Πώς να χειριστείτε μια επίθεση ransomware – IBM Blog

Είναι η είδηση ​​που κανένας οργανισμός δεν θέλει να ακούσει - έχετε πέσει θύμα ενός ransomware επίθεση, και τώρα αναρωτιέστε τι να κάνετε στη συνέχεια. 

Το πρώτο πράγμα που πρέπει να έχετε κατά νου είναι ότι δεν είστε μόνοι. Πάνω από το 17 τοις εκατό όλων των επιθέσεων στον κυβερνοχώρο αφορούν ransomware— ένα είδος malware που διατηρεί κλειδωμένα τα δεδομένα ή τη συσκευή του θύματος, εκτός εάν το θύμα πληρώσει στον χάκερ λύτρα. Από τους 1,350 οργανισμούς που ρωτήθηκαν σε μια πρόσφατη μελέτη, Το 78 τοις εκατό υπέστη μια επιτυχημένη επίθεση ransomware (ο σύνδεσμος βρίσκεται εκτός ibm.com).

Οι επιθέσεις ransomware χρησιμοποιούν διάφορες μεθόδους ή φορείς για να μολύνουν δίκτυα ή συσκευές, συμπεριλαμβανομένης της εξαπάτησης ατόμων ώστε να κάνουν κλικ σε κακόβουλους συνδέσμους χρησιμοποιώντας Phishing μηνύματα ηλεκτρονικού ταχυδρομείου και εκμετάλλευση ευπαθειών σε λογισμικό και λειτουργικά συστήματα, όπως η απομακρυσμένη πρόσβαση. Οι εγκληματίες του κυβερνοχώρου ζητούν συνήθως πληρωμές λύτρων σε Bitcoin και άλλα δύσκολα ανιχνεύσιμα κρυπτονομίσματα, παρέχοντας στα θύματα κλειδιά αποκρυπτογράφησης κατά την πληρωμή για να ξεκλειδώσουν τις συσκευές τους.

Τα καλά νέα είναι ότι σε περίπτωση επίθεσης ransomware, υπάρχουν βασικά βήματα που μπορεί να ακολουθήσει οποιοσδήποτε οργανισμός για να βοηθήσει στον περιορισμό της επίθεσης, στην προστασία ευαίσθητων πληροφοριών και στη διασφάλιση της επιχειρηματικής συνέχειας ελαχιστοποιώντας το χρόνο διακοπής λειτουργίας.

Αρχική απάντηση

Απομονώστε τα επηρεαζόμενα συστήματα 

Επειδή οι πιο κοινές παραλλαγές ransomware σαρώνουν τα δίκτυα για ευπάθειες ώστε να διαδοθούν πλευρικά, είναι σημαντικό τα επηρεαζόμενα συστήματα να απομονώνονται όσο το δυνατόν γρηγορότερα. Αποσυνδέστε το ethernet και απενεργοποιήστε το WiFi, το Bluetooth και οποιεσδήποτε άλλες δυνατότητες δικτύου για οποιαδήποτε μολυσμένη ή δυνητικά μολυσμένη συσκευή.

Δύο άλλα βήματα που πρέπει να λάβετε υπόψη: 

• Απενεργοποίηση εργασιών συντήρησης. Απενεργοποιήστε αμέσως τις αυτόματες εργασίες —π.χ. διαγραφή προσωρινών αρχείων ή περιστροφή αρχείων καταγραφής— επηρεαζόμενα συστήματα. Αυτές οι εργασίες ενδέχεται να επηρεάσουν τα αρχεία και να παρεμποδίσουν την έρευνα και την ανάκτηση ransomware. 
• Αποσύνδεση αντιγράφων ασφαλείας. Επειδή πολλοί νέοι τύποι ransomware στοχεύουν στη δημιουργία αντιγράφων ασφαλείας για να κάνουν την ανάκτηση πιο δύσκολη, διατηρήστε τα αντίγραφα ασφαλείας δεδομένων εκτός σύνδεσης. Περιορίστε την πρόσβαση σε εφεδρικά συστήματα μέχρι να αφαιρέσετε τη μόλυνση.

Φωτογραφίστε το σημείωμα για τα λύτρα

Προτού προχωρήσετε με οτιδήποτε άλλο, τραβήξτε μια φωτογραφία του σημείωμα λύτρων—ιδανικά φωτογραφίζοντας την οθόνη της επηρεαζόμενης συσκευής με μια ξεχωριστή συσκευή, όπως smartphone ή κάμερα. Η φωτογραφία θα επιταχύνει τη διαδικασία ανάκτησης και θα βοηθήσει κατά την υποβολή μιας αστυνομικής αναφοράς ή μιας πιθανής αξίωσης στην ασφαλιστική σας εταιρεία.

Ειδοποιήστε την ομάδα ασφαλείας

Μόλις αποσυνδέσετε τα επηρεαζόμενα συστήματα, ειδοποιήστε το Ασφάλεια πληροφορικής ομάδα της επίθεσης. Στις περισσότερες περιπτώσεις, οι επαγγελματίες ασφάλειας πληροφορικής μπορούν να συμβουλεύσουν τα επόμενα βήματα και να ενεργοποιήσουν αυτά του οργανισμού σας απάντηση περιστατικού σχέδιο, δηλαδή τις διαδικασίες και τις τεχνολογίες του οργανισμού σας για τον εντοπισμό και την απόκριση σε κυβερνοεπιθέσεις.

Μην επανεκκινήσετε τις επηρεαζόμενες συσκευές

Όταν αντιμετωπίζετε ransomware, αποφύγετε την επανεκκίνηση των μολυσμένων συσκευών. Οι χάκερ γνωρίζουν ότι αυτό μπορεί να είναι το πρώτο σας ένστικτο και ορισμένοι τύποι ransomware παρατηρούν προσπάθειες επανεκκίνησης και προκαλούν πρόσθετη βλάβη, όπως η καταστροφή των Windows ή η διαγραφή κρυπτογραφημένων αρχείων. Η επανεκκίνηση μπορεί επίσης να καταστήσει δυσκολότερη τη διερεύνηση επιθέσεων ransomware—στη μνήμη του υπολογιστή αποθηκεύονται πολύτιμες ενδείξεις, οι οποίες διαγράφονται κατά την επανεκκίνηση. 

Αντίθετα, θέστε τα επηρεαζόμενα συστήματα σε κατάσταση αδρανοποίησης. Αυτό θα αποθηκεύσει όλα τα δεδομένα στη μνήμη σε ένα αρχείο αναφοράς στον σκληρό δίσκο της συσκευής, διατηρώντας τα για μελλοντική ανάλυση.

Εξάλειψη 

Τώρα που έχετε απομονώσει τις επηρεαζόμενες συσκευές, πιθανότατα θέλετε να ξεκλειδώσετε τις συσκευές σας και να ανακτήσετε τα δεδομένα σας. Ενώ η εξάλειψη των λοιμώξεων από ransomware μπορεί να είναι πολύπλοκη στη διαχείριση, ιδιαίτερα των πιο προηγμένων στελεχών, τα παρακάτω βήματα μπορούν να σας ξεκινήσουν στην πορεία προς την ανάκαμψη. 

Προσδιορίστε την παραλλαγή επίθεσης

Πολλά δωρεάν εργαλεία μπορούν να σας βοηθήσουν να προσδιορίσετε τον τύπο του ransomware που μολύνει τις συσκευές σας. Η γνώση του συγκεκριμένου στελέχους μπορεί να σας βοηθήσει να κατανοήσετε αρκετούς βασικούς παράγοντες, όπως τον τρόπο εξάπλωσης, τα αρχεία που κλειδώνει και πώς μπορείτε να το αφαιρέσετε. Απλώς ανεβάστε ένα δείγμα του κρυπτογραφημένου αρχείου και, εάν το έχετε, ένα σημείωμα λύτρων και τα στοιχεία επικοινωνίας του εισβολέα. 

Οι δύο πιο συνηθισμένοι τύποι ransomware είναι τα lockers οθόνης και οι κρυπτογραφητές. Τα ερμάρια οθόνης κλειδώνουν το σύστημά σας, αλλά διατηρούν τα αρχεία σας ασφαλή μέχρι να πληρώσετε, ενώ οι κρυπτογραφητές είναι πιο δύσκολο να αντιμετωπιστούν, καθώς βρίσκουν και κρυπτογραφούν όλα τα ευαίσθητα δεδομένα σας και τα αποκρυπτογραφούν μόνο αφού κάνετε την πληρωμή λύτρων. 

Αναζήτηση εργαλείων αποκρυπτογράφησης

Αφού εντοπίσετε το στέλεχος του ransomware, σκεφτείτε να αναζητήσετε εργαλεία αποκρυπτογράφησης. Υπάρχουν επίσης δωρεάν εργαλεία που βοηθούν σε αυτό το βήμα, συμπεριλαμβανομένων ιστοτόπων όπως Δεν υπάρχουν περισσότερες εκπτώσεις. Απλώς συνδέστε το όνομα του στελέχους ransomware και αναζητήστε την αντίστοιχη αποκρυπτογράφηση. 

Κατεβάστε τον Οριστικό Οδηγό για Ransomware

Επανόρθωση 

Εάν είχατε την τύχη να αφαιρέσετε τη μόλυνση από ransomware, ήρθε η ώρα να ξεκινήσετε τη διαδικασία ανάκτησης.

Ξεκινήστε ενημερώνοντας τους κωδικούς πρόσβασης του συστήματός σας και, στη συνέχεια, ανακτήστε τα δεδομένα σας από αντίγραφα ασφαλείας. Θα πρέπει πάντα να στοχεύετε να έχετε τρία αντίγραφα των δεδομένων σας σε δύο διαφορετικές μορφές, με ένα αντίγραφο να είναι αποθηκευμένο εκτός τοποθεσίας. Αυτή η προσέγγιση, γνωστή ως κανόνας 3-2-1, σας επιτρέπει να επαναφέρετε τα δεδομένα σας γρήγορα και να αποφύγετε πληρωμές λύτρων. 

Μετά την επίθεση, θα πρέπει επίσης να εξετάσετε το ενδεχόμενο να πραγματοποιήσετε έλεγχο ασφαλείας και να ενημερώσετε όλα τα συστήματα. Η ενημέρωση των συστημάτων βοηθά στην αποτροπή εκμεταλλεύσεων από τους χάκερς ευπάθειες που βρίσκονται σε παλαιότερο λογισμικό και η τακτική ενημέρωση κώδικα διατηρεί τα μηχανήματα σας ενημερωμένα, σταθερά και ανθεκτικά σε απειλές κακόβουλου λογισμικού. Μπορεί επίσης να θέλετε να βελτιώσετε το σχέδιο απόκρισης του περιστατικού με τυχόν διδάγματα και να βεβαιωθείτε ότι έχετε κοινοποιήσει επαρκώς το περιστατικό σε όλους τους απαραίτητους ενδιαφερόμενους. 

Κοινοποιούσες αρχές 

Επειδή το ransomware είναι εκβιασμός και έγκλημα, θα πρέπει πάντα να αναφέρετε επιθέσεις ransomware σε αξιωματούχους επιβολής του νόμου ή στο FBI. 

Οι αρχές ενδέχεται να είναι σε θέση να σας βοηθήσουν στην αποκρυπτογράφηση των αρχείων σας, εάν οι προσπάθειες ανάκτησής σας δεν αποδώσουν. Αλλά ακόμα κι αν δεν μπορούν να αποθηκεύσουν τα δεδομένα σας, είναι πολύ σημαντικό για αυτούς να καταγράφουν την εγκληματική δραστηριότητα στον κυβερνοχώρο και, ελπίζουμε, να βοηθήσουν άλλους να αποφύγουν παρόμοιες τύχες. 

Ορισμένα θύματα επιθέσεων ransomware ενδέχεται επίσης να υποχρεούνται νομικά να αναφέρουν μολύνσεις ransomware. Για παράδειγμα, η συμμόρφωση με το HIPAA απαιτεί γενικά από τις οντότητες υγειονομικής περίθαλψης να αναφέρουν οποιαδήποτε παραβίαση δεδομένων, συμπεριλαμβανομένων επιθέσεων ransomware, στο Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών.

Αποφασίζοντας αν θα πληρώσετε 

Αποφασίζοντας εάν θα καταβάλουν λύτρα είναι μια σύνθετη απόφαση. Οι περισσότεροι ειδικοί προτείνουν να σκεφτείτε να πληρώσετε μόνο εάν έχετε δοκιμάσει όλες τις άλλες επιλογές και η απώλεια δεδομένων θα ήταν πολύ πιο επιβλαβής από την πληρωμή.

Ανεξάρτητα από την απόφασή σας, θα πρέπει πάντα να συμβουλεύεστε αξιωματούχους επιβολής του νόμου και επαγγελματίες της κυβερνοασφάλειας πριν προχωρήσετε.

Η πληρωμή λύτρων δεν εγγυάται ότι θα αποκτήσετε ξανά πρόσβαση στα δεδομένα σας ή ότι οι εισβολείς θα τηρήσουν τις υποσχέσεις τους—τα θύματα συχνά πληρώνουν τα λύτρα, μόνο για να μην λάβουν ποτέ το κλειδί αποκρυπτογράφησης. Επιπλέον, η πληρωμή λύτρων διαιωνίζει την εγκληματική δραστηριότητα στον κυβερνοχώρο και μπορεί να χρηματοδοτήσει περαιτέρω τα εγκλήματα στον κυβερνοχώρο.

Αποτροπή μελλοντικών επιθέσεων ransomware

Τα εργαλεία ασφαλείας email και το λογισμικό προστασίας από κακόβουλο λογισμικό και ιούς είναι κρίσιμες πρώτες γραμμές άμυνας έναντι επιθέσεων ransomware.

Οι οργανισμοί βασίζονται επίσης σε προηγμένα εργαλεία ασφάλειας τελικού σημείου όπως τείχη προστασίας, VPN και επαλήθευση πολλών παραγόντων ως μέρος μιας ευρύτερης στρατηγικής προστασίας δεδομένων για την άμυνα κατά των παραβιάσεων δεδομένων.

Ωστόσο, κανένα σύστημα κυβερνοασφάλειας δεν είναι πλήρες χωρίς σύγχρονες δυνατότητες ανίχνευσης απειλών και αντιμετώπισης περιστατικών για τη σύλληψη κυβερνοεγκληματιών σε πραγματικό χρόνο και τον μετριασμό των επιπτώσεων των επιτυχημένων κυβερνοεπιθέσεων.

Το IBM Security® QRadar® SIEM εφαρμόζει μηχανική εκμάθηση και αναλύσεις συμπεριφοράς χρηστών (UBA) στην κυκλοφορία δικτύου παράλληλα με τα παραδοσιακά αρχεία καταγραφής για πιο έξυπνο εντοπισμό απειλών και ταχύτερη αποκατάσταση. Σε μια πρόσφατη μελέτη της Forrester, το QRadar SIEM βοήθησε τους αναλυτές ασφαλείας να εξοικονομήσουν περισσότερες από 14,000 ώρες μέσα σε τρία χρόνια εντοπίζοντας ψευδώς θετικά στοιχεία, μειώνοντας το χρόνο που αφιερώνεται στη διερεύνηση περιστατικών κατά 90% και μειώνοντας τον κίνδυνο σοβαρής παραβίασης ασφαλείας κατά 60%.* Με το QRadar Η SIEM, οι ομάδες ασφαλείας που καταπονούνται με πόρους έχουν την ορατότητα και τα αναλυτικά στοιχεία που χρειάζονται για να ανιχνεύουν γρήγορα απειλές και να λαμβάνουν άμεση, ενημερωμένη δράση για την ελαχιστοποίηση των επιπτώσεων μιας επίθεσης.

Μάθετε περισσότερα για το IBM QRadar SIEM

*Ο Total Economic ImpactTM του IBM Security QRadar SIEM είναι μια ανάθεση μελέτης που διεξήχθη από την Forrester Consulting για λογαριασμό της IBM, Απρίλιος, 2023. Βασίζεται στα προβλεπόμενα αποτελέσματα ενός σύνθετου οργανισμού που διαμορφώθηκε από 4 πελάτες της IBM που ερωτήθηκαν. Τα πραγματικά αποτελέσματα θα διαφέρουν ανάλογα με τις διαμορφώσεις και τις συνθήκες του πελάτη και, ως εκ τούτου, δεν μπορούν να παρασχεθούν γενικά αναμενόμενα αποτελέσματα.