Як підготувати playbook реагування на ransomware для Windows-домену?
Playbook для реагування на ransomware є важливим інструментом для забезпечення швидкої та злагодженої реакції на атаки. Для Windows-домену (Active Directory) він має враховувати особливості операційної системи та мережі, щоб ефективно зупинити розповсюдження шкідливого ПЗ і мінімізувати наслідки для бізнесу.
1. Первинна оцінка інциденту, яка дозволяє швидко визначити:
"Patient zero" — комп’ютер чи користувач, через якого розпочалася атака.
Тип шифрувальника (ransomware) — важливо зрозуміти, який тип шкідливого ПЗ використовується, щоб правильно налаштувати інструменти для виявлення й блокування його подальшого поширення.
Швидкість розповсюдження — оцінка того, як швидко атака поширюється через мережу (наприклад, через SMB або RDP) та визначення пріоритетності зупинки зараження.
2. Ізоляція (Containment)
На цьому етапі необхідно:
Ізолювати заражені хости — відключити комп'ютери, на яких виявлено ознаки ransomware, від мережі, щоб запобігти подальшому поширенню.
Блокування lateral movement — заборонити небажані підключення між машинами через SMB, RDP або інші протоколи, щоб зупинити рух шкідливого коду по мережі.
Відключення підозрілих GPO — перевірити групові політики (GPO), щоб запобігти застосуванню шкідливих налаштувань, які можуть посилити вірусну атаку.
3. Захист Active Directory (AD)
Оскільки ransomware часто намагається використовувати привілейовані облікові записи для подальшого поширення в доменній мережі, потрібно:
Ротація привілейованих облікових записів — терміново змінити паролі для облікових записів, що мають високі привілеї (адміністратори домену, системні акаунти тощо).
Перевірка Golden Ticket/керівних груп — перевірити, чи не було створено зловмисником зловмисних квитків (Golden Ticket) або змін в адміністративних групах, щоб унеможливити повторне використання викрадених облікових даних.
4. Політики EDR
Щоб зупинити шифрування та виявити зараження, потрібно:
Quarantine/kill — ізолювати та зупиняти шкідливі процеси через EDR (Endpoint Detection and Response) рішення.
Блокування хешів/IOC (Indicators of Compromise) — використовувати відомі хеші файлів або індикатори компрометації для блокування шкідливого ПЗ на етапі поширення.
Пошук аналогічних артефактів — проводити сканування системи на наявність інших копій шкідливих файлів чи процесів, що можуть бути залишені зловмисниками.
5. Перевірка бекапів
У разі атаки ransomware важливо:
Перевірити незмінність бекапів (immutable) — переконатись, що бекапи не були змінені або зашифровані.
Визначити останні “чисті” точки відновлення — перевірити, коли було зроблено останнє резервне копіювання, яке не було компрометоване.
Ізоляція репозиторіїв бекапів — відключити доступ до репозиторіїв бекапів від інфікованої мережі, щоб запобігти їх зараженню.
6. Комунікація
Важливо забезпечити чітку комунікацію під час реагування на ransomware:
Внутрішній статус — підтримувати постійну комунікацію між командами (ІТ, безпека, юридичний відділ) щодо ходу розслідування.
Заборона “самолікування” — не дозволяти співробітникам самостійно вирішувати інцидент, оскільки це може призвести до непередбачених наслідків.
Централізація рішень — ухвалення рішень лише через визначену команду реагування, щоб уникнути хаосу та непогоджених дій.