Risposta agli attacchi ransomware

Nota

Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.

Quando si sospetta di essere o sono attualmente sotto un attacco ransomware, stabilire comunicazioni sicure con il team di risposta agli eventi imprevisti immediatamente. Possono eseguire le fasi di risposta seguenti per interrompere l'attacco e attenuare i danni:

  • Indagine e contenimento
  • Eradicazione e ripristino

Questo articolo fornisce un playbook generalizzato per rispondere agli attacchi ransomware. Valutare la possibilità di adattare i passaggi e le attività descritti in questo articolo al proprio playbook sulle operazioni di sicurezza. NOTA: per informazioni sulla prevenzione degli attacchi ransomware, vedere Distribuire rapidamente le prevenzione ransomware.

Contenimento

Il contenimento e l'indagine devono avvenire nel modo più simultaneo possibile; tuttavia, è consigliabile concentrarsi sul raggiungimento rapido del contenimento, in modo da avere più tempo per analizzare. Questi passaggi consentono di determinare l'ambito dell'attacco e di isolarlo solo per le entità interessate, ad esempio account utente e dispositivi.

Passaggio 1: Valutare l'ambito dell'evento imprevisto

Eseguire questo elenco di domande e attività per individuare l'entità dell'attacco. Microsoft Defender XDR può fornire una visione consolidata di tutti gli asset interessati o a rischio per facilitare la valutazione della risposta agli eventi imprevisti. Vedere Risposta agli eventi imprevisti con Microsoft Defender XDR. È possibile usare gli avvisi e l'elenco di prove nell'evento imprevisto per determinare:

  • Quali account utente potrebbero essere compromessi?
    • Quali account sono stati usati per distribuire il payload?
  • Quali dispositivi caricati e individuati sono interessati e come?
    • Dispositivi di origine
    • Dispositivi interessati
    • Dispositivi sospetti
  • Identificare qualsiasi comunicazione di rete associata all'evento imprevisto.
  • Quali applicazioni sono interessate?
  • Quali payload sono stati distribuiti?
  • In che modo l'utente malintenzionato comunica con i dispositivi compromessi? (La protezione di rete deve essere abilitata):
    • Passare alla pagina degli indicatori per aggiungere un blocco per l'IP e l'URL (se si dispone di tali informazioni).
  • Qual era il supporto per il recapito del payload?

Passaggio 2: Mantenere i sistemi esistenti

Eseguire questo elenco di attività e domande per proteggere i sistemi esistenti dagli attacchi:

  • Se si dispone di backup online, provare a disconnettere il sistema di backup dalla rete fino a quando non si è certi che l'attacco sia contenuto, vedere Piano di backup e ripristino per la protezione da ransomware | Microsoft Docs.
  • Se si sta verificando o si prevede una distribuzione ransomware imminente e attiva:
    • Sospendere gli account con privilegi e locali sospetti che fanno parte dell'attacco. È possibile eseguire questa operazione dalla scheda Utenti nelle proprietà dell'evento imprevisto nel portale di Microsoft Defender.
    • Arrestare tutte le sessioni di accesso remoto.
    • Reimpostare le password dell'account utente compromesso e richiedere agli utenti degli account utente compromessi di accedere di nuovo.
    • Eseguire la stessa operazione per gli account utente che potrebbero essere compromessi.
    • Se gli account locali condivisi sono compromessi, chiedere all'amministratore IT di applicare una modifica della password in tutti i dispositivi esposti. Esempio di query Kusto:
DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 
  • Per i dispositivi che non sono ancora isolati e non fanno parte dell'infrastruttura critica:
    • Isolare i dispositivi compromessi dalla rete, ma non arrestarli.
    • Se si identificano i dispositivi di origine o spreader, isolarli per primi.
  • Mantenere i sistemi compromessi per l'analisi.

Passaggio 3: Impedire la diffusione

Usare questo elenco per impedire che l'attacco si diffonda in entità aggiuntive.

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
  • Query Kusto per gli accessi non RDP (più realistica per la maggior parte delle reti):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

Indagine

Usare questa sezione per analizzare l'attacco e pianificare la risposta.

Valutare la situazione attuale

  • Cosa inizialmente ti ha fatto conoscere l'attacco ransomware?
    • Se il personale IT ha identificato la minaccia iniziale, ad esempio notare l'eliminazione dei backup, gli avvisi antivirus, gli avvisi di rilevamento e risposta degli endpoint o le modifiche sospette del sistema, è spesso possibile adottare misure rapide e decisive per contrastare l'attacco, in genere tramite le azioni di contenimento descritte in questo articolo.
  • Quale data e ora hai appreso per la prima volta dell'evento imprevisto?
    • Quali aggiornamenti di sistema e sicurezza non sono stati installati nei dispositivi in quella data? Questo è importante per comprendere quali vulnerabilità potrebbero essere state sfruttate in modo che possano essere risolte in altri dispositivi.
    • Quali account utente sono stati usati in tale data?
    • Quali nuovi account utente sono stati creati dopo tale data?
    • Quali programmi sono stati aggiunti per iniziare automaticamente intorno al momento in cui si è verificato l'evento imprevisto?
  • C'è qualche indicazione che l'utente malintenzionato sta attualmente accedendo ai sistemi?
    • Sono presenti sistemi sospetti compromessi che riscontrano attività insolite?
    • Ci sono account sospetti compromessi che sembrano essere utilizzati attivamente dall'avversario?
    • Esistono prove di server di comando e controllo attivi (C2) in EDR, firewall, VPN, proxy Web e altri log?

Identificare il processo ransomware

  • Usando la ricerca avanzata, cercare il processo identificato negli eventi di creazione del processo in altri dispositivi.

Cercare le credenziali esposte nei dispositivi infetti

  • Per gli account utente le cui credenziali sono state potenzialmente compromesse, reimpostare le password dell'account e richiedere agli utenti di eseguire di nuovo l'accesso.
  • Le operazioni di I/O seguenti potrebbero indicare lo spostamento laterale:
Fare clic per espandere
  • SuspiciousExploratoryCommands
  • MLFileBasedAlert
  • IfeoDebuggerPersistence
  • SuspiciousRemoteFileDropAndExecution
  • ExploratoryWindowsCommands
  • IoaStickyKeys
  • Amplificatore Mimikatz Defender
  • Strumento di analisi di rete usato da PARINACOTA
  • DefenderServerAlertMSSQLServer
  • SuspiciousLowReputationFileDrop
  • SuspiciousServiceExecution
  • AdminUserAddition
  • MimikatzArtifactsDetector
  • Scuba-WdigestEnabledToAccessCredentials
  • DefenderMalware
  • MLSuspCmdBehavior
  • MLSuspiciousRemoteInvocation
  • SuspiciousRemoteComponentInvocation
  • SuspiciousWmiProcessCreation
  • MLCmdBasedWithRemoting
  • Process Accesses Lsass
  • Esecuzione del processo Rundll32 sospetta
  • BitsAdmin
  • DefenderCobaltStrikeDetection
  • DefenderHacktool
  • IoaSuspPSCommandline
  • Metasploit
  • MLSuspToolBehavior
  • RegistryQueryForPasswords
  • SuspiciousWdavExclusion
  • ASEPRegKey
  • CobaltStrikeExecutionDetection
  • DefenderBackdoor
  • DefenderBehaviorSuspiciousActivity
  • DefenderMalwareExecuted
  • DefenderServerAlertDomainController
  • DupTokenPrivilegeEscalationDetector
  • FakeWindowsBinary
  • IoaMaliciousCmdlets
  • LivingOffTheLandBinary
  • MicrosoftSignedBinaryAbuse
  • MicrosoftSignedBinaryScriptletAbuse
  • MLFileBasedWithRemoting
  • MLSuspSvchostBehavior
  • ReadSensitiveMemory
  • RemoteCodeInjection-IREnabled
  • Scuba-EchoSeenOverPipeOnLocalhost
  • Scuba-SuspiciousWebScriptFileDrop
  • Registrazione dll sospetta da odbcconf
  • Attività DPAPI sospetta
  • Esecuzione sospetta del processo di Scambio
  • Avvio pianificato sospetto dell'attività
  • SuspiciousLdapQueryDetector
  • SuspiciousScheduledTaskRegistration
  • Un'applicazione non attendibile apre una connessione RDP

Identificare le app line-of-business (LOB) non disponibili a causa dell'evento imprevisto

  • L'app richiede un'identità?
    • Come viene eseguita l'autenticazione?
    • Come vengono archiviate e gestite credenziali come certificati o segreti?
  • I backup valutati dell'applicazione, la relativa configurazione e i relativi dati sono disponibili?
  • Determinare il processo di ripristino compromesso.

Eradicazione e ripristino

Usare questi passaggi per eliminare la minaccia e recuperare le risorse danneggiate.

Passaggio 1: Verificare i backup

Se si dispone di backup offline, è probabilmente possibile ripristinare i dati crittografati dopo aver rimosso il payload ransomware (malware) dall'ambiente e dopo aver verificato che non esiste alcun accesso non autorizzato nel tenant di Microsoft 365.

Passaggio 2: Aggiungere indicatori

Aggiungere tutti i canali di comunicazione degli utenti malintenzionati noti come indicatori, bloccati nei firewall, nei server proxy e negli endpoint.

Passaggio 3: Reimpostare gli utenti compromessi

Reimpostare le password di tutti gli account utente compromessi noti e richiedere un nuovo accesso.

  • Valutare la possibilità di reimpostare le password per qualsiasi account con privilegi con un'ampia autorità amministrativa, ad esempio i membri del gruppo Domain Admins.
  • Se un account utente potrebbe essere stato creato da un utente malintenzionato, disabilitare l'account. Non eliminare l'account a meno che non sia previsto di eseguire analisi forensi di sicurezza per l'evento imprevisto.

Passaggio 4: Isolare i punti di controllo degli utenti malintenzionati

Isolare tutti i punti di controllo degli utenti malintenzionati noti all'interno dell'organizzazione da Internet.

Passaggio 5: Rimuovere malware

Rimuovere il malware dai dispositivi interessati.

  • Eseguire un'analisi antivirus completa e corrente su tutti i computer e dispositivi sospetti per rilevare e rimuovere il payload associato al ransomware.
  • Non dimenticare di analizzare i dispositivi che sincronizzano i dati o le destinazioni delle unità di rete mappate.

Passaggio 6: Ripristinare i file in un dispositivo pulito

Ripristinare i file in un dispositivo pulito.

  • È possibile usare Cronologia file in Windows 11, Windows 10, Windows 8.1 e Protezione di sistema in Windows 7 per tentare di ripristinare i file e le cartelle locali.

Passaggio 7: Ripristinare i file in OneDrive for Business

Ripristinare i file in OneDrive for Business.

  • Il ripristino dei file in OneDrive for Business consente di ripristinare un intero OneDrive a un punto nel tempo precedente negli ultimi 30 giorni. Per ulteriori informazioni, vedere Ripristinare OneDrive.

Passaggio 8: Ripristinare la posta elettronica eliminata

Ripristinare il messaggio di posta elettronica eliminato.

Passaggio 9: Riabilitare Exchange ActiveSync e sincronizzazione OneDrive

  • Dopo aver pulito i computer e i dispositivi e aver ripristinato i dati, è possibile riabilitare Exchange ActiveSync e sincronizzazione OneDrive disabilitati in precedenza nel passaggio 3 del contenimento.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.