Investigar um ataque de ransomware
Este artigo aborda técnicas para investigar ataques de ransomware que já foram detectados. Se procura pesquisas para o ajudar a detetar ataques de ransomware, aceda a Detectar um ataque de ransomware .
Um utilizador da sua organização ativa Windows desktop uma manhã e é saudado por uma mensagem alegando que os arquivos no sistema foram criptografados e o pagamento deve ser feito para recuperar os arquivos. Como analista de segurança, é o teu objetivo investigar o ransomware tentando reconstruir os eventos que levaram à infeção do sistema. Também pretende compreender todo o âmbito da falha de segurança e evitar que sistemas adicionais sejam infetados.
Você pode usar o software Splunk para investigar programas ou binários executados no sistema infectado, examinar as conexões que a máquina infectada tinha com outros dispositivos de rede, construir uma linha do tempo de eventos e criar diagramas de fluxo de tráfego para ajudar a visualizar o que aconteceu.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
Existem muitas pesquisas que pode executar com o software Splunk no caso de um ataque de ransomware. Pode investigar a origem do ataque utilizando estas pesquisas:
- FQDN associado a um endereço IP
- Ficheiros transferidos para uma máquina a partir de um website
- Domínios suspeitos visitados por um utilizador
- Scripts suspeitos na linha de comando
- Dispositivos amovíveis ligados a uma máquina
- Ficheiros adicionados ao sistema através de suportes externos
Pode avaliar o impacto do ataque utilizando estas pesquisas:
Próximos passos
Para maximizar seu benefício, os artigos de instruções vinculados na seção anterior provavelmente precisam se vincular aos processos existentes na sua organização ou se tornar novos processos padrão. Estes processos geralmente afetam o sucesso com este caso de uso:
- Notificar as autoridades policiais e todas as outras autoridades relevantes para o seu setor
- Implementar o seu plano de resposta a incidentes de segurança e continuidade de negócios
- Apresentação de reclamações de seguro cibernético junto do seu fornecedor
Medir o impacto e o benefício é fundamental para avaliar o valor das operações de segurança. Seguem-se exemplos de métricas que podem ser úteis para monitorizar ao implementar este caso de utilização:
- Tempo de detecção: O tempo a partir do momento em que a origem do ransomware foi descarregada para a máquina do utilizador e quando o utilizador recebeu o aviso de ransomware
- Tempo para concluir a investigação: O tempo desde o momento em que o utilizador denunciou o ransomware até ao momento em que a investigação foi concluída
O conteúdo deste caso de uso vem de um workshop prático de investigações de segurança desenvolvido por especialistas da Splunk. Para saber quais os recursos educativos disponíveis, fale com o seu Customer Service Manager. Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização específico:
- Caso de uso: Detectar o ransomware Clop
- Caso de uso: Detectar um ataque de ransomware
- Procedimento de caso de uso: Executável carregado num servidor Web
- Procedimento de caso de uso: Hash MD5 de um ficheiro carregado
- Webinar: Detecção de ransomware e estratégias de prevenção
- Blogue: Operacionalize detecções de ransomware de forma rápida e fácil com o Splunk