Lista sprawdzająca reakcji na ransomware i wyłudzanie danych

Jeśli Twoja organizacja padnie ofiarą oprogramowania wymuszającego okup, postępuj zgodnie z zatwierdzonym Planem Reagowania na Incydenty. Zaleca się reagowanie przy użyciu poniższej listy kontrolnej. Szczególnie istotnym jest, aby pierwsze trzy kroki zostały podjęte w kolejności podanej poniżej.

Wykrywanie i analiza

Skorzystaj z zalecanych najlepszych praktyk i materiałów referencyjnych podanych poniżej, aby skutecznie ograniczyć ryzyko związane z oprogramowaniem ransomware i ułatwić dobrze skoordynowaną i skuteczną reakcję na wszelkie incydenty związane z oprogramowaniem ransomware w Twojej organizacji. Stosuj te praktyki najlepiej jak potrafisz, biorąc pod uwagę dostępność zasobów organizacyjnych.

1. Zidentyfikuj dotknięte systemy i szybko odłącz je od sieci 

• Jeśli podejrzewa się, że problem dotyczy wielu systemów lub podsieci, należy rozważyć odłączenie całej sieci na poziomie przełącznika. Odłączanie poszczególnych systemów podczas incydentu może nie być praktyczne lub wykonalne.
• Priorytetowo traktuj izolowanie krytycznych systemów, które są niezbędne do codziennej działalności organizacji.
• Jeśli chwilowe wyłączenie sieci nie jest możliwe od razu, znajdź kabel sieciowy (jak np. Ethernet) i odłącz urządzenia, których dotyczy problem, od sieci. Ewentualnie usuń zainfekowane urządzenia z łączności Wi-Fi, aby powstrzymać infekcję.
• W przypadku zasobów w chmurze utwórz zrzut woluminów, aby uzyskać kopię z określonego punktu w czasie, którą można później przejrzeć na potrzeby dochodzenia śledczego.
• Po początkowym naruszeniu hakerzy mogą aktywnie monitorować działania i komunikację Twojej organizacji, aby ocenić, czy ich działania zostały wykryte. Kluczowe znaczenie ma izolowanie systemów w skoordynowany sposób i stosowanie metod komunikacji poza pasmem (out-of-band), takich jak rozmowy telefoniczne, aby zapobiec ostrzeganiu aktorów o ich wysiłkach w zakresie wykrywania i łagodzenia skutków. Niezastosowanie się do tego może skłonić aktorów do rozszerzenia zasięgu w sieci lub szerszego wdrożenia oprogramowania ransomware, zanim sieci zostaną rozłączone.

2. Jeśli nie ma możliwości odłączenia urządzeń od sieci, wyłącz je, aby zapobiec dalszemu rozprzestrzenianiu się infekcji ransomware.

Wykonaj ten krok, aby uniknąć przechowywania artefaktów infekcji ransomware i potencjalnych dowodów przechowywanych w pamięci ulotnej. Kontynuuj tę czynność tylko wtedy, gdy tymczasowe wyłączenie sieci lub odłączenie hostów, których dotyczy problem, za pomocą innych metod nie jest możliwe.

3. Selekcja uszkodzonych systemów w celu odbudowy i regeneracji.

• Identyfikuj i ustalaj priorytety krytycznych systemów, które wymagają przywrócenia w czystej sieci. Potwierdź charakter danych przechowywanych w systemach, których dotyczy problem.
• Monitoruj systemy i urządzenia, które są uważane za nienaruszone, co pozwala na priorytetowe traktowanie ich przywrócenia i odzyskiwania na późniejszym etapie. Ułatwia to sprawne wznowienie działalności biznesowej Twojej organizacji.

4. Oceń obecne systemy wykrywania i zapobiegania w Twojej organizacji, takie jak oprogramowanie antywirusowe, rozwiązania Endpoint Detection and Response (EDR), systemy wykrywania włamań (IDS) i systemy zapobiegania włamaniom (IPS), wraz z odpowiadającymi im dziennikami.

• Poszukuj śladów wstępnego złośliwego oprogramowania typu „dropper”, w tym Bumblebee, Dridex, Emotet, QakBot lub Anchor. Wystąpienie incydentu związanego z oprogramowaniem ransomware może wskazywać na wcześniejsze naruszenie sieci, które nie zostało odpowiednio rozwiązane.

5. Współpracuj ze swoim zespołem, aby ustalić i udokumentować wstępne zrozumienie sytuacji na podstawie wstępnej analizy.

6. Rozpocznij działania proaktywnego wykrywania intruzów. 

W sieciach firmowych:

• Zidentyfikuj wszelkie niedawno utworzone konta Active Directory (AD) lub konta z podwyższonymi uprawnieniami, a także ostatnie działania związane z kontami uprzywilejowanymi, takimi jak administratorzy domeny.
• Uważaj na nieprawidłowe logowanie na urządzeniach VPN lub podejrzane logowania.
• Monitoruj modyfikacje punktów końcowych, które mogą utrudniać tworzenie kopii zapasowych, kopiowanie w tle, kronikowanie dysków lub konfiguracje rozruchu. Zwróć uwagę na nietypowe użycie wbudowanych narzędzi Windows, takich jak bcdedit.exe, fsutil.exe (deletejournal), vssadmin.exe, wbadmin.exe i wmic.exe (shadowcopy lub shadowstorage). Narzędzia te są często niewłaściwie wykorzystywane przez osoby atakujące ransomware w celu utrudnienia odzyskiwania systemu.
• Wypatruj oznak obecności klienta Cobalt Strike. Cobalt Strike, komercyjny pakiet oprogramowania do testowania penetracji, jest często maskowany przez złośliwe podmioty pod tymi samymi nazwami, co legalne procesy systemu Windows, aby uniknąć wykrycia i skomplikować śledztwo.
• Szukaj nieoczekiwanego użycia oprogramowania do zdalnego monitorowania i zarządzania (RMM), w tym obecności przenośnych plików wykonywalnych, które zwykle nie są instalowane. Złośliwi aktorzy często wykorzystują oprogramowanie RMM w celu zachowania trwałości swojej obecności.
• Bądź czujny na wszelkie nietypowe wykonania programu PowerShell lub wykorzystanie pakietu PsTools.
• Sprawdź, czy nie występują oznaki wyliczania lub zrzucania poświadczeń usługi Active Directory (AD) i/lub LSASS, na przykład przy użyciu narzędzi takich jak Mimikatz lub NTDSutil.exe.
• Monitoruj nieoczekiwaną komunikację między punktami końcowymi, w tym z serwerami.
• Szukaj potencjalnych oznak eksfiltracji danych z sieci. Typowe narzędzia wykorzystywane do eksfiltracji danych obejmują Rclone, Rsync, różne internetowe usługi przechowywania plików (które są również wykorzystywane przez cyberprzestępców do umieszczania złośliwego oprogramowania/narzędzi w zaatakowanej sieci) oraz FTP/SFTP.
• Zwróć uwagę na wszelkie nowo utworzone usługi, nieoczekiwane zaplanowane zadania lub nieprzewidziane instalacje oprogramowania.

W środowiskach chmurowych:

• Wdrażaj narzędzia, które mogą aktywnie identyfikować i zapobiegać nieautoryzowanym modyfikacjom zarządzania tożsamością i dostępem (IAM), bezpieczeństwa sieci i zasobów ochrony danych.
• Wykorzystaj automatyzację do szybkiego wykrywania typowych problemów, takich jak wyłączenie funkcji bezpieczeństwa lub wprowadzenie nowych reguł zapory i uruchamiaj automatyczne działania w odpowiedzi. Na przykład, jeśli zostanie ustanowiona nowa reguła zapory zezwalająca na nieograniczony ruch (0.0.0.0/0), można zainicjować automatyczne działanie w celu wyłączenia lub usunięcia reguły. Jednocześnie powiadomienia mogą być wysyłane do użytkownika odpowiedzialnego za utworzenie reguły, a także do zespołu bezpieczeństwa, aby uświadomić go o zaistniałej sytuacji. Takie podejście pomaga zapobiegać zmęczeniu alertami i umożliwia personelowi ochrony skoncentrowanie się na skutecznym rozwiązywaniu spraw krytycznych.

Raportowanie i powiadamianie

Przestrzegaj procedur powiadamiania określonych w Twoim planie reagowania na incydenty cybernetyczne i komunikacji. Zaangażuj zarówno wewnętrzne, jak i zewnętrzne zespoły i interesariuszy, skutecznie informując o incydencie, zapewniając im jasne zrozumienie ich odpowiednich ról w pomocy w działaniach łagodzących, reagowaniu i odzyskiwaniu.

1. Niezwłocznie udostępniaj dostępne informacje, aby ułatwić terminową i odpowiednią pomoc. Regularnie informuj kierownictwo i liderów wyższego szczebla o rozwoju sytuacji. Kluczowi interesariusze, których należy zaangażować, mogą obejmować dział IT, dostawców zarządzanych usług bezpieczeństwa, firmę ubezpieczeniową, Takie oparte na współpracy podejście gwarantuje, że odpowiednie strony są dobrze poinformowane i mogą skutecznie przyczynić się do złagodzenia skutków incydentu, reagowania na niego i usuwania skutków zdarzenia.
2. Zgłoś incydent odpowiedniemu organowi regulacyjnemu w Twojej jurysdykcji.
3. W razie potrzeby współpracuj z personelem ds. komunikacji i informacji publicznej, aby zapewnić rozpowszechnianie dokładnych informacji zarówno w Twojej organizacji, jak i wśród opinii publicznej. Ta koordynacja ma na celu utrzymanie spójnych i niezawodnych komunikatów podczas incydentu, zarówno wewnętrznych, jak i zewnętrznych.

Ograniczanie i usuwanie

Jeśli żadne wstępne działania łagodzące nie wydają się możliwe

Wykonaj obrazowanie systemu i przechwyć pamięć na reprezentatywnej próbce urządzeń, których dotyczy problem, w tym stacji roboczych, serwerów (fizycznych, wirtualnych i opartych na chmurze). Ponadto zbierz odpowiednie dzienniki wraz z próbkami wszelkich podejrzanych „prekursorów” plików binarnych złośliwego oprogramowania i powiązanych wskaźników naruszenia bezpieczeństwa lub obserwowalnych elementów. Mogą to być podejrzane wpisy w rejestrze, podejrzane adresy IP dowodzenia i kontroli lub inne zidentyfikowane istotne pliki.

• Chroń dowody, które są bardzo nietrwałe lub mają ograniczoną zdolność przechowywania, aby zapobiec potencjalnej ich utracie lub manipulacji. Obejmuje to zachowanie pamięci systemowej, dzienników zabezpieczeń systemu Windows i danych przechowywanych w buforach dzienników zapory. Podjęcie odpowiednich środków w celu zachowania tych krytycznych dowodów zapewnia ich integralność i dostępność do dalszej analizy i badania.

Zasięgnij porady specjalistów ds. ransomware i przedstawicieli prawnych, nawet jeśli możliwe są działania łagodzące, aby zbadać potencjalne opcje, takie jak deszyfratory. Analitycy bezpieczeństwa mogli zidentyfikować luki w zabezpieczeniach szyfrowania w niektórych wariantach oprogramowania ransomware i mogli udostępnić narzędzia deszyfrujące lub inne powiązane narzędzia. Konsultacje z tymi ekspertami pomogą określić dostępność takich zasobów i pokierować podejmowaniem odpowiednich decyzji w przypadku incydentu związanego z oprogramowaniem ransomware.

Aby kontynuować podejmowanie kroków w celu powstrzymania i złagodzenia incydentu:

1. Odwołaj się do wiarygodnych źródeł wskazówek dotyczących danego wariantu oprogramowania ransomware i stosuj się do wszelkich dodatkowych zalecanych środków w celu identyfikacji i powstrzymania systemów lub sieci, których dotyczy problem.

• Zakończ lub wyłącz wykonywanie rozpoznanych plików binarnych oprogramowania ransomware, aby zminimalizować zakres szkód i wpływ na systemy. Ponadto usuń wszelkie inne zidentyfikowane wartości rejestru i pliki powiązane z oprogramowaniem ransomware, aby jeszcze bardziej złagodzić jego skutki.

2. Określ systemy i konta zaangażowane w początkowe naruszenie, które może obejmować różne rodzaje kont, w tym konta e-mail.
3. Po zidentyfikowaniu szczegółów naruszenia lub naruszenia bezpieczeństwa, o którym mowa wcześniej, odizoluj powiązane systemy, które mogłyby zostać wykorzystane do uzyskania nieautoryzowanego dostępu. Naruszenia zwykle wiążą się z wydobyciem wielu danych uwierzytelniających. Aby zabezpieczyć sieci i inne źródła informacji przed ciągłym nieautoryzowanym dostępem w oparciu o złamane dane uwierzytelniające, rozważ wdrożenie następujących środków,

• Dezaktywuj wirtualne sieci prywatne, serwery dostępu zdalnego, zasoby pojedynczego logowania i wszelkie zasoby publiczne, takie jak systemy oparte na chmurze, aby zapobiec dalszemu nieautoryzowanemu dostępowi.

4. W przypadku szyfrowania danych po stronie serwera przez zainfekowaną stację roboczą, wykonaj kroki szybkiej identyfikacji specyficzne dla szyfrowania danych po stronie serwera:

• Przejrzyj listy Sesje i Otwarte pliki w Zarządzaniu komputerem na powiązanych serwerach, aby określić użytkownika lub system uzyskujący dostęp do tych plików.
• Analizuj właściwości plików zaszyfrowanych lub żądań okupu, aby zidentyfikować konkretnych użytkowników potencjalnie powiązanych z własnością pliku.
• Sprawdź dziennik zdarzeń TerminalServices-RemoteConnectionManager pod kątem pomyślnych połączeń sieciowych RDP.
• Przeanalizuj dziennik zabezpieczeń systemu Windows, dzienniki zdarzeń SMB i inne odpowiednie dzienniki, które mogą zawierać istotne zdarzenia związane z uwierzytelnianiem lub dostępem.
• Korzystaj z oprogramowania do przechwytywania pakietów, takiego jak Wireshark, na serwerze, którego dotyczy problem, stosując filtr w celu identyfikacji adresów IP zaangażowanych w aktywne zapisywanie lub zmienianie nazw plików (np. przy użyciu filtra takiego jak smb2.nazwa pliku zawiera cryptxxx).

5. Przeprowadź dogłębną analizę, aby zidentyfikować mechanizmy trwałości zarówno ze źródeł zewnętrznych (outside-in), jak i wewnętrznych (inside-out):

• Mechanizmy trwałości typu outside-in mogą obejmować nieautoryzowany dostęp do systemów zewnętrznych za pośrednictwem nieuczciwych kont, backdoorów obecnych w systemach obwodowych, wykorzystywanie luk w komponentach zewnętrznych i podobne metody.
• Mechanizmy utrwalania typu inside-out mogą obejmować obecność implantów złośliwego oprogramowania w sieci wewnętrznej lub wykorzystanie technik „living-off-the-land”, takich jak wykorzystanie legalnych narzędzi, takich jak Cobalt Strike (komercyjne narzędzie do testowania penetracji), wykorzystanie PsTools pakiet (w tym PsExec) do zdalnej instalacji i kontroli złośliwego oprogramowania oraz wykorzystujący skrypty PowerShell do różnych celów.
• Proces identyfikacji może obejmować wdrożenie rozwiązań Endpoint Detection and Response (EDR), przeprowadzanie audytów kont lokalnych i domenowych, analizowanie danych zebranych ze scentralizowanych systemów rejestrowania oraz przeprowadzanie bardziej dogłębnej analizy kryminalistycznej określonych systemów po zakończeniu wytyczenia ruchu w środowisku.

6. Nadawać priorytet przebudowie systemów w oparciu o krytyczność usług, dając pierwszeństwo tym, które są niezbędne dla zdrowia i bezpieczeństwa lub generowania przychodów. Jeśli to możliwe, użyj wstępnie skonfigurowanych obrazów standardowych, aby przyspieszyć proces odbudowy. W przypadku zasobów w chmurze wykorzystaj infrastrukturę jako szablony kodu, aby wydajnie zrekonstruować niezbędne komponenty infrastruktury.
7. Zainicjuj resetowanie haseł dla wszystkich systemów, których dotyczy problem, i wyeliminuj wszelkie zidentyfikowane luki w zabezpieczeniach, gdy środowisko zostanie dokładnie wyczyszczone i odbudowane. Obejmuje to zajęcie się wszelkimi kontami, których to dotyczy, oraz usunięcie lub naprawienie złośliwych mechanizmów trwałości. Aby zapewnić większe bezpieczeństwo i widoczność, należy podjąć niezbędne środki, takie jak instalowanie poprawek, aktualizowanie oprogramowania i wdrażanie innych środków ostrożności, które mogły zostać wcześniej przeoczone. Ponadto zaktualizuj klucze szyfrowania zarządzane przez klienta zgodnie z wymaganiami, aby dostosować je do ulepszonych środków bezpieczeństwa.
8. O zakończeniu incydentu ransomware decyduje wyznaczony organ IT lub organ ds. bezpieczeństwa IT, który ocenia sytuację na podstawie wcześniej określonych kryteriów. Ocena ta może obejmować rozważenie wykonania wyżej wymienionych kroków lub w razie potrzeby zwrócenie się o pomoc zewnętrzną. Po spełnieniu ustalonych kryteriów wyznaczony organ ogłasza rozwiązanie incydentu związanego z oprogramowaniem ransomware.

Przywracanie i działania po incydencie

1. Przywróć łączność systemów i zainicjuj proces przywracania, odzyskując dane z zaszyfrowanych kopii zapasowych offline. Priorytetyzuj przywracanie danych dla usług o znaczeniu krytycznym, aby zapewnić terminowe przywrócenie podstawowych funkcji.

• Zachowaj ostrożność, aby zapobiec ponownemu zakażeniu czystych systemów podczas fazy odzyskiwania. Jeśli nowa wirtualna sieć lokalna (VLAN) została utworzona specjalnie do celów odzyskiwania, upewnij się, że do tej sieci VLAN są dodawane tylko czyste systemy. Ten środek ostrożności pomaga zachować integralność środowiska przywracania i zapobiega potencjalnemu zanieczyszczeniu z wcześniej zainfekowanych systemów.

2. Dokładnie udokumentuj wnioski wyciągnięte z incydentu i odpowiednie działania reagowania. Ta dokumentacja będzie służyć jako cenna informacja zwrotna do aktualizowania, udoskonalania i ulepszania zasad, planów i procedur organizacji. Dostarczy również cennych informacji na temat przyszłych ćwiczeń i wysiłków związanych z przygotowaniem na podobne incydenty. Wykorzystując zdobyte doświadczenia, organizacja może poprawić swoją odporność i zdolności reagowania w celu skuteczniejszego radzenia sobie z przyszłymi incydentami.

O tym artykule

Ten artykuł został napisany na podstawie przewodnika opracowanego przez amerykańską Joint Ransomware Task Force, zatytułowanego „#StopRansomware Guide”. Kliknij tutaj, aby przeczytać cały przewodnik.

Powiązane wpisy

Dodaj komentarz