Cómo detectar Ransomware [cerrado]

Usar una solución SIEM para monitorear el software ramson es bastante simple. Explicándolo en un alto nivel: si habilita los registros de "auditoría de archivos" en su sistema operativo, recibirá registros cada vez que se cambie un archivo. El ransomware básicamente cifra (cambia) varios archivos en un período de tiempo muy corto. En base a eso, puede crear una regla en su SIEM para detectar esta ráfaga en eventos "archivo cambiado" y generar un incidente una vez que se alcanza un umbral.

Algo como esto: "Si hay más de 500 eventos de modificación de archivos en menos de 5 minutos para la misma fuente de registro, cree un incidente".

Es importante mencionar que habilitar los registros de "auditoría de archivos" puede aumentar considerablemente su tasa de EPS. En mi opinión, habilitar la auditoría de archivos trae muchas capacidades de monitoreo (y ayuda mucho en casos forenses), pero tenga en cuenta el aumento de EPS. Por esta razón, te recomiendo que implementes esto en fases. Por ejemplo, primero habilite los registros de auditoría de archivos a 10-15 computadoras y analice el aumento de EPS. En la segunda fase, más 40-50 computadoras ... y así sucesivamente ...

Además, debe activar las fuentes de inteligencia en su SIEM. Esos feeds contienen "listas negras" de los servidores Command & Control, por lo que si alguna de sus computadoras se conecta a esos servidores C & C, recibirá una alerta.

Si desea obtener más información sobre este tema, escribí una publicación en mi blog sobre esto. Está más centrado en IBM QRadar, pero puede adaptarse fácilmente a cualquier solución SIEM.