نحوه مدیریت یک حمله باج افزار – وبلاگ IBM

این خبری است که هیچ سازمانی نمی‌خواهد بشنود - شما قربانی یک مورد بوده‌اید باجافزار حمله کنید، و اکنون در تعجب هستید که بعداً چه کاری انجام دهید. 

اولین چیزی که باید در نظر داشته باشید این است که شما تنها نیستید. بیش از 17 درصد از حملات سایبری شامل باج افزار است-گونه ای از نرم افزارهای مخرب که داده ها یا دستگاه قربانی را قفل نگه می دارد مگر اینکه قربانی به هکر باج بدهد. از 1,350 سازمانی که در یک مطالعه اخیر مورد بررسی قرار گرفتند، 78 درصد با حمله باج افزار موفقی مواجه شدند (پیوند در خارج از ibm.com قرار دارد).

حملات باج‌افزار از چندین روش یا بردار برای آلوده کردن شبکه‌ها یا دستگاه‌ها استفاده می‌کنند، از جمله فریب دادن افراد برای کلیک کردن روی پیوندهای مخرب با استفاده از فیشینگ ایمیل ها و سوء استفاده از آسیب پذیری ها در نرم افزارها و سیستم عامل ها، مانند دسترسی از راه دور. مجرمان سایبری معمولاً درخواست پرداخت باج به بیت‌کوین و سایر ارزهای دیجیتالی می‌کنند که به سختی قابل ردیابی هستند و در هنگام پرداخت، کلیدهای رمزگشایی را برای قربانیان برای باز کردن قفل دستگاه‌هایشان فراهم می‌کنند.

خبر خوب این است که در صورت حمله باج افزار، مراحل اساسی وجود دارد که هر سازمانی می تواند برای کمک به مهار حمله، محافظت از اطلاعات حساس و تضمین تداوم کسب و کار با به حداقل رساندن زمان خرابی، دنبال کند.

پاسخ اولیه

سیستم های آسیب دیده را جدا کنید 

از آنجایی که رایج‌ترین گونه‌های باج‌افزار شبکه‌ها را برای آسیب‌پذیری‌ها اسکن می‌کنند تا به صورت جانبی منتشر شوند، بسیار مهم است که سیستم‌های آسیب‌دیده در سریع‌ترین زمان ممکن ایزوله شوند. اترنت را قطع کنید و وای فای، بلوتوث و سایر قابلیت های شبکه را برای هر دستگاه آلوده یا بالقوه آلوده غیرفعال کنید.

دو مرحله دیگر که باید در نظر بگیرید: 

• خاموش کردن وظایف تعمیر و نگهداری فوراً وظایف خودکار را غیرفعال کنید - به عنوان مثال، حذف فایل های موقت یا چرخش گزارش ها - سیستم های تحت تأثیر. این کارها ممکن است با فایل‌ها تداخل داشته باشند و تحقیقات و بازیابی باج‌افزار را مختل کنند. 
• قطع کردن پشتیبان ها از آنجایی که بسیاری از انواع جدید باج‌افزارها، پشتیبان‌گیری را برای سخت‌تر کردن بازیابی هدف قرار می‌دهند، پشتیبان‌گیری داده‌ها را آفلاین نگه دارید. دسترسی به سیستم های پشتیبان را تا زمانی که عفونت را حذف نکرده اید محدود کنید.

از یادداشت باج عکس بگیرید

قبل از حرکت به سمت جلو با هر چیز دیگری، از یادداشت باج‌گیری عکس بگیرید - در حالت ایده‌آل با عکس گرفتن از صفحه دستگاه آسیب‌دیده با یک دستگاه جداگانه مانند تلفن هوشمند یا دوربین. این عکس روند بهبودی را تسریع می کند و به هنگام ثبت گزارش پلیس یا ادعای احتمالی با شرکت بیمه شما کمک می کند.

به تیم امنیتی اطلاع دهید

هنگامی که سیستم های آسیب دیده را قطع کردید، به خود اطلاع دهید امنیت فناوری اطلاعات تیم حمله در بیشتر موارد، متخصصان امنیت فناوری اطلاعات می توانند در مورد مراحل بعدی مشاوره داده و سازمان شما را فعال کنند پاسخ حادثه برنامه، به معنای فرآیندها و فناوری های سازمان شما برای شناسایی و پاسخ به حملات سایبری است.

دستگاه های آسیب دیده را راه اندازی مجدد نکنید

هنگام برخورد با باج افزار، از راه اندازی مجدد دستگاه های آلوده خودداری کنید. هکرها می‌دانند که این ممکن است اولین غریزه شما باشد، و برخی از انواع باج‌افزارها متوجه تلاش‌ها برای راه‌اندازی مجدد می‌شوند و آسیب‌های بیشتری مانند آسیب رساندن به ویندوز یا حذف فایل‌های رمزگذاری‌شده ایجاد می‌کنند. راه‌اندازی مجدد همچنین می‌تواند بررسی حملات باج‌افزار را سخت‌تر کند—سرنخ‌های ارزشمندی در حافظه رایانه ذخیره می‌شوند که در طول راه‌اندازی مجدد پاک می‌شوند. 

در عوض، سیستم های آسیب دیده را در حالت خواب زمستانی قرار دهید. با این کار تمام داده های موجود در حافظه در یک فایل مرجع در هارد دیسک دستگاه ذخیره می شود و آن را برای تجزیه و تحلیل بعدی حفظ می کند.

قلع و قمع 

اکنون که دستگاه‌های آسیب‌دیده را ایزوله کرده‌اید، احتمالاً مشتاق هستید که قفل دستگاه‌های خود را باز کنید و اطلاعات خود را بازیابی کنید. در حالی که مدیریت از بین بردن عفونت‌های باج‌افزار، به‌ویژه گونه‌های پیشرفته‌تر، می‌تواند پیچیده باشد، مراحل زیر می‌تواند شما را در مسیر بازیابی آغاز کند. 

نوع حمله را تعیین کنید

چندین ابزار رایگان می توانند به شناسایی نوع باج افزار آلوده کننده دستگاه های شما کمک کنند. دانستن سویه خاص می تواند به شما کمک کند چندین عامل کلیدی را درک کنید، از جمله اینکه چگونه پخش می شود، چه فایل هایی قفل می شود و چگونه می توانید آن را حذف کنید. فقط یک نمونه از فایل رمزگذاری شده و در صورت داشتن آنها، یک یادداشت باج و اطلاعات تماس مهاجم را آپلود کنید. 

دو نوع متداول باج افزار قفل صفحه و رمزگذار هستند. قفل‌های صفحه سیستم شما را قفل می‌کنند اما فایل‌های شما را تا زمانی که پرداخت نکرده‌اید ایمن نگه می‌دارند، در حالی که رمزنگاری‌ها به دلیل یافتن و رمزگذاری تمام داده‌های حساس شما و رمزگشایی آن‌ها تنها پس از پرداخت باج، دشوارتر هستند. 

جستجوی ابزارهای رمزگشایی

هنگامی که نوع باج افزار را شناسایی کردید، به دنبال ابزارهای رمزگشایی باشید. همچنین ابزارهای رایگانی برای کمک به این مرحله وجود دارد، از جمله سایت هایی مانند بدون پرداخت بیشتر. به سادگی نام سویه باج افزار را وارد کنید و رمزگشایی منطبق را جستجو کنید. 

راهنمای قطعی باج افزار را دانلود کنید

بهبود 

اگر به اندازه کافی خوش شانس بوده اید که عفونت باج افزار را حذف کنید، زمان آن رسیده است که فرآیند بازیابی را شروع کنید.

با به روز رسانی رمزهای عبور سیستم خود شروع کنید، سپس اطلاعات خود را از پشتیبان گیری بازیابی کنید. شما باید همیشه هدف داشته باشید که سه نسخه از داده های خود را در دو فرمت مختلف داشته باشید که یک نسخه در خارج از سایت ذخیره می شود. این رویکرد، که به عنوان قانون 3-2-1 شناخته می شود، به شما امکان می دهد اطلاعات خود را به سرعت بازیابی کنید و از پرداخت باج اجتناب کنید. 

پس از حمله، باید ممیزی امنیتی و به روز رسانی تمام سیستم ها را نیز در نظر بگیرید. به روز نگه داشتن سیستم ها به جلوگیری از سوء استفاده هکرها از آسیب پذیری های موجود در نرم افزارهای قدیمی کمک می کند و وصله منظم دستگاه های شما را به روز، پایدار و در برابر تهدیدات بدافزار مقاوم می کند. همچنین ممکن است بخواهید برنامه واکنش به حادثه خود را با هر درس آموخته شده اصلاح کنید و مطمئن شوید که حادثه را به اندازه کافی به همه ذینفعان لازم منتقل کرده اید. 

مقامات ابلاغی 

از آنجایی که باج افزار اخاذی و جرم است، همیشه باید حملات باج افزار را به مقامات مجری قانون یا FBI گزارش دهید. 

اگر تلاش‌های بازیابی شما کارساز نبود، ممکن است مقامات بتوانند به رمزگشایی فایل‌های شما کمک کنند. اما حتی اگر نتوانند داده‌های شما را ذخیره کنند، برای آنها بسیار مهم است که فعالیت‌های مجرمانه سایبری را فهرست‌بندی کنند و امیدواریم به دیگران کمک کنند از سرنوشت‌های مشابه جلوگیری کنند. 

برخی از قربانیان حملات باج‌افزار نیز ممکن است از نظر قانونی ملزم به گزارش عفونت‌های باج‌افزار باشند. به عنوان مثال، انطباق با HIPAA عموماً از نهادهای مراقبت های بهداشتی می خواهد که هرگونه نقض داده، از جمله حملات باج افزار را به وزارت بهداشت و خدمات انسانی گزارش دهند.

تصمیم گیری در مورد پرداخت 

تصمیم گیری آیا برای پرداخت باج یک تصمیم پیچیده است اکثر کارشناسان پیشنهاد می‌کنند که فقط در صورتی باید پرداخت را در نظر بگیرید که همه گزینه‌های دیگر را امتحان کرده باشید و از دست دادن داده‌ها به طور قابل‌توجهی مضرتر از پرداخت خواهد بود.

صرف نظر از تصمیم خود، همیشه باید قبل از حرکت با مقامات مجری قانون و متخصصان امنیت سایبری مشورت کنید.

پرداخت باج تضمین نمی کند که دوباره به داده های خود دسترسی پیدا می کنید یا مهاجمان به وعده های خود عمل می کنند - قربانیان اغلب باج را می پردازند، اما هرگز کلید رمزگشایی را دریافت نمی کنند. علاوه بر این، پرداخت باج باعث تداوم فعالیت‌های مجرمانه سایبری می‌شود و می‌تواند بیشتر جرایم سایبری را تامین مالی کند.

جلوگیری از حملات باج افزار در آینده

ابزارهای امنیتی ایمیل و نرم افزارهای ضد بدافزار و آنتی ویروس اولین خطوط دفاعی در برابر حملات باج افزار هستند.

سازمان ها همچنین به ابزارهای پیشرفته امنیتی نقطه پایانی مانند فایروال ها، VPN ها و احراز هویت چند عامل به عنوان بخشی از استراتژی حفاظت از داده های گسترده تر برای دفاع در برابر نقض داده ها.

با این حال، هیچ سیستم امنیت سایبری بدون پیشرفته‌ترین قابلیت‌های تشخیص تهدید و پاسخ به حادثه برای دستگیری مجرمان سایبری در زمان واقعی و کاهش تأثیر حملات سایبری موفق کامل نیست.

IBM Security® QRadar® SIEM از یادگیری ماشین و تجزیه و تحلیل رفتار کاربر (UBA) در ترافیک شبکه در کنار گزارش‌های سنتی برای تشخیص تهدید هوشمندتر و اصلاح سریع‌تر استفاده می‌کند. در مطالعه اخیر Forrester، QRadar SIEM به تحلیلگران امنیتی کمک کرد تا بیش از 14,000 ساعت در طول سه سال با شناسایی موارد مثبت کاذب، کاهش زمان صرف شده برای بررسی حوادث تا 90٪ و کاهش خطر ابتلا به یک نقض جدی امنیتی تا 60٪ صرفه جویی کنند* با QRadar. SIEM، تیم های امنیتی محدود به منابع، دید و تجزیه و تحلیل مورد نیاز برای شناسایی سریع تهدیدات و انجام اقدامات آگاهانه و فوری برای به حداقل رساندن اثرات یک حمله را دارند.

درباره IBM QRadar SIEM بیشتر بدانید

* Total Economic ImpactTM of IBM Security QRadar SIEM یک مطالعه سفارشی است که توسط Forrester Consulting از طرف IBM در آوریل 2023 انجام شده است. نتایج واقعی بر اساس تنظیمات و شرایط مشتری متفاوت خواهد بود و بنابراین، به طور کلی نتایج مورد انتظار را نمی توان ارائه داد.