Kuidas tulla toime lunavararünnakuga – IBMi ajaveeb

See on uudis, mida ükski organisatsioon kuulda ei taha – olete olnud a ransomware rünnata ja nüüd mõtlete, mida edasi teha. 

Esimene asi, mida meeles pidada, on see, et te pole üksi. Üle 17 protsendi kõigist küberrünnakutest hõlmab lunavara- teatud tüüpi malware mis hoiab ohvri andmed või seadme lukustatuna, kui ohver just häkkerile lunaraha ei maksa. Hiljutises uuringus küsitletud 1,350 organisatsioonist 78 protsenti kannatas eduka lunavararünnaku all (link asub väljaspool ibm.com-i).

Lunavararünnakud kasutavad võrkude või seadmete nakatamiseks mitut meetodit või vektorit, sealhulgas meelitades inimesi klõpsama pahatahtlikke linke, kasutades selleks Phishing e-kirjade ja tarkvara ja operatsioonisüsteemide turvaaukude, näiteks kaugjuurdepääsu, ärakasutamine. Küberkurjategijad nõuavad tavaliselt lunaraha maksmist Bitcoinis ja muudes raskesti jälgitavates krüptovaluutades, pakkudes ohvritele maksmisel dekrüpteerimisvõtmeid nende seadmete avamiseks.

Hea uudis on see, et lunavararünnaku korral on olemas põhilised sammud, mida iga organisatsioon saab järgida, et aidata rünnakut ohjeldada, kaitsta tundlikku teavet ja tagada äritegevuse järjepidevus, minimeerides seisakuid.

Esialgne vastus

Eraldage mõjutatud süsteemid 

Kuna kõige levinumad lunavaravariandid skannivad võrke, et tuvastada haavatavused külgsuunas levimiseks, on oluline, et mõjutatud süsteemid eraldataks võimalikult kiiresti. Katkestage Etherneti ühendus ja keelake nakatunud või potentsiaalselt nakatunud seadme WiFi, Bluetooth ja kõik muud võrguvõimalused.

Veel kaks sammu, mida kaaluda: 

• Hooldustööde väljalülitamine. Keelake koheselt mõjutatud süsteemid automaatsed toimingud (nt ajutiste failide kustutamine või logide pööramine). Need toimingud võivad segada faile ja takistada lunavara uurimist ja taastamist. 
• Varukoopiate lahtiühendamine. Kuna paljud uut tüüpi lunavarad sihivad varukoopiaid taastamise raskendamiseks, hoidke andmete varukoopiaid võrguühenduseta. Piirake juurdepääsu varusüsteemidele, kuni olete nakkuse eemaldanud.

Pildistage lunarahatäht

Enne millegi muuga jätkamist tehke lunarahast foto – ideaaljuhul pildistage mõjutatud seadme ekraani eraldi seadmega, näiteks nutitelefoni või kaameraga. Foto kiirendab sissenõudmisprotsessi ja aitab kindlustusseltsile politseiteate või võimaliku kahjunõude esitamisel.

Teatage turvameeskonnale

Kui olete mõjutatud süsteemid lahti ühendanud, teavitage sellest oma IT turvalisus rünnaku meeskond. Enamasti saavad IT-turbespetsialistid nõu anda järgmiste sammude osas ja aktiveerida teie organisatsiooni intsidentidele reageerimine plaan, mis tähendab teie organisatsiooni protsesse ja tehnoloogiaid küberrünnakute tuvastamiseks ja neile reageerimiseks.

Ärge taaskäivitage mõjutatud seadmeid

Lunavaraga tegelemisel vältige nakatunud seadmete taaskäivitamist. Häkkerid teavad, et see võib olla teie esimene instinkt ja teatud tüüpi lunavarad märkavad taaskäivituskatseid ja põhjustavad täiendavat kahju, nagu Windowsi kahjustamine või krüptitud failide kustutamine. Taaskäivitamine võib raskendada ka lunavararünnakute uurimist – väärtuslikud vihjed salvestatakse arvuti mällu, mis taaskäivitamisel kustutatakse. 

Selle asemel lülitage mõjutatud süsteemid talveunerežiimi. See salvestab kõik mälus olevad andmed seadme kõvakettale viitefaili, säilitades need edaspidiseks analüüsiks.

Likvideerimine 

Nüüd, kui olete mõjutatud seadmed isoleerinud, soovite tõenäoliselt oma seadmed avada ja andmed taastada. Kuigi lunavaranakkuste (eriti arenenumate tüvede) likvideerimist võib olla keeruline hallata, võivad järgmised toimingud käivitada teid taastumise teel. 

Määrake rünnaku variant

Mitmed tasuta tööriistad aitavad tuvastada teie seadmeid nakatava lunavara tüüpi. Konkreetse tüve tundmine aitab teil mõista mitmeid võtmetegureid, sealhulgas seda, kuidas see levib, millised failid see lukustab ja kuidas saate selle eemaldada. Lihtsalt laadige üles krüptitud faili näidis ja kui teil on need olemas, siis lunaraha ja ründaja kontaktteave. 

Kaks levinumat lunavara tüüpi on ekraanilukud ja krüpteerijad. Ekraanihoidjad lukustavad teie süsteemi, kuid hoiavad teie faile turvalisena, kuni maksate, samas kui krüpteerijaid on keerulisem käsitleda, kuna nad leiavad ja krüpteerivad kõik teie tundlikud andmed ning dekrüpteerivad need alles pärast lunaraha tasumist. 

Otsige dekrüpteerimistööriistu

Kui olete lunavara tüve tuvastanud, kaaluge dekrüpteerimistööriistade otsimist. Selle sammu jaoks on abiks ka tasuta tööriistad, sealhulgas sellised saidid nagu Enam pole lunaraha. Sisestage lihtsalt lunavara tüve nimi ja otsige sobivat dekrüpteerimist. 

Laadige alla Ransomware'i lõplik juhend

Taastamine 

Kui teil on olnud õnn lunavaranakkus eemaldada, on aeg alustada taastamisprotsessi.

Alustuseks värskendage oma süsteemi paroole, seejärel taastage oma andmed varukoopiatest. Peaksite alati püüdma oma andmetest kolme koopiat kahes erinevas vormingus, kusjuures üks koopia salvestatakse väljaspool saiti. See 3-2-1 reeglina tuntud lähenemisviis võimaldab teil oma andmed kiiresti taastada ja vältida lunaraha maksmist. 

Rünnaku järel tuleks kaaluda ka turvaauditi läbiviimist ja kõikide süsteemide uuendamist. Süsteemide ajakohasena hoidmine aitab vältida häkkerite ärakasutamist vanemas tarkvaras leitud haavatavusi ning regulaarne paikamine hoiab teie masinad ajakohasena, stabiilsena ja pahavaraohtude suhtes vastupidavana. Samuti võite soovida täpsustada oma intsidentidele reageerimise plaani, võttes arvesse saadud õppetunde, ja veenduda, et olete juhtumist piisavalt teavitanud kõiki vajalikke sidusrühmi. 

Teavitavad ametiasutused 

Kuna lunavara on väljapressimine ja kuritegu, peaksite alati teavitama lunavararünnakutest õiguskaitseametnikke või FBI-d. 

Ametiasutused võivad aidata teie faile dekrüpteerida, kui teie taastamine ei toimi. Kuid isegi kui nad ei saa teie andmeid salvestada, on neil ülioluline küberkuritegevuse kataloogida ja loodetavasti aidata teistel sarnaseid saatusi vältida. 

Mõned lunavararünnakute ohvrid võivad samuti olla seadusega kohustatud lunavara nakatumisest teatama. Näiteks HIPAA järgimine nõuab üldiselt, et tervishoiuasutused teavitaksid tervishoiu- ja inimteenuste osakonda igast andmerikkumisest, sealhulgas lunavararünnakutest.

Otsustamine, kas maksta 

Otsustamine kas tasuda lunaraha on keeruline otsus. Enamik eksperte soovitab tasumist kaaluda ainult siis, kui olete proovinud kõiki muid võimalusi ja andmete kadu oleks oluliselt kahjulikum kui maksmine.

Olenemata teie otsusest peaksite alati enne edasiliikumist konsulteerima õiguskaitseametnike ja küberjulgeoleku spetsialistidega.

Lunaraha maksmine ei garanteeri, et saate tagasi oma andmetele juurdepääsu või et ründajad peavad oma lubadusi – ohvrid maksavad sageli lunaraha, kuid ei saa kunagi dekrüpteerimisvõtit. Veelgi enam, lunaraha maksmine põlistab küberkuritegevuse ja võib veelgi rahastada küberkuritegusid.

Tulevaste lunavararünnakute ennetamine

Meiliturbetööriistad ning pahavara- ja viirusetõrjetarkvara on kriitilised esimesed kaitseliinid lunavararünnakute vastu.

Organisatsioonid toetuvad ka täiustatud lõpp-punkti turbetööriistadele, nagu tulemüürid, VPN-id ja mitme faktori autentimine osana laiemast andmekaitsestrateegiast, et kaitsta andmerikkumiste eest.

Ükski küberjulgeolekusüsteem pole aga täielik ilma tipptasemel ohtude tuvastamise ja intsidentidele reageerimise võimekuseta, et küberkurjategijaid reaalajas tabada ja edukate küberrünnakute mõju leevendada.

IBM Security® QRadar® SIEM rakendab masinõppe- ja kasutajakäitumise analüüsi (UBA) võrguliikluses kõrvuti traditsiooniliste logidega, et võimaldada nutikamat ohtude tuvastamist ja kiiremat parandamist. Hiljutises Forresteri uuringus aitas QRadar SIEM turvaanalüütikutel säästa kolme aasta jooksul rohkem kui 14,000 90 tundi, tuvastades valepositiivsed tulemused, vähendades intsidentide uurimisele kuluvat aega 60% ja vähendades tõsiste turvarikkumiste riski XNUMX%.* QRadariga. SIEM-i, ressurssidega kurnatud turvameeskondadel on nähtavus ja analüüs, mida nad vajavad, et kiiresti tuvastada ohte ja võtta rünnaku tagajärgede minimeerimiseks viivitamatuid ja teadlikke meetmeid.

Lisateave IBM QRadar SIEM-i kohta

* The IBM Security QRadar SIEM-i Total Economic ImpactTM on Forrester Consultingi tellitud uuring IBMi nimel, aprill 2023. Põhineb nelja intervjueeritud IBM-i kliendi põhjal modelleeritud liitorganisatsiooni prognoositud tulemustel. Tegelikud tulemused sõltuvad kliendi konfiguratsioonist ja tingimustest ning seetõttu ei saa üldiselt oodatavaid tulemusi pakkuda.