Comuns – os operadores de ransomware (e outros) favorecem Endpoint, Email e Identidade + Protocolo de Área de Trabalho Remota (RDP)
- XDR Integrado – Usar ferramentas integradas de XDR (Detecção Estendida e Resposta), como o Microsoft Defender para Nuvem, para fornecer alertas de alta qualidade para recursos do Azure e minimizar o atrito e as etapas manuais durante a resposta
- Força Bruta – Monitorar tentativas de força bruta, como ataque de pulverização de senha, contra recursos do Azure
Monitorar a Desativação da Segurança pelo Adversário – frequentemente parte da cadeia de ataques Human-Operated Ransomware (HumOR)
Limpeza de logs de eventos – especialmente o log de eventos de segurança e os logs operacionais do PowerShell em VMs do Azure
- Desabilitação de ferramentas/controles de segurança (associados a alguns grupos)
Não ignore malware comum - invasores de ransomware compram regularmente acesso a organizações-alvo de mercados da dark web
Integre especialistas externos em processos para complementar a experiência, como a equipe de Resposta a Incidentes da Microsoft.
Isole rapidamente VMs do Azure comprometidas usando o Defender para Pontos de Extremidade.
Como responder a ataques de ransomware
Declaração de incidente
Depois que uma infecção por ransomware bem-sucedida for confirmada, o analista deve verificar se ela representa um novo incidente ou se pode estar relacionada a um incidente existente. Procure tíquetes abertos no momento que indiquem incidentes semelhantes. Se houver, atualize o tíquete do incidente atual com novas informações no sistema de tíquetes. Se for um novo incidente, um incidente deverá ser declarado no sistema de emissão de tíquetes relevante e escalado para as equipes ou provedores apropriados para conter e mitigar o incidente. Tenha em mente que o gerenciamento de incidentes de ransomware pode exigir ações tomadas por várias equipes de segurança e de TI. Sempre que possível, verifique se o tíquete está identificado claramente como um incidente de ransomware para direcionar o fluxo de trabalho.
Contenção e mitigação
Em geral, várias soluções de antimalware para servidor/ponto de extremidade, antimalware para e-mail e proteção de rede devem ser configuradas para conter e mitigar automaticamente o ransomware conhecido. No entanto, pode haver casos em que a variante de ransomware específica é capaz de ignorar essas proteções e infectar sistemas de destino com êxito.
A Microsoft fornece recursos extensivos para ajudar a atualizar seus processos de resposta a incidentes nas principais práticas recomendadas de segurança do Azure.
Veja a seguir as ações recomendadas para conter ou atenuar um incidente declarado envolvendo ransomware em que as ações automatizadas executadas por sistemas antimalware não são bem-sucedidas:
- Envolver fornecedores antimalware por meio de processos de suporte padrão
- Adicionar manualmente hashes e outras informações associadas a malware a sistemas antimalware
- Aplicar atualizações do fornecedor antimalware
- Conter os sistemas afetados até que eles possam ser corrigidos
- Desabilitar contas comprometidas
- Executar a análise da causa raiz
- Aplicar patches e alterações de configuração relevantes nos sistemas afetados
- Bloquear as comunicações do ransomware usando controles internos e externos
- Limpar o conteúdo armazenado em cache
Caminho para a recuperação
A equipe de Resposta a Incidentes da Microsoft ajuda a protegê-lo contra ataques.
O entendimento e a correção dos problemas fundamentais de segurança que levaram ao comprometimento deve ser uma prioridade para as vítimas de ransomware.
Integre especialistas externos em processos para complementar a experiência, como a Resposta a Incidentes da Microsoft. A Resposta a Incidentes da Microsoft se envolve com clientes em todo o mundo, ajudando a proteger e proteger ambientes do Azure contra ataques antes que eles ocorram, bem como investigando e corrigindo quando ocorreu um ataque.
Os clientes podem envolver especialistas de segurança diretamente no Portal do Microsoft Defender para obter respostas oportunas e precisas. Os especialistas oferecem os insights necessários para entender melhor as ameaças complexas que afetam a organização, desde consultas de alerta, dispositivos possivelmente comprometidos, a causa raiz de uma conexão de rede suspeita, até inteligência adicional contra ameaças em relação a campanhas de ameaças persistentes avançadas em andamento.
A Microsoft está pronta para ajudar sua empresa a retornar às operações seguras.
A Microsoft executa centenas de recuperações de comprometimento e tem uma metodologia testada e comprovada. Além de proporcionar uma posição mais segura, ele oferece a oportunidade de considerar sua estratégia de longo prazo em vez de reagir à situação.
A Microsoft oferece serviços de recuperação rápida em caso de ransomware. Com isso, a assistência é fornecida em todas as áreas, como restauração de serviços de identidade, correção e proteção, e monitoramento da implantação para ajudar os alvos de ataques de ransomware a retornar aos negócios normais no menor prazo possível.
Nossos serviços de recuperação rápida em caso de ransomware são tratados como "Confidenciais" durante o compromisso. Os compromissos do Rapid Ransomware Recovery são entregues exclusivamente pela equipe de Resposta a Incidentes da Microsoft. Para obter mais informações, entre em contato com o Contato de Resposta a Incidentes da Microsoft na Solicitação sobre a segurança do Azure.
O que vem a seguir
Para obter diretrizes abrangentes de proteção contra ransomware em todas as plataformas e serviços da Microsoft, consulte Proteger sua organização contra ransomware e extorsão.
Consulte o white paper: white paper sobre as defesas do Azure contra ataques de ransomware.
Outros artigos sobre ransomware do Azure: