quarta-feira, 27 de abril de 2022

PLANO DE RESPOSTA A ATAQUE POR RANSOMWARE

Em 2021 registou-se a nível global o maior aumento de sempre nos custos com quebras de cibersegurança sendo que 10% destes ocorreram devido a Ransomware (o dobro da frequência de 2020).

Porque os incidentes deste tipo não são uma questão de "quando" mas "como" todas as organizações devem estar preparadas e terem um plano pré-preparado que podem activar em caso de detectarem um incidente deste tipo nas suas redes.
Para ajudar as organizações neste propósito do CpC - Cidadãos pela Cibersegurança lançou este guia que pode ser adaptado e desenvolvido às necessidades locais de cada organização e que convidamos a ler, alargar e desenvolver internamente:

Plano de resposta a ataque por Ransomware:

Passo 0

Mantenha uma lista de contactos gmail e de telemóvel de todos os membros da equipa de recuperação e resposta a incidentes.

Identifique e defina uma ordem de prioridades dos equipamentos a recuperar, por ordem, em caso de incidente.

Defina esta lista através de um inquérito aos órgãos de gestão e garanta que a lista e ordem tem em conta elementos como a saúde e segurança dos colaboradores, a geração de valor e serviço e os sistemas de que estes sistemas precisam para funcionar.

Crie mas não aplique nos computadores da sua AD uma GPO com regras de Windows Firewall para reduzir ao máximo o âmbito das comunicações permitidas às máquinas da sua rede.

Em: Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security Esta GPO irá bloquear as comunicações entre workstations e workstations e workstations e não-DCs e não-File Servers com SMB (TCP/445, TCP/135, TCP/139) Remote Desktop Protocol (TCP/3389) Windows Remote Management / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
WMI (dynamic port range assigned through DCOM)

Passo 1

Foi detectado um incidente de Ransomware:

Se o malware entrou, passou pelo antivirus e por outras defesas. Muito provavelmente por phishing. Provavelmente o malware já está a usar as permissões do utilizador e a infectar e encriptar ficheiros que estão ao seu alcance.

Ter em conta que os ransomwares também podem encriptar ficheiros de sistema.

Geralmente estão ativos na rede entre 6 a 8 semanas antes da eclosão final abrindo portas e escalando permissões. Em média estão nas redes 206 dias antes da eclosão final.

Registar o incidente fora da rede da organização (o sistema interno de ticketing pode ter sido já comprometido).

Recolher dados sobre o malware e classificar a gravidade do ataque

Passo 2

Comunique com a gestão da organização de uma forma sumária mas precisa o que sabe sobre o incidente de cibersegurança.

Passo 2a

Se conseguir desligar os equipamentos afectados da rede:

(fisicamente ou através da sua consola de gestão cloud)

Determinar quais os sistemas que foram afectados e isolá-los sem os desligar. Se vários e várias redes parecem afectadas torne essas redes offline ao nível do switch já que será difícil desligar equipamentos remotos ou todos os equipamentos em caso de incidente.

Se não for possível desligar a rede com rapidez, desligar o cabo de rede desses equipamentos por forma a conter a disseminação da infecção.

Como os agentes maliciosos podem estar a monitorizar a rede, as mensagens internas (por Teams) ou o email comuniquem por chamadas de telemóvel (por isso deve reunir e manter a lista de contactos relevantes em preparação para um incidente deste tipo). Isto pode impedi-los de se fazerem movimentos laterais e iludirem assim a detecção.

Passo 2b

Se não conseguir desligar os equipamentos afectados da rede:

Este passo é menos desejável que o anterior porque vai impedi-lo de ver o artefactos de malware em acção e activos na RAM.

Desligue todos os equipamentos começando por aqueles que sabe que estão infectados mas que não consegue desligar da rede.

passo 3

identificar a infecção: Procure nos shares infectados em busca de um text file indicando qual é o malware. Ter em conta que a maioria das variantes de ransomware tem um timer que começa a contar a partir do momento em que segue o link da infecção. E que por vezes há dois timers dobrando o valor do resgate mais perto do fim do prazo. Não clique em nenhum link antes de ter um plano preciso de reacção (como limpar a porta de entrada, backup ou pagamento de resgate, etc) procure na web pelos ficheiros para procurar identificar a ameaça que temos pela frente. Ter em conta que as variantes podem ter comportamentos diferentes do original. E que algumas não encriptam mas apenas ameaçam encriptar. 

Instale o https://yara.readthedocs.io/en/stable/ e use-o para identificar a variante com que está a lidar.

Passo 4

Prepare a ordem de prioridades de recuperação dos equipamentos afectados e verifique a escala do impacto nos sistemas.

Passo 5

Envolva os parceiros externos da organização na operação de recuperação dos sistemas e verifique em que podem ajudá-lo nessa tarefa.

Passo 6

Atualize a gestão da organização sobre a situação.

Informe as autoridades, contacte a empresa de seguros, fornecedores e alguns clientes que julgue relevantes.

Passo 7

Faça uma imagem clonezilla (ou por outras vias) dos sistemas afectados antes de tomar qualquer iniciativa de mitigação ou resolução.

Capture para coldstorage (pens ou discos USB) todos os logs relevantes (eventlogs dos sistemas Windows, logs dos Linux, das firewalls e dos proxies)

Procure por tasks e entradas no registry (nas trees de Run) nas máquinas afectadas: exporte e faça print screens para coldstorage.

Passo 8

Consulte as autoridades sobre possíveis decryptors para a variante de malware que o está a afectar. Alguns malwares já foram quebrados.

Enquanto não tiver resposta visite www.nomoreransom.org para verificar se a empresa foi infectada por uma variante de ransomware para a qual já existem ferramentas de desencriptação disponíveis de forma gratuita. Caso não seja o caso, proceder com os passos de recuperação.

Passo 9

Desligar comunicações para a internet.

passo 10

Aplique a nível da GPO uma regra de Windows Firewall para reduzir ao máximo o âmbito das comunicações permitidas às máquinas da sua rede.

Em: Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security
Esta GPO pode estar preparada e não aplicada até este momento tendo bloqueadas as comunicações entre workstations e workstations e workstations e não-DCs e não-File Servers com SMB (TCP/445, TCP/135, TCP/139) Remote Desktop Protocol (TCP/3389) Windows Remote Management / Remote PowerShell (TCP/80, TCP/5985, TCP/5986) WMI (dynamic port range assigned through DCOM)

passo 11

Revogar todas as autenticações office 365 ou Google workplace e MFA.

passo 12

É provável que tentem fazer reset a todas as contas de Administração do Domain (DA): Faça reset de credenciais, incluindo passwords (principalmente de contas de administrador e de sistema), verificando que não se está a bloquear a si mesmo de sistemas que serão necessários para a recuperação.

passo 13

Falar com RH e Financeiro para que preparem planos de pagamentos e transferências a fornecedores e de salários a empregados (devem existir cópias em papel dos dados necessários)

passo 14

Preservar qualquer evidência, em coordenação com as autoridades competentes que investigam o ataque: criar uma imagem forense dos sistemas afetados (ou um snapshot do sistema), criar um dump da memória RAM, e preservar dados de netflow ou log de tráfego de rede.

passo 15

Apagar os dispositivos infetados com segurança (wipe de discos) e reinstalar o sistema operativo ou clonar a partir de imagem limpa.

passo 16

Antes de restaurar um backup, verificar que o mesmo está livre de qualquer malware. Somente restaurar se está confiante que o backup e o dispositivo que está a conectar estão de facto limpos.

Comece a repor os sistemas (pela ordem de prioridades previamente definida) afectados.

passo 17

Conecte os dispositivos a uma rede limpa para fazer o download, instalar e atualizar o sistema operativo e qualquer outro software.

Instale, atualize e execute software antivírus.

Reconecte à sua rede normal.

passo 18

Comunicar com os órgãos de gestão com uma primeira estimativa de downtime.

passo 19

Monitorize o tráfego de rede e execute scans antivírus de forma a identificar se a infecção continua ativa.

Opção não recomendada:

Pagar o resgate (entre centenas a vários milhares de dólares): dependendo e neste caso a porta ainda pode ficar aberta: há a média de 6 meses para re-ataques após primeira ocorrência.

Ter em conta que repor backups pode demorar de horas a dias (dependendo do âmbito)

As autoridades recomendam não pagar resgates mas se esta for a opção decidida pela Gestão ter em conta que são pagos em Bitcoins. Se for o caso terão que compradas. Ter em conta que este processa demora algum tempo, implica pagamentos com visa e pode haver um limite à quantidade de bitcoins compradas de cada vez.

Podem ser adquiridas em https://www.coinbase.com ou https://www.circle.com
há riscos em abrir canais de comunicação com os atacantes.

É preferível fazer todos os contactos através de um gabinete jurídico sendo que
alguns requerem comunicações por mail para ser recebida a ferramental de desencriptação.

Contudo, não é raro, pagar e tornar a ter os ficheiros encriptados.

Comunicações que revelam com quem se está a falar são desaconselhadas devendo usar contas gmail ou Outlook.com para este efeito.

Geralmente, a resposta só ocorre no dia seguinte e muito raramente em menos de 12 horas.

Ter em conta que pagar o resgate não significa que será dada a chave.

Geralmente, pede uma prova de desencriptação enviando um ficheiro encriptado e esperando pela sua volta desencriptado antes de fazer qualquer pagamento. Se este não for devolvido ou é porque o hacker não tem a chave (acontece) ou porque de qualquer forma nunca irá fazer a sua parte.

A desencriptação é feita com um software enviado pelo hacker. isto, em si mesmo, é um risco de segurança.

Deve ser corrido numa VM tão locked down e hardening quanto o possível. Quando a desencriptação terminar: copiar os ficheiros e destruir a máquina.

Alguns AVs identificam estas ferramentas como malware pelo que, sendo o caso, terá que ser excluído nesse antivirus.

passo 20

Avaliar se se comunica para fora ou não o que sucedeu.

passo 21

Estar atento a segundo ataque (ocorrem muito frequentemente) durante os próximos meses e avaliar o que falhou o que pode ser melhorado e que investimentos devem ser feitos para impedir recorrências.

Boa Sorte!

Sem comentários:

Enviar um comentário