Erkennen von und Reagieren auf Ransomware-Angriffe

Es gibt mehrere potenzielle Auslöser, die auf einen Ransomware-Vorfall hinweisen können. Im Gegensatz zu vielen anderen Arten von Schadsoftware handelt es sich bei den meisten um Auslöser mit höherer Zuverlässigkeit (bei denen vor der Deklaration eines Vorfalls kaum zusätzliche Untersuchungen oder Analysen erforderlich sein dürften) und nicht um Auslöser mit geringerer Zuverlässigkeit (bei denen vor der Deklaration eines Vorfalls wahrscheinlich weitere Untersuchungen oder Analysen erforderlich sind).

Im Allgemeinen fallen solche Angriffe durch das grundlegende Systemverhalten, das Fehlen wichtiger System- oder Benutzerdateien und eine Forderung nach Lösegeld auf. In diesem Fall sollte der Analyst überlegen, ob der Vorfall sofort deklariert und eskaliert werden soll und auch automatisierte Aktionen zur Abschwächung des Angriffs ergriffen werden sollen.

Erkennen von Ransomware-Angriffen

Microsoft Defender für Cloud bietet hochwertige Funktionen zur Erkennung von Bedrohungen und Reaktion darauf, die auch als erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bezeichnet werden.

Gewährleisten Sie eine schnelle Erkennung und Behebung gängiger Angriffe auf VMs, SQL-Server, Webanwendungen und Identität.

  • Priorisieren üblicher Einstiegspunkte: Ransomware-Betreiber (und andere Angreifer) bevorzugen Endpunkte/E-Mails/Identitäten und das Remotedesktopprotokoll (RDP).

    • Integriertes XDR-Tool: Verwenden Sie integrierte Tools für erweiterte Erkennung und Reaktion (XDR), z. B. Microsoft Defender für Cloud, um hochwertige Warnungen bereitzustellen sowie Probleme und manuelle Schritte bei der Reaktion zu minimieren.
    • Brute Force: Überwachen Sie auf Brute-Force-Versuche wie Kennwort-Spray.
  • Überwachen auf Deaktivierung von Sicherheitsfunktionen durch Angreifer: Dies ist häufig Teil einer Angriffskette durch eine von Menschen platzierte Ransomware (Human Operated Ransomware, HumOR).

  • Löschen von Ereignisprotokollen: Dies betrifft insbesondere das Sicherheitsereignisprotokoll und PowerShell-Betriebsprotokolle.

    • Deaktivieren von Sicherheitstools/-kontrollen (im Zusammenhang mit einigen Gruppen).
  • Kein Ignorieren von Standardschadsoftware: Ransomware-Angreifer erwerben regelmäßig Zugriff auf Zielorganisationen über Darknet-Märkte.

  • Integrieren Sie externe Experten in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Incident Response-Team (vormals DART/CRSP).

  • Schnelles Isolieren kompromittierter Geräte mithilfe von Defender für Endpunkt in einer lokalen Bereitstellung.

Reagieren auf Ransomware-Angriffe

Vorfalldeklaration

Sobald ein erfolgreicher Ransomware-Angriff bestätigt wurde, sollte der Analyst überprüfen, ob es sich um einen neuen Vorfall handelt oder ob dieser mit einem vorhandenen Vorfall zusammenhängt. Suchen Sie nach derzeit offenen Tickets, die auf ähnliche Vorfälle hinweisen. Wenn das der Fall ist, aktualisieren Sie das aktuelle Vorfallsticket mit neuen Informationen im Ticketsystem. Wenn es sich um einen neuen Vorfall handelt, sollte er im entsprechenden Ticketsystem deklariert und an die jeweiligen Teams oder Anbieter eskaliert werden, damit der Vorfall eingedämmt und gemindert wird. Beachten Sie, dass für die Verwaltung von Ransomware-Vorfällen möglicherweise Aktionen von mehreren IT- und Sicherheitsteams erforderlich sind. Stellen Sie nach Möglichkeit sicher, dass das Ticket eindeutig als Ransomware-Vorfall gekennzeichnet ist, um den Workflow zu lenken.

Eindämmung/Minderung

Im Allgemeinen sollten verschiedene Lösungen für Server-/Endpunkt-Antischadsoftware, E-Mail-Antischadsoftware und Netzwerkschutz so konfiguriert werden, dass bekannte Ransomware automatisch eingedämmt und abgeschwächt wird. Es kann jedoch Fälle geben, in denen die spezifische Ransomware-Variante solche Schutzmaßnahmen umgehen und Zielsysteme erfolgreich angreifen konnte.

Microsoft stellt umfangreiche Ressourcen zur Verfügung, mit denen Ihre Prozesse zur Reaktion auf Vorfälle auf Grundlage der wichtigsten bewährten Methoden für die Azure-Sicherheit aktualisiert werden können.

Nachfolgend sind empfohlene Aktionen zum Eindämmen oder Abschwächen eines deklarierten Vorfalls im Zusammenhang mit Ransomware aufgeführt, bei der automatisierte Aktionen, die von Antischadsoftwaresystemen ausgeführt wurden, nicht erfolgreich waren:

  1. Einbinden der Anbieter von Antischadsoftware über Standardsupportprozesse
  2. Manuelles Hinzufügen von Hashes und anderen Informationen, die im Zusammenhang mit Schadsoftware stehen, zu Antischadsoftwaresystemen
  3. Anwenden von Updates der Anbieter von Antischadsoftware
  4. Eindämmen betroffener Systeme, bis Abhilfemaßnahmen ergriffen werden können
  5. Deaktivieren kompromittierter Konten
  6. Ausführen einer Fehlerursachenanalyse
  7. Anwenden relevanter Patches und Konfigurationsänderungen auf betroffenen Systemen
  8. Blockieren der Ransomware-Kommunikation mithilfe interner und externer Kontrollen
  9. Löschen zwischengespeicherter Inhalte

Wiederherstellung

Das Microsoft Detection and Response Team hilft Ihnen beim Schutz vor Angriffen.

Das Verstehen und Beheben der grundlegenden Sicherheitsprobleme, die zur Kompromittierung geführt haben, sollte für Opfer von Ransomware Priorität haben.

Integrieren Sie externe Experten in Prozesse, um Fachwissen zu ergänzen, z. B. das Microsoft Incident Response-Team. Microsoft Incident Response arbeitet mit Kunden auf der ganzen Welt zusammen und hilft ihnen, sich vor Angriffen zu schützen und diese abzuwehren, bevor sie auftreten, und untersucht und behebt bereits erfolgte Angriffe.

Kunden können unsere Sicherheitsexperten direkt über das Microsoft Defender-Portal kontaktieren, um rechtzeitig und präzise reagieren zu können. Experten bieten Einblicke, die erforderlich sind, um die komplexen Bedrohungen, die sich auf Ihre Organisation auswirken, besser zu verstehen. Dies reicht von Anfragen zu Warnungen, potenziell kompromittierten Geräten und der zugrunde liegenden Ursache einer verdächtigen Netzwerkverbindung bis hin zu zusätzlichen Threat Intelligence-Informationen zu laufenden Kampagnen für erweiterte persistente Bedrohungen.

Microsoft kann Ihr Unternehmen bei der Rückkehr zu einem sicheren Betrieb unterstützen.

Microsoft führt Hunderte von Wiederherstellungen kompromittierter Systeme durch und verfügt über eine bewährte Methodik. Dadurch werden Sie nicht nur in eine sicherere Position versetzt, sondern Sie haben auch die Möglichkeit, Ihre langfristige Strategie zu überdenken, anstatt nur auf die Situation zu reagieren.

Microsoft bietet Rapid Ransomware Recovery-Dienste. Dabei wird Unterstützung in allen Bereichen geboten, z. B. die Wiederherstellung von Identitätsdiensten, Korrektur und Härtung sowie die Überwachung der Bereitstellung, um Opfer von Ransomware-Angriffen dabei zu unterstützen, in kürzester Zeit zum normalen Geschäftsbetrieb zurückzukehren.

Unsere Rapid Ransomware Recovery-Dienste werden für die Dauer der Inanspruchnahme als „Vertraulich“ behandelt. Rapid Ransomware Recovery-Projekte werden ausschließlich vom CRSP-Team (Compromise Recovery Security Practice) bereitgestellt, das Teil von Azure Cloud und KI ist. Wenn Sie weitere Informationen wünschen, können Sie sich unter Kontakt zur Azure-Sicherheit anfordern an das CRSP-Team wenden.

Nächste Schritte

Weitere Informationen finden Sie im Whitepaper zu Azure-Abwehrmechanismen für Ransomware-Angriffe.

Weitere Artikel in dieser Reihe: