Foi infectado com Ransomware? Siga esses passos

Caso sua organização seja vítima de ransomware, a CISA.gov recomenda enfaticamente responder usando a lista de verificação a seguir. Certifique-se de percorrer as três primeiras etapas em sequência.

Detecção e Análise

  1. Determine quais sistemas foram afetados e isole-os imediatamente.
  2. Se vários sistemas ou sub-redes parecerem afetados, coloque a rede offline no nível do switch. Pode não ser viável desconectar sistemas individuais durante um incidente.
  3. Se não for possível colocar a rede temporariamente offline imediatamente, localize o cabo de rede (por exemplo, Ethernet) e desconecte os dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção.
  4. Após um comprometimento inicial, os agentes mal-intencionados podem monitorar a atividade ou as comunicações de sua organização para entender se suas ações foram detectadas. Certifique-se de isolar os sistemas de maneira coordenada e usar métodos de comunicação fora de banda, como chamadas telefônicas ou outros meios, para evitar informar aos atores que eles foram descobertos e que ações de mitigação estão sendo realizadas. Não fazer isso pode fazer com que os atores se movam lateralmente para preservar seu acesso – já uma tática comum – ou implantar ransomware amplamente antes de as redes serem desligadas.
  5. Observação: a etapa 2 impedirá que você mantenha artefatos de infecção por ransomware e possíveis evidências armazenadas na memória volátil. Deve ser realizado somente se não for possível desligar temporariamente a rede ou desconectar os hosts afetados da rede usando outros meios.
  6. Somente no caso de você não conseguir desconectar os dispositivos da rede, desligue-os para evitar uma maior disseminação da infecção por ransomware.
  7. Sistemas de triagem impactados para restauração e recuperação.
  8. Identifique e priorize sistemas críticos para restauração e confirme a natureza dos dados armazenados nos sistemas afetados.
  9. Priorize a restauração e a recuperação com base em uma lista predefinida de ativos críticos que inclui sistemas de informação críticos para saúde e segurança, geração de receita ou outros serviços críticos, bem como sistemas dos quais eles dependem.
  10. Acompanhe os sistemas e dispositivos que não são percebidos como afetados para que possam ser priorizados para restauração e recuperação. Isso permite que sua organização volte aos negócios de uma maneira mais eficiente.
  11. Converse com sua equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base na análise inicial.
  12. Usando as informações de contato abaixo, envolva suas equipes e partes interessadas internas e externas com uma compreensão do que eles podem fornecer para ajudá-lo a mitigar, responder e se recuperar do incidente.
  13. Compartilhe as informações que você tem à sua disposição para receber a assistência mais oportuna e relevante. Mantenha a gerência e os líderes seniores informados por meio de atualizações regulares à medida que a situação se desenvolve. As partes interessadas relevantes podem incluir seu departamento de TI, provedores de serviços de segurança gerenciados, empresa de seguros cibernéticos e líderes departamentais ou eleitos.
  14. Faça uma imagem do sistema e captura de memória de uma amostra de dispositivos afetados (por exemplo, estações de trabalho e servidores). Além disso, colete todos os logs relevantes, bem como amostras de quaisquer binários de malware “precursores” e observáveis ​​associados ou indicadores de comprometimento (por exemplo, endereços IP de comando e controle suspeitos, entradas de registro suspeitas ou outros arquivos relevantes detectados). Os contatos abaixo podem ajudá-lo a realizar essas tarefas.
  15. Tome cuidado para preservar evidências de natureza altamente volátil — ou de retenção limitada — para evitar perda ou adulteração (por exemplo, memória do sistema, logs de segurança do Windows, dados em buffers de log do firewall).
  16. Consulte as autoridades federais sobre possíveis descriptografadores disponíveis, pois os pesquisadores de segurança já quebraram os algoritmos de criptografia para algumas variantes de ransomware.
  17. Pesquise a orientação confiável (ou seja, publicada por fontes como governo, MS-ISAC, fornecedor de segurança respeitável etc.) para a variante de ransomware específica e siga as etapas adicionais recomendadas para identificar e conter sistemas ou redes confirmados como afetados.
  18. Elimine ou desative a execução de binários de ransomware conhecidos; isso minimizará os danos e o impacto em seus sistemas. Exclua outros valores e arquivos de registro associados conhecidos.
  19. Identifique os sistemas e contas envolvidos na violação inicial. Isso pode incluir contas de e-mail.
  20. Com base nos detalhes de violação ou comprometimento determinados acima, contém quaisquer sistemas associados que possam ser usados ​​para acesso não autorizado adicional ou contínuo. As violações geralmente envolvem a exfiltração de credenciais em massa. A proteção da rede e de outras fontes de informações contra acesso não autorizado continuado com base em credenciais pode incluir as seguintes ações:
  21. Desabilitando redes privadas virtuais, servidores de acesso remoto, recursos de logon único e ativos baseados em nuvem ou outros ativos voltados para o público.
  22. Ações adicionais sugeridas—etapas de identificação rápida de criptografia de dados do lado do servidor:
  23. Caso você saiba que os dados do lado do servidor estão sendo criptografados por uma estação de trabalho infectada, as etapas de identificação rápida são:
  24. Revise as listas Gerenciamento do Computador > Sessões e Arquivos Abertos nos servidores associados para determinar o usuário ou sistema que está acessando esses arquivos.
  25. Revise as propriedades de arquivos criptografados ou notas de resgate para identificar usuários específicos que podem estar associados à propriedade do arquivo.
  26. Revise o log de eventos TerminalServices-RemoteConnectionManager para verificar se há conexões de rede RDP bem-sucedidas.
  27. Revise o log de segurança do Windows, os logs de eventos SMB e
    quaisquer logs relacionados que possam identificar
    eventos significativos de autenticação ou acesso.
  28. Execute o Wireshark no servidor afetado com um filtro para
    identificar os endereços IP envolvidos na gravação ou renomeação de
    arquivos (por exemplo, “smb2.filename contém cryptxxx”).
  29. Conduza um exame dos sistemas organizacionais de detecção ou prevenção existentes (antivírus, Detecção e Resposta de Endpoint, IDS, Sistema de Prevenção de Intrusão, etc.) e logs. Isso pode destacar evidências de sistemas adicionais ou malware envolvidos nos estágios anteriores do ataque.
  30. Procure evidências de malware “conta-gotas” precursor. Um evento de ransomware pode ser evidência de um comprometimento de rede anterior não resolvido. Muitas infecções de ransomware são o resultado de infecções de malware existentes, como TrickBot, Dridex ou Emotet.
  31. Os operadores dessas variantes avançadas de malware geralmente vendem acesso a uma rede. Atores mal-intencionados às vezes usam esse acesso para exfiltrar dados e ameaçam liberar os dados publicamente antes de resgatar a rede na tentativa de extorquir ainda mais a vítima e pressioná-la a pagar.
  32. Atores mal-intencionados geralmente descartam variantes de ransomware implantadas manualmente em uma rede para ofuscar sua atividade pós-comprometimento. Deve-se tomar cuidado para identificar esse malware dropper antes de reconstruir a partir de backups para evitar comprometimentos contínuos.
  33. Conduza uma análise estendida para identificar mecanismos de persistência de fora para dentro e de dentro para fora.
  34. A persistência externa pode incluir acesso autenticado a sistemas externos por meio de contas não autorizadas, backdoors em sistemas de perímetro, exploração de vulnerabilidades externas, etc.
  35. A persistência de dentro para fora pode incluir implantes de malware na rede interna ou uma variedade de modificações de estilo de vida fora da terra (por exemplo, uso de ferramentas de teste de penetração comercial como Cobalt Strike; uso do pacote PsTools, incluindo PsExec, para instalar e controlar malware e coletar informações sobre – ou realizar gerenciamento remoto de – sistemas Windows; uso de scripts do PowerShell).
  36. A identificação pode envolver a implantação de soluções de detecção e resposta de endpoint, auditorias de contas locais e de domínio, exame de dados encontrados em sistemas de registro centralizados ou análise forense mais profunda de sistemas específicos, uma vez que o movimento dentro do ambiente tenha sido mapeado.
  37. Reconstruir sistemas com base na priorização de serviços críticos (por exemplo, saúde e segurança ou serviços geradores de receita), usando imagens padrão pré-configuradas, se possível.
  38. Depois que o ambiente for totalmente limpo e reconstruído (incluindo quaisquer contas impactadas associadas e a remoção ou correção de mecanismos de persistência maliciosos), emita redefinições de senha para todos os sistemas afetados e resolva quaisquer vulnerabilidades e lacunas associadas na segurança ou visibilidade. Isso pode incluir a aplicação de patches, atualização de software e outras precauções de segurança não tomadas anteriormente.
  39. Com base em critérios estabelecidos, que podem incluir seguir as etapas acima ou buscar assistência externa, a TI ou autoridade de segurança de TI designada declara o incidente de ransomware encerrado.
  40. Reconecte sistemas e restaure dados de backups criptografados offline com base na priorização de serviços críticos.
  41. Tome cuidado para não infectar novamente os sistemas limpos durante a recuperação. Por exemplo, se uma nova rede local virtual foi criada para fins de recuperação, certifique-se de que apenas sistemas limpos sejam adicionados a ela.
  42. Documente as lições aprendidas com o incidente e as atividades de resposta associadas para informar as atualizações – e refinar – políticas, planos e procedimentos organizacionais e orientar exercícios futuros dos mesmos.
  43. Considere compartilhar as lições aprendidas e os indicadores relevantes de compromisso com a CISA ou seu setor ISAC/ISAO para compartilhamento adicional e para beneficiar outros dentro da comunidade.

Contatos de Resposta de Ativos Federais

Mediante solicitação voluntária, a resposta de ativos federais inclui fornecer assistência técnica às entidades afetadas para proteger seus ativos, mitigar vulnerabilidades e reduzir impactos de incidentes cibernéticos, ao mesmo tempo em que identifica outras entidades que possam estar em risco, avaliando riscos potenciais para o setor ou região, facilitando o compartilhamento de informações e coordenação operacional, além de fornecer orientação sobre como usar melhor os recursos e capacidades federais.
O que você pode esperar:

  • Orientação específica para ajudar a avaliar e remediar incidentes de ransomware
  • Assistência remota para identificar a extensão do comprometimento e recomendações para estratégias apropriadas de contenção e mitigação (dependendo da variante de ransomware específica)
  • E-mail de phishing, mídia de armazenamento, análise de log e malware, com base em envio voluntário (a análise forense de disco completo pode ser realizada conforme necessário)
  • Contatos:
    • CISA:
      • Para mais perguntas sobre este tópico ou sobre o CISA em geral, entre em contato com Central@cisa.gov . Para relatar atividades cibernéticas anômalas e/ou incidentes cibernéticos 24 horas por dia, 7 dias por semana, envie um e-mail para report@cisa.gov ou (888) 282-0870.
    • Consultor de segurança cibernética:
      • https://www.cisa.gov/cisa-regions): [Digite o número de telefone e o endereço de e-mail do CISA CSA local.]
    • MS-ISAC:
      • soc@msisac.org ou (866) 787-4722

Contatos federais de resposta a ameaças

Mediante solicitação voluntária, a resposta federal a ameaças inclui atividades de aplicação da lei e de investigação de segurança nacional: coleta de evidências e inteligência, atribuição, vinculação de incidentes relacionados, identificação de entidades afetadas adicionais, identificação de oportunidades de perseguição e interrupção de ameaças, desenvolvimento e execução de ações para mitigar a ameaça imediata, e facilitando o compartilhamento de informações e a coordenação operacional com a resposta de ativos.

O que você pode esperar:

  • Assistência na condução de uma investigação criminal, que pode envolver a coleta de artefatos de incidentes, incluindo imagens do sistema e amostras de malware.
  • Contatos:
    • FBI:
      • https://www.fbi.gov/contact-us/fieldoffices
      • [Digite o número de telefone POC do escritório de campo local do FBI e endereço de e-mail.]
    • USSS:
      • https://www.secretservice.gov/contact/field-offices/
      • [Digite o número de telefone POC do escritório de campo local do USSS e endereço de e-mail.]