Kuinka käsitellä kiristysohjelmahyökkäystä – IBM-blogi

Tämä on uutinen, jota mikään organisaatio ei halua kuulla – olet joutunut a ransomware hyökkäys, ja nyt mietit mitä tehdä seuraavaksi. 

Ensimmäinen asia, joka tulee muistaa, on se, että et ole yksin. Yli 17 prosenttia kaikista kyberhyökkäyksistä liittyy kiristysohjelmiin-eräänlainen haittaohjelmat joka pitää uhrin tiedot tai laitteen lukittuna, ellei uhri maksa hakkereille lunnaita. Tuoreessa tutkimuksessa tutkituista 1,350 XNUMX organisaatiosta 78 prosenttia kärsi onnistuneesta kiristysohjelmahyökkäyksestä (linkki sijaitsee ibm.com-sivuston ulkopuolella).

Ransomware-hyökkäykset käyttävät useita menetelmiä tai vektoreita saastuttaakseen verkkoja tai laitteita, mukaan lukien huijaamalla ihmisiä napsauttamaan haitallisia linkkejä käyttämällä Phishing sähköpostit ja ohjelmistojen ja käyttöjärjestelmien haavoittuvuuksien, kuten etäkäytön, hyödyntäminen. Kyberrikolliset pyytävät yleensä lunnaita Bitcoinissa ja muissa vaikeasti jäljitettävissä kryptovaluutoissa ja tarjoavat uhreille maksun yhteydessä salauksen purkuavaimet laitteensa lukituksen avaamiseksi.

Hyvä uutinen on, että kiristysohjelmahyökkäyksen sattuessa mikä tahansa organisaatio voi noudattaa perustoimenpiteitä auttaakseen hyökkäyksen hillitsemisessä, suojaamaan arkaluontoisia tietoja ja varmistamaan liiketoiminnan jatkuvuuden minimoimalla seisokkeja.

Alkuperäinen vastaus

Eristä ongelmalliset järjestelmät 

Koska yleisimmät kiristysohjelmaversiot etsivät verkoista sivusuunnassa leviäviä haavoittuvuuksia, on tärkeää, että haavoittuvat järjestelmät eristetään mahdollisimman nopeasti. Katkaise Ethernet-yhteys ja poista käytöstä WiFi, Bluetooth ja kaikki muut verkkoominaisuudet kaikista tartunnan saaneilta tai mahdollisesti saastuneilta laitteilta.

Kaksi muuta harkittavaa vaihetta: 

• Huoltotehtävien sammuttaminen. Poista välittömästi käytöstä automaattiset tehtävät (esim. väliaikaisten tiedostojen poistaminen tai lokien kiertäminen), joihin vaikuttavat järjestelmät. Nämä tehtävät voivat häiritä tiedostoja ja haitata kiristysohjelmien tutkimista ja palautumista. 
• Varmuuskopioiden yhteyden katkaiseminen. Koska monet uudentyyppiset kiristysohjelmat kohdistavat varmuuskopiot palauttamisen vaikeuttamiseksi, pidä tietojen varmuuskopiot offline-tilassa. Rajoita pääsyä varmuuskopiojärjestelmiin, kunnes olet poistanut tartunnan.

Valokuvaa lunnaat

Ennen kuin jatkat mitään muuta, ota valokuva lunnaita koskevasta setelistä – mieluiten valokuvaamalla asianomaisen laitteen näyttö erillisellä laitteella, kuten älypuhelimella tai kameralla. Valokuva nopeuttaa palautusprosessia ja auttaa teettäessäsi ilmoitusta poliisille tai mahdollisesta korvausvaatimuksesta vakuutusyhtiöllesi.

Ilmoita turvallisuustiimille

Kun olet katkaissut yhteyden niihin järjestelmiin, ilmoita asiasta IT-turvallisuus hyökkäyksen joukkue. Useimmissa tapauksissa tietoturva-ammattilaiset voivat neuvoa seuraavissa vaiheissa ja aktivoida organisaatiosi tapahtuman vastaus suunnitelma, mikä tarkoittaa organisaatiosi prosesseja ja tekniikoita kyberhyökkäysten havaitsemiseksi ja niihin reagoimiseksi.

Älä käynnistä laitteita uudelleen

Kun käsittelet kiristysohjelmia, vältä saastuneiden laitteiden uudelleenkäynnistystä. Hakkerit tietävät, että tämä saattaa olla ensimmäinen vaistosi, ja tietyntyyppiset kiristysohjelmat huomaavat uudelleenkäynnistysyritykset ja aiheuttavat lisähaittoja, kuten Windowsin vahingoittumisen tai salattujen tiedostojen poistamisen. Uudelleenkäynnistys voi myös vaikeuttaa kiristysohjelmahyökkäysten tutkimista – tietokoneen muistiin tallennetaan arvokkaita vihjeitä, jotka pyyhitään uudelleenkäynnistyksen yhteydessä. 

Sen sijaan laita ongelmalliset järjestelmät lepotilaan. Tämä tallentaa kaikki muistissa olevat tiedot viitetiedostoon laitteen kiintolevylle ja säilyttää ne myöhempää analysointia varten.

hävittämiseksi 

Nyt kun olet eristänyt kyseiset laitteet, olet todennäköisesti innokas avaamaan laitteidesi lukituksen ja palauttamaan tietosi. Vaikka kiristysohjelmatartuntojen poistaminen voi olla monimutkaista hallita, erityisesti edistyneemmät kannat, seuraavat vaiheet voivat käynnistää sinut toipumisen tiellä. 

Määritä hyökkäysversio

Useat ilmaiset työkalut voivat auttaa tunnistamaan laitteesi saastuttavan kiristysohjelman tyypin. Tietyn kannan tunteminen voi auttaa sinua ymmärtämään useita keskeisiä tekijöitä, mukaan lukien kuinka se leviää, mitä tiedostoja se lukitsee ja kuinka voit poistaa sen. Lataa vain näyte salatusta tiedostosta ja, jos sinulla on niitä, lunnaat ja hyökkääjän yhteystiedot. 

Kaksi yleisintä ransomware-tyyppiä ovat näytön kaapit ja salaajat. Näyttölokerot lukitsevat järjestelmäsi, mutta pitävät tiedostosi turvassa, kunnes maksat, kun taas salaajia on vaikeampi käsitellä, koska ne löytävät ja salaavat kaikki arkaluontoiset tietosi ja purkavat sen vasta lunnaiden maksamisen jälkeen. 

Etsi salauksenpurkutyökaluja

Kun olet tunnistanut ransomware-kannan, harkitse salauksen purkutyökalujen etsimistä. On myös ilmaisia ​​työkaluja, jotka auttavat tässä vaiheessa, mukaan lukien sivustot, kuten Ei enää Ransom. Liitä vain ransomware-kannan nimi ja etsi vastaava salauksenpurku. 

Lataa lopullinen Ransomware-opas

Elpyminen 

Jos sinulla on ollut onni poistaa kiristysohjelmatartunta, on aika aloittaa palautusprosessi.

Aloita päivittämällä järjestelmän salasanat ja palauta sitten tietosi varmuuskopioista. Sinun tulisi aina pyrkiä siihen, että tiedoistasi on kolme kopiota kahdessa eri muodossa, joista yksi kopio säilytetään muualla. Tämän 3-2-1-sääntönä tunnetun lähestymistavan avulla voit palauttaa tietosi nopeasti ja välttää lunnaita. 

Hyökkäyksen jälkeen kannattaa harkita myös tietoturvatarkastuksen tekemistä ja kaikkien järjestelmien päivittämistä. Järjestelmien pitäminen ajan tasalla auttaa estämään hakkereita hyödyntämästä vanhojen ohjelmistojen haavoittuvuuksia, ja säännöllinen korjaus pitää koneesi ajan tasalla, vakaana ja haittaohjelmien uhkia vastaan. Voit myös haluta tarkentaa tapaussuunnitelmaasi oppimillasi kokemuksilla ja varmistaa, että olet tiedottanut tapahtumasta riittävästi kaikille tarvittaville sidosryhmille. 

Ilmoittamisesta viranomaisille 

Koska kiristysohjelmat ovat kiristystä ja rikos, sinun tulee aina ilmoittaa kiristysohjelmahyökkäyksistä lainvalvontaviranomaisille tai FBI:lle. 

Viranomaiset voivat auttaa tiedostojesi salauksen purkamisessa, jos palautusyrityksesi eivät toimi. Mutta vaikka he eivät pystyisikään tallentamaan tietojasi, heidän on tärkeää luetteloida tietoverkkorikollinen toiminta ja toivottavasti auttaa muita välttämään samanlaisia ​​kohtaloita. 

Jotkut kiristysohjelmahyökkäysten uhrit voivat myös olla lain mukaan velvollisia ilmoittamaan kiristysohjelmatartunnoista. Esimerkiksi HIPAA-yhteensopivuus edellyttää yleensä terveydenhuoltoyksiköiden raportoivan kaikista tietomurroista, mukaan lukien lunnasohjelmahyökkäykset, terveys- ja henkilöstöministeriölle.

Päätetään maksaako 

Päätetään maksaako lunnaita on monimutkainen päätös. Useimmat asiantuntijat suosittelevat, että sinun kannattaa harkita maksamista vain, jos olet kokeillut kaikkia muita vaihtoehtoja ja tietojen menetys olisi huomattavasti haitallisempaa kuin maksaminen.

Riippumatta päätöksestäsi, sinun tulee aina neuvotella lainvalvontaviranomaisten ja kyberturvallisuuden ammattilaisten kanssa ennen kuin jatkat eteenpäin.

Lunnaiden maksaminen ei takaa, että pääset takaisin tietoihisi tai että hyökkääjät pitävät lupauksensa – uhrit maksavat usein lunnaat, mutta eivät koskaan saa salauksen purkuavainta. Lisäksi lunnaiden maksaminen jatkaa kyberrikollista toimintaa ja voi edelleen rahoittaa tietoverkkorikoksia.

Tulevien kiristysohjelmahyökkäysten estäminen

Sähköpostin suojaustyökalut sekä haittaohjelmien ja virustentorjuntaohjelmistot ovat tärkeitä ensimmäisiä puolustuslinjoja lunnasohjelmahyökkäyksiä vastaan.

Organisaatiot luottavat myös edistyneisiin päätepisteiden suojaustyökaluihin, kuten palomuurit, VPN:t ja monitekstinen todentaminen osana laajempaa tietosuojastrategiaa suojautuakseen tietosuojaloukkauksilta.

Mikään kyberturvallisuusjärjestelmä ei kuitenkaan ole täydellinen ilman huippuluokan uhkien havaitsemis- ja reagointikykyä kyberrikollisten kiinni saamiseksi reaaliajassa ja onnistuneiden kyberhyökkäysten vaikutusten lieventämiseen.

IBM Security® QRadar® SIEM soveltaa koneoppimis- ja käyttäjäkäyttäytymisanalytiikkaa (UBA) verkkoliikenteeseen perinteisten lokien ohella älykkäämpään uhkien havaitsemiseen ja nopeampaan korjaamiseen. Äskettäisessä Forrester-tutkimuksessa QRadar SIEM auttoi tietoturva-analyytikoita säästämään yli 14,000 90 tuntia kolmen vuoden aikana tunnistamalla vääriä positiivisia tuloksia, vähentämällä tapausten tutkimiseen käytettyä aikaa 60 % ja vähentämällä heidän riskiään kokea vakava tietoturvaloukkaus XNUMX %.* QRadarilla. SIEM, resurssien tiukka tietoturvatiimeillä on näkyvyys ja analytiikka, joita he tarvitsevat havaitakseen uhat nopeasti ja ryhtyäkseen välittömiin tietoihin hyökkäyksen vaikutusten minimoimiseksi.

Lue lisää IBM QRadar SIEM:stä

* mennessä IBM Security QRadar SIEM:n Total Economic ImpactTM on Forrester Consultingin IBM:n puolesta suorittama tilaustutkimus, huhtikuu 2023. Perustuu ennustettuihin tuloksiin yhdistelmäorganisaatiosta, joka on mallinnettu 4 haastatellusta IBM-asiakkaasta. Todelliset tulokset vaihtelevat asiakkaan kokoonpanojen ja olosuhteiden mukaan, joten yleisesti odotettuja tuloksia ei voida tarjota.