Seu ambiente de nuvem acabou de ser atingido por ransomware. O que você faz nos próximos 60 minutos?O ransomware em ambientes de nuvem se comporta de maneira diferente do local: atacando o armazenamento nativo da nuvem, criptografando volumes EBS, excluindo backups e exfiltrando dados para armazenamento controlado pelo invasor. Este manual fornece procedimentos passo a passo para as primeiras horas críticas de um incidente de ransomware na nuvem.
Principais conclusões
- Os primeiros 60 minutos são críticos:As ações de contenção na primeira hora determinam se o incidente é uma perturbação ou uma catástrofe.
- Não pague o resgate:O pagamento não garante a recuperação de dados e financia operações criminosas. Concentre-se na recuperação de backups.
- O ransomware na nuvem tem como alvo backups:Os invasores visam e excluem especificamente backups em nuvem (instantâneos, controle de versão S3) antes de criptografar os dados de produção.
- Backups imutáveis são o seu seguro:Os backups que não podem ser modificados ou excluídos por credenciais comprometidas são o único método confiável de recuperação de ransomware.
- O comprometimento de credenciais permite ransomware na nuvem:O ransomware na nuvem normalmente começa com credenciais IAM roubadas, e não com malware em um servidor.
Manual de resposta ao ransomware na nuvem
Fase 1: Detecção e avaliação inicial (0-15 minutos)
- Confirme o incidente:Verifique os indicadores de ransomware — arquivos criptografados, notas de resgate, atividade API incomum (criptografia de objeto S3 em massa, exclusão de snapshot do EBS)
- Ative a equipe de resposta a incidentes:Notificar o comandante do incidente, a equipe de RI, o patrocinador de engenharia, jurídico e executivo
- Avalie o escopo:Identifique contas, regiões e serviços afetados. Verifique o CloudTrail/Log de atividades para ver a atividade recente da credencial comprometida
- Determine o vetor de ataque:Como o invasor obteve acesso? Phishing, roubo de credenciais, aplicativos vulneráveis, terceiros comprometidos?
Fase 2: Contenção (15-60 minutos)
- Revogar credenciais comprometidas:Desative todos os usuários IAM e chaves de acesso associadas ao ataque. Revogar todas as sessões ativas
- Isolar os recursos afetados:Aplique grupos de segurança de quarentena a instâncias comprometidas (negue todas as entradas/saídas). Desativar funções Lambda afetadas
- Proteja backups:Verifique a integridade do backup. Mova backups críticos para uma conta isolada com credenciais separadas. Habilite S3 Object Lock se ainda não estiver configurado
- Bloquear infraestrutura do invasor:Bloqueie IPs de invasores conhecidos em grupos de segurança, WAF e ACLs de rede. Bloquear domínios invasores em DNS
- Preservar evidências:Faça um snapshot de todos os volumes EBS afetados. Exporte logs relevantes do CloudTrail para uma conta bloqueada separada. Capturar metadados da instância
Fase 3: Erradicação (1-24 horas)
- Identifique a persistência:Pesquise usuários IAM, funções, políticas, funções Lambda e tarefas agendadas criadas pelo invasor
- Remova todo o acesso do invasor:Exclua recursos criados pelo invasor. Alterne todas as credenciais nas contas afetadas, não apenas nas comprometidas
- Corrija o ponto de entrada:Corrigir a vulnerabilidade que permitia o acesso inicial (atualizar aplicativo, corrigir configuração incorreta, treinar novamente o usuário)
- Verifique o estado limpo:Faça uma varredura em todas as instâncias em busca de malware. Revise todas as políticas IAM em busca de alterações não autorizadas. Verifique as configurações de rede
Fase 4: Recuperação (24-72 horas)
- Restaurar de backups limpos:Restaure dados de backups verificados e limpos. Não restaure a partir de snapshots que possam ter sido obtidos após o início do comprometimento
- Reconstruir infraestruturas comprometidas:Reconstrua as instâncias afetadas a partir de AMIs/imagens limpas em vez de tentar limpar as instâncias comprometidas
- Validar recuperação:Verifique a integridade dos dados, a funcionalidade do aplicativo e os controles de segurança antes de retornar à produção
- Monitore intensamente:Implementar monitoramento aprimorado por 30 dias após a recuperação para detectar qualquer presença remanescente de invasor
Fase 5: Pós-incidente (1-4 semanas)
- Realizar análise de causa raiz:Documente o cronograma completo do ataque, desde o acesso inicial até a detecção e contenção
- Enviar notificações regulatórias:NIS2 requer aviso prévio de 24 horas e notificação detalhada de 72 horas. GDPR exige notificação dentro de 72 horas se os dados pessoais forem afetados
- Implementar melhorias:Abordar a causa raiz, reforçar a deteção, melhorar a resiliência das cópias de segurança, atualizar os procedimentos de IR com base nos ensinamentos retirados
- Conduza uma autópsia sem culpa:Compartilhe as descobertas em toda a organização para evitar recorrências sem atribuir culpas
Prevenção contra ransomware: controles específicos da nuvem
| Controle | AWS Implementação | Azure Implementação |
|---|---|---|
| Backups imutáveis | S3 Bloqueio de objeto, AWS Bloqueio de backup do cofre | Armazenamento de blob imutável, Azure imutabilidade de backup |
| Proteção de credenciais | MFA na raiz, IAM Access Analyzer, SCPs | MFA em todos os administradores, acesso condicional, PIM |
| Privilégio mínimo IAM | Políticas mínimas de IAM, sem chaves de administrador | Funções mínimas de RBAC, sem administrador permanente |
| Monitoramento | GuardDuty, CloudTrail, Hub de segurança | Defender para nuvem, Sentinel, log de atividades |
| Segmentação de rede | VPC isolamento, grupos de segurança, NACLs | Isolamento de VNet, NSGs, Firewall Azure |
Como Opsio protege contra ransomware
- Prevenção:Implementamos backups imutáveis, IAM com privilégios mínimos e monitoramento de segurança que detecta indicadores de ransomware antes do início da criptografia.
- Detecção:Nosso SOC monitora indicadores de ransomware 24 horas por dia, 7 dias por semana – atividades incomuns do API, operações de arquivos em massa, tentativas de exclusão de backup e TTPs de ransomware conhecidos.
- Resposta:Os manuais de contenção automatizados são executados em segundos, revogando credenciais e isolando recursos antes que o ransomware se espalhe.
- Recuperação:Mantemos e testamos procedimentos de recuperação de backup para que a restauração seja rápida e confiável quando necessária.
- Conformidade com NIS2:Ajudamos a preparar e enviar notificações regulatórias dentro dos prazos NIS2 e GDPR.
Perguntas Frequentes
Devemos pagar o resgate?
O pagamento não garante a recuperação dos dados – muitas vítimas que pagam nunca recebem chaves de descriptografia funcionais. O pagamento financia operações criminosas e marca sua organização como disposta a pagar (aumentando a probabilidade de ataques futuros). Concentre recursos na recuperação de backups e na prevenção de recorrências. A aplicação da lei recomenda universalmente contra o pagamento.
Como podemos garantir que os backups sobrevivam ao ransomware?
Implemente backups imutáveis que não podem ser modificados ou excluídos, mesmo por credenciais de administrador. AWS S3 O bloqueio de objeto no modo Conformidade evita a exclusão por um período de retenção definido. Azure O armazenamento de blobs imutável fornece proteção equivalente. Armazene cópias de backup em uma conta AWS separada ou assinatura Azure com credenciais independentes que não são acessíveis no ambiente de produção.
Com que rapidez podemos nos recuperar do ransomware na nuvem?
Com procedimentos testados de backup e recuperação, a maioria dos ambientes em nuvem pode recuperar sistemas críticos em 4 a 24 horas e concluir a recuperação em 1 a 3 dias. Sem procedimentos testados, a recuperação leva semanas. O segredo são testes regulares: realize exercícios de recuperação trimestralmente para verificar se os backups são válidos e se os procedimentos de restauração funcionam.