Sådan håndteres et ransomware-angreb – IBM Blog

Det er nyheden, ingen organisation ønsker at høre - du har været offer for en ransomware angreb, og nu spekulerer du på, hvad du skal gøre nu. 

Den første ting at huske på er, at du ikke er alene. Over 17 procent af alle cyberangreb involverer ransomware- en type malware der holder et offers data eller enhed låst, medmindre offeret betaler en løsesum til hackeren. Af de 1,350 organisationer, der blev undersøgt i en nylig undersøgelse, 78 procent led et vellykket ransomware-angreb (linket findes uden for ibm.com).

Ransomware-angreb bruger flere metoder eller vektorer til at inficere netværk eller enheder, herunder at narre enkeltpersoner til at klikke på ondsindede links vha. Phishing e-mails og udnyttelse af sårbarheder i software og operativsystemer, såsom fjernadgang. Cyberkriminelle anmoder typisk om løsepengebetalinger i Bitcoin og andre svære at spore kryptovalutaer, hvilket giver ofre dekrypteringsnøgler ved betaling for at låse deres enheder op.

Den gode nyhed er, at i tilfælde af et ransomware-angreb er der grundlæggende trin, som enhver organisation kan følge for at hjælpe med at begrænse angrebet, beskytte følsomme oplysninger og sikre forretningskontinuitet ved at minimere nedetid.

Indledende svar

Isoler berørte systemer 

Fordi de mest almindelige ransomware-varianter scanner netværk for sårbarheder for at sprede sig lateralt, er det afgørende, at berørte systemer isoleres så hurtigt som muligt. Afbryd Ethernet og deaktiver WiFi, Bluetooth og andre netværksfunktioner for enhver inficeret eller potentielt inficeret enhed.

To andre trin at overveje: 

• Deaktivering af vedligeholdelsesopgaver. Deaktiver øjeblikkeligt automatiske opgaver – f.eks. sletning af midlertidige filer eller roterende logfiler – berørte systemer. Disse opgaver kan forstyrre filer og hæmme undersøgelse og gendannelse af ransomware. 
• Afbrydelse af sikkerhedskopier. Fordi mange nye typer ransomware målretter mod sikkerhedskopier for at gøre gendannelse sværere, skal du holde datasikkerhedskopier offline. Begræns adgangen til sikkerhedskopieringssystemer, indtil du har fjernet infektionen.

Fotografer løsesumsedlen

Før du går videre med noget andet, skal du tage et billede af løsesumsedlen – ideelt set ved at fotografere skærmen på den berørte enhed med en separat enhed som en smartphone eller et kamera. Billedet vil fremskynde inddrivelsesprocessen og hjælpe, når du indgiver en politianmeldelse eller et eventuelt krav til dit forsikringsselskab.

Underret sikkerhedsteamet

Når du har afbrudt de berørte systemer, skal du underrette din IT-sikkerhed angrebets hold. I de fleste tilfælde kan it-sikkerhedsprofessionelle rådgive om de næste trin og aktivere din organisations hændelsesrespons plan, hvilket betyder din organisations processer og teknologier til at detektere og reagere på cyberangreb.

Genstart ikke berørte enheder

Når du beskæftiger dig med ransomware, skal du undgå at genstarte inficerede enheder. Hackere ved, at dette kan være dit første instinkt, og nogle typer ransomware bemærker genstartsforsøg og forårsager yderligere skade, som at beskadige Windows eller slette krypterede filer. Genstart kan også gøre det sværere at efterforske ransomware-angreb – værdifulde spor gemmes i computerens hukommelse, som bliver slettet under en genstart. 

Sæt i stedet de berørte systemer i dvale. Dette vil gemme alle data i hukommelsen til en referencefil på enhedens harddisk og bevare den til fremtidig analyse.

udryddelse 

Nu hvor du har isoleret berørte enheder, er du sandsynligvis ivrig efter at låse dine enheder op og gendanne dine data. Selvom udryddelse af ransomware-infektioner kan være kompliceret at håndtere, især de mere avancerede stammer, kan de følgende trin starte dig på vejen til bedring. 

Bestem angrebsvarianten

Adskillige gratis værktøjer kan hjælpe med at identificere den type ransomware, der inficerer dine enheder. At kende den specifikke stamme kan hjælpe dig med at forstå flere nøglefaktorer, herunder hvordan den spredes, hvilke filer den låser, og hvordan du kan fjerne den. Du skal blot uploade en prøve af den krypterede fil og, hvis du har dem, en løsesumseddel og angriberens kontaktoplysninger. 

De to mest almindelige typer af ransomware er skærmskabe og krypteringer. Skærmskabe låser dit system, men holder dine filer sikre, indtil du betaler, hvorimod krypteringer er mere udfordrende at håndtere, da de finder og krypterer alle dine følsomme data og først dekrypterer dem, efter du har foretaget løsesumsbetalingen. 

Søg efter dekrypteringsværktøjer

Når du har identificeret ransomware-stammen, kan du overveje at lede efter dekrypteringsværktøjer. Der er også gratis værktøjer til at hjælpe med dette trin, herunder websteder som Ingen mere løsepenge. Tilslut blot navnet på ransomware-stammen og søg efter den matchende dekryptering. 

Download den endelige guide til ransomware

Recovery 

Hvis du har været så heldig at fjerne ransomware-infektionen, er det tid til at starte gendannelsesprocessen.

Start med at opdatere dine systemadgangskoder, og gendan derefter dine data fra sikkerhedskopier. Du bør altid sigte efter at have tre kopier af dine data i to forskellige formater, med en kopi gemt offsite. Denne tilgang, kendt som 3-2-1-reglen, giver dig mulighed for hurtigt at gendanne dine data og undgå løsepengebetalinger. 

Efter angrebet bør du også overveje at udføre en sikkerhedsrevision og opdatere alle systemer. At holde systemerne opdaterede hjælper med at forhindre hackere i at udnytte sårbarheder, der findes i ældre software, og regelmæssig patching holder dine maskiner aktuelle, stabile og modstandsdygtige over for malwaretrusler. Det kan også være en god ide at forfine din hændelsesresponsplan med eventuelle erfaringer og sikre dig, at du har kommunikeret hændelsen tilstrækkeligt til alle nødvendige interessenter. 

Anmeldende myndigheder 

Fordi ransomware er afpresning og en forbrydelse, bør du altid rapportere ransomware-angreb til retshåndhævende embedsmænd eller FBI. 

Myndighederne kan muligvis hjælpe med at dekryptere dine filer, hvis din gendannelsesindsats ikke virker. Men selvom de ikke kan gemme dine data, er det afgørende for dem at katalogisere cyberkriminel aktivitet og forhåbentlig hjælpe andre med at undgå lignende skæbner. 

Nogle ofre for ransomware-angreb kan også være juridisk forpligtet til at rapportere ransomware-infektioner. For eksempel kræver overholdelse af HIPAA generelt, at sundhedsenheder rapporterer ethvert databrud, herunder ransomware-angreb, til Department of Health and Human Services.

Beslutning om at betale 

Beslutter om der skal betales løsesum er en kompleks beslutning. De fleste eksperter foreslår, at du kun bør overveje at betale, hvis du har prøvet alle andre muligheder, og datatabet ville være væsentligt mere skadeligt end betalingen.

Uanset din beslutning, bør du altid rådføre dig med retshåndhævende embedsmænd og cybersikkerhedsprofessionelle, før du går videre.

At betale en løsesum garanterer ikke, at du genvinder adgang til dine data, eller at angriberne vil holde deres løfter – ofre betaler ofte løsesummen, blot for aldrig at modtage dekrypteringsnøglen. Ydermere opretholder betaling af løsesum cyberkriminel aktivitet og kan yderligere finansiere cyberkriminalitet.

Forebyggelse af fremtidige ransomware-angreb

E-mailsikkerhedsværktøjer og anti-malware- og antivirussoftware er kritiske førstelinjer i forsvaret mod ransomware-angreb.

Organisationer er også afhængige af avancerede endpoint-sikkerhedsværktøjer som firewalls, VPN'er og multi-faktor autentificering som en del af en bredere databeskyttelsesstrategi for at forsvare sig mod databrud.

Intet cybersikkerhedssystem er dog komplet uden avanceret trusselsdetektion og hændelsesreaktionsfunktioner til at fange cyberkriminelle i realtid og afbøde virkningen af ​​vellykkede cyberangreb.

IBM Security® QRadar® SIEM anvender maskinlæring og brugeradfærdsanalyse (UBA) til netværkstrafik sammen med traditionelle logfiler for smartere trusselsdetektion og hurtigere afhjælpning. I en nylig undersøgelse fra Forrester hjalp QRadar SIEM sikkerhedsanalytikere med at spare mere end 14,000 timer over tre år ved at identificere falske positiver, reducere tidsforbruget på at undersøge hændelser med 90 % og reducere deres risiko for at opleve et alvorligt sikkerhedsbrud med 60 %.* Med QRadar SIEM, ressourceanstrengte sikkerhedsteams har den synlighed og de analyser, de har brug for til hurtigt at opdage trusler og træffe øjeblikkelige, informerede handlinger for at minimere virkningerne af et angreb.

Få mere at vide om IBM QRadar SIEM

*Det Total Economic ImpactTM af IBM Security QRadar SIEM er en bestilt undersøgelse udført af Forrester Consulting på vegne af IBM, april 2023. Baseret på projekterede resultater af en sammensat organisation modelleret fra 4 interviewede IBM-kunder. Faktiske resultater vil variere baseret på klientkonfigurationer og -betingelser, og derfor kan generelt forventede resultater ikke leveres.