Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli incidenti ransomware in genere presentano segnali di allarme distinti che i team di sicurezza possono identificare. A differenza di altri tipi di malware, ransomware di solito produce indicatori estremamente evidenti che richiedono un'indagine minima prima di dichiarare un evento imprevisto. Questi trigger ad alta attendibilità si contrappongono a minacce più discrete che richiederebbero un'analisi approfondita prima di un'escalation. Quando il ransomware colpisce, le prove sono spesso inconfondibili.
In generale, tali infezioni sono evidenti dal comportamento di base del sistema, l'assenza di file chiave o utente, e la richiesta di riscatto. In questi casi, l'analista deve valutare se dichiarare e scalare immediatamente l'incidente, inclusa l'intraprendere eventuali azioni automatizzate per attenuare l'attacco.
Rilevamento di attacchi ransomware
Microsoft Defender per il cloud offre funzionalità di alta qualità per il rilevamento e la risposta alle minacce, denominate anche funzionalità di rilevamento e reazione estese.
È così possibile garantire il rilevamento e la correzione rapidi di attacchi comuni su macchine virtuali, SQL Server, applicazioni Web e identità.
Classificare in ordine di priorità i punti di ingresso comuni: gli operatori ransomware (e altri) prediligono endpoint/posta elettronica/identità + Remote Desktop Protocol (RDP)
- Funzionalità di rilevamento e reazione estese integrate (XDR): usare strumenti XDR (Extended Detection and Response) integrati come Microsoft Defender per il cloud per fornire avvisi di alta qualità e ridurre al minimo le difficoltà e i passaggi manuali durante la risposta
- Forza bruta: monitorare i tentativi di forza bruta, ad esempio password spraying
Monitorare per la disabilitazione della sicurezza da parte di avversari: spesso parte della catena di attacchi ransomware con intervento umano (HumOR)
Cancellazione dei log eventi: in particolare il registro eventi di sicurezza e i log operativi di PowerShell
- Disattivazione degli strumenti/controlli di sicurezza (associati ad alcuni gruppi)
Non ignorare il malware di consumo: gli autori di attacchi ransomware acquistano regolarmente l'accesso alle organizzazioni di destinazione dai mercati del Dark Web.
Integrare esperti esterni: nei processi per ampliare le competenze, ad esempio il team di risposta agli eventi imprevisti Microsoft (in precedenza DART/CRSP).
Isolare rapidamente i dispositivi compromessi usando Defender per endpoint nella distribuzione locale.
Risposta ad attacchi ransomware
Dichiarazione di evento imprevisto
Una volta confermata un'infezione ransomware riuscita, l'analista deve verificare se rappresenta un nuovo incidente o se potrebbe essere correlato a un evento imprevisto esistente. Cercare ticket attualmente aperti che indicano eventi imprevisti simili. In tal caso, aggiorna il ticket dell'incidente attuale con le nuove informazioni nel sistema di ticketing. Se si tratta di un nuovo evento imprevisto, un evento imprevisto deve essere dichiarato nel sistema di ticket pertinente e inoltrato ai team o ai provider appropriati per contenere e attenuare l'evento imprevisto. Tenere presente che la gestione degli eventi imprevisti ransomware potrebbe richiedere azioni eseguite da più team IT e di sicurezza. Se possibile, assicurarsi che il ticket sia chiaramente identificato come incidente ransomware, in modo da poter guidare il flusso di lavoro.
Contenimento/mitigazione
In generale, è necessario configurare varie soluzioni antimalware per server/endpoint, antimalware della posta elettronica e protezione di rete per contenere e attenuare automaticamente il ransomware noto. Ci possono essere casi, tuttavia, dove la variante ransomware specifica è in grado di ignorare tali protezioni e infettare correttamente i sistemi bersaglio.
Microsoft offre risorse complete per aggiornare i processi di risposta agli eventi imprevisti nelle principali procedure consigliate per la sicurezza di Azure.
Di seguito sono riportate le azioni consigliate per contenere o attenuare un evento imprevisto dichiarato che coinvolge ransomware in cui le azioni automatizzate eseguite dai sistemi antimalware hanno esito negativo:
- Coinvolgere i fornitori di antimalware tramite processi di supporto standard
- Aggiungere manualmente hash e altre informazioni associate al malware ai sistemi antimalware
- Applicare gli aggiornamenti del fornitore antimalware
- Contenere i sistemi interessati fino a quando non possono essere corretti
- Disabilitare gli account compromessi
- Eseguire l'analisi della causa radice
- Applicare patch e modifiche di configurazione pertinenti nei sistemi interessati
- Bloccare le comunicazioni ransomware usando controlli interni ed esterni
- Ripulire il contenuto memorizzato nella cache
La strada verso il recupero
Microsoft Detection and Response Team aiuta a proteggere l'utente dagli attacchi
Per gli obiettivi di ransomware, dovrebbe essere prioritario comprendere e correggere i problemi di sicurezza fondamentali che hanno portato alla compromissione in primo luogo.
Integrare esperti esterni nei processi per ampliare le competenze, ad esempio il team di Risposta agli incidenti Microsoft. Il team Risposta agli incidenti Microsoft interagisce con i clienti in tutto il mondo, aiutandoli a proteggersi e a difendersi dagli attacchi prima che si verifichino, nonché a indagare e correggere i problemi quando si è verificato un attacco.
I clienti possono coinvolgere i nostri esperti di sicurezza direttamente dall'interno del portale Microsoft Defender per ottenere una risposta tempestiva e accurata. Gli esperti forniscono le informazioni dettagliate necessarie per comprendere meglio le minacce complesse che interessano l'organizzazione, dalle richieste di avvisi, ai dispositivi potenzialmente compromessi, alla causa radice di una connessione di rete sospetta, ad altre informazioni sulle minacce relative alle campagne di minacce persistenti avanzate in corso.
Microsoft è pronta per aiutare l'azienda nel ritorno alle operazioni sicure.
Microsoft esegue centinaia di recuperi da compromissioni e dispone di una metodologia consolidata. Non solo porterà l'azienda in una posizione più sicura, ma le permetterà anche di prendere in considerazione la propria strategia a lungo termine, invece di limitarsi a reagire alla situazione.
Microsoft fornisce servizi di ripristino rapido ransomware. In questo caso, l'assistenza viene fornita in tutte le aree, ad esempio il ripristino dei servizi di identità, la correzione e la protezione avanzata e il monitoraggio della distribuzione, per aiutare gli obiettivi di attacchi ransomware a tornare alla normale attività nel più breve tempo possibile.
I nostri servizi di ripristino rapido ransomware vengono trattati come "Riservati" per la durata dell'impegno. Gli impegni di ripristino rapido ransomware vengono distribuiti esclusivamente dal team Esperti nel recupero delle violazioni della sicurezza (CRSP), parte del dominio cloud e intelligenza artificiale di Azure. Per altre informazioni, è possibile contattare CRSP all'indirizzo Richiesta di contatto sulla sicurezza di Azure.
Cosa succede dopo
Consulta il documento tecnico: White paper sulle difese di Azure per attacchi ransomware.
Altri articoli della serie: