Detectar um ataque de ransomware
Este artigo aborda técnicas para a detecção de ataques de ransomware. Se já detectou um ataque e deseja investigar o seu impacto, verifique Investigar um ataque de ransomware para pesquisas que o ajudem a investigar a origem e o escopo do impacto do ataque.
Um novo tipo de ataque de ransomware foi descoberto e está a afetar organizações como a sua. Embora ainda não tenha sido contactado por nenhum utilizador que lhe informe que a sua máquina foi infetada, sabe que os invasores podem infiltrar-se numa rede e realizar actividades sem serem detectadas antes de encriptar ficheiros e notificar os utilizadores.
Como analista de segurança, é o seu objetivo detectar vestígios de ataques de ransomware investigando programas ou binários que são executados em sistemas potencialmente infectados e procurando outras características de ataques de ransomware.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
Existem muitas pesquisas que pode executar com o software Splunk no caso de um ataque de ransomware. Pode detectar o ataque utilizando estas pesquisas:
- Alta frequência de eliminação de ficheiros
- Alta frequência de terminação do processo
- Modificações de recuperação de arranque do Bcdedit
- Cópias de sombra eliminadas
- Modificações da chave do registo
- Wmic.exe iniciando processos num sistema remoto
- Schtasks.exe utilizado para forçar uma reinicialização
- Schtasks.exe registando binários ou scripts para executar a partir de um directório público
- Picos de ligação de tráfego do Bloco de Mensagens do Servidor (SMB)
- Picos de gravação de ficheiros
- Abuso Wevtutil.exe
- Eliminação de periódico USN
- Wbadmin apagar ficheiros de cópia de segurança
- Windows registo de eventos apagado
- Tráfego TOR
Processos relacionados
Para maximizar seu benefício, os artigos de instruções vinculados na seção anterior provavelmente precisam se vincular aos processos existentes na sua organização ou se tornar novos processos padrão. Estes processos geralmente afetam o sucesso com este caso de uso:
- Notificar as autoridades policiais e todas as outras autoridades relevantes para o seu setor
- Implementar o seu plano de resposta a incidentes de segurança e continuidade de negócios
- Apresentação de reclamações de seguro cibernético junto do seu fornecedor
Medir o impacto e o benefício é fundamental para avaliar o valor das operações de segurança. Seguem-se exemplos de métricas que podem ser úteis para monitorizar ao implementar este caso de utilização:
- Tempo de detecção: O tempo a partir do momento em que a origem do ransomware foi descarregada para a máquina do utilizador e quando o utilizador recebeu o aviso de ransomware
- Tempo para concluir a investigação: O tempo desde o momento em que o utilizador denunciou o ransomware até ao momento em que a investigação foi concluída
Próximos passos
- O conteúdo neste caso de uso vem de um workshop prático de investigações de segurança desenvolvido por especialistas da Splunk. Para saber quais recursos educacionais estão disponíveis para si, fale com a sua equipa de conta. Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização específico:
- Por último, se quiser uma forma mais eficiente de detetar ransomware na sua rede, considere actualizar a sua implementação. Splunk Enterprise Security ajuda-o a ingerir, monitorizar, investigar/analisar e agir (IMIA) sobre dados e insights de segurança. Clicar aqui para ver como este caso de uso pode ser realizado em Splunk Enterprise Security .