Ransomware operado por humanos no es un problema de software malintencionado, es un problema criminal humano. Las soluciones que se usan para abordar problemas de productos básicos no son suficientes para evitar una amenaza que se parezca más a un actor de amenazas de estado nacional que:
- Deshabilita o desinstala el software antivirus antes de cifrar archivos
- Deshabilita los servicios de seguridad y el registro para evitar la detección
- Busca y daña o elimina copias de seguridad antes de enviar una demanda de rescate
Estas acciones se suelen realizar con programas legítimos, como Quick Assist en mayo de 2024, que es posible que ya tenga en su entorno con fines administrativos.
En manos de delincuentes, estas herramientas se usan con fines maliciosos para realizar ataques.
Responder a la creciente amenaza de ransomware requiere una combinación de la configuración empresarial moderna, productos de seguridad actualizados, y la vigilancia del personal de seguridad entrenado para detectar y responder a las amenazas antes de que se pierdan los datos.
El equipo de Respuesta a incidentes de Microsoft (anteriormente DART/CRSP) responde a los problemas de seguridad para ayudar a los clientes a volverse resistentes a la ciberseguridad.
Microsoft Incident Response proporciona respuesta reactiva a incidentes locales e investigaciones proactivas remotas. Respuesta a incidentes de Microsoft usa las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.
En este artículo se describe cómo Respuesta a incidentes de Microsoft controla los ataques de ransomware para los clientes de Microsoft de modo que pueda considerar la aplicación de elementos de su enfoque y los procedimientos recomendados para su propio cuaderno de estrategias de operaciones de seguridad.
Microsoft Incident Response team ransomware approach and best practices
