Hogyan kezeljük a zsarolóvírus-támadást – IBM Blog

Ezt a hírt egyetlen szervezet sem akarja hallani – Ön áldozata lett a ransomware megtámadja, és most azon töpreng, mit tegyen ezután. 

Az első dolog, amit észben kell tartanod, hogy nem vagy egyedül. Az összes kibertámadás több mint 17 százaléka érinti a zsarolóprogramokat-egy fajta malware amely zárolva tartja az áldozat adatait vagy eszközét, kivéve, ha az áldozat váltságdíjat fizet a hackernek. Egy friss kutatásban megkérdezett 1,350 szervezet közül 78 százalékuk szenvedett el sikeres ransomware támadást (a link az ibm.com-on kívül található).

A zsarolóvírus-támadások számos módszert vagy vektort használnak a hálózatok vagy eszközök megfertőzésére, beleértve az egyének rávetését, hogy rosszindulatú hivatkozásokra kattintsanak. Adathalászat e-mailek, valamint a szoftverek és operációs rendszerek sérülékenységeinek kihasználása, például a távoli hozzáférés. A kiberbűnözők általában váltságdíjat kérnek Bitcoinban és más nehezen nyomon követhető kriptovalutákban, és fizetéskor visszafejtési kulcsokat biztosítanak az áldozatoknak eszközeik feloldásához.

A jó hír az, hogy egy zsarolóvírus-támadás esetén minden szervezet megteheti az alapvető lépéseket a támadás megfékezésére, az érzékeny információk védelmére és az üzletmenet folytonosságának biztosítására az állásidő minimalizálásával.

Kezdeti válasz

Az érintett rendszerek elkülönítése 

Mivel a zsarolóprogramok legáltalánosabb változatai átvizsgálják a hálózatokat az oldalirányban terjedő sebezhetőségek után, ezért nagyon fontos, hogy az érintett rendszereket a lehető leggyorsabban elkülönítsék. Válassza le az Ethernet-kapcsolatot, és tiltsa le a WiFi-t, a Bluetooth-t és minden egyéb hálózati képességet minden fertőzött vagy potenciálisan fertőzött eszközön.

Két további lépést kell megfontolni: 

• Karbantartási feladatok kikapcsolása. Azonnal tiltsa le az automatikus feladatokat – például az ideiglenes fájlok törlését vagy a naplók forgatását – az érintett rendszereket. Ezek a feladatok zavarhatják a fájlokat, és akadályozhatják a zsarolóprogramok vizsgálatát és helyreállítását. 
• Biztonsági mentések leválasztása. Mivel sok új típusú zsarolóvírus biztonsági mentéseket céloz meg, hogy megnehezítse a helyreállítást, tartsa offline állapotban az adatmentéseket. Korlátozza a biztonsági mentési rendszerekhez való hozzáférést, amíg el nem távolítja a fertőzést.

Fényképezze le a váltságdíjat

Mielőtt bármi mással továbblépne, készítsen fényképet a váltságdíjról – ideális esetben úgy, hogy az érintett eszköz képernyőjét külön eszközzel, például okostelefonnal vagy fényképezőgéppel fényképezze le. A fénykép felgyorsítja a helyreállítási folyamatot, és segítséget nyújt a rendőrségi feljelentés vagy egy esetleges kárigény benyújtásakor a biztosítótársaságnál.

Értesítse a biztonsági csapatot

Miután leválasztotta az érintett rendszereket, értesítse erről IT biztonság a támadás csapata. A legtöbb esetben az informatikai biztonsági szakemberek tanácsot adhatnak a következő lépésekről, és aktiválhatják a szervezetét eseményre adott válasz terv, vagyis a szervezet folyamatai és technológiái a kibertámadások észlelésére és reagálására.

Ne indítsa újra az érintett eszközöket

A zsarolóprogramok kezelésekor kerülje a fertőzött eszközök újraindítását. A hackerek tudják, hogy ez lehet az első megérzése, és bizonyos típusú zsarolóprogramok észreveszik az újraindítási kísérleteket, és további károkat okoznak, például károsítják a Windows rendszert vagy törölhetik a titkosított fájlokat. Az újraindítás megnehezítheti a ransomware támadások kivizsgálását is – értékes nyomok tárolódnak a számítógép memóriájában, amely az újraindítás során törlődik. 

Ehelyett helyezze hibernált állapotba az érintett rendszereket. Ez a memóriában lévő összes adatot egy referenciafájlba menti az eszköz merevlemezén, megőrzi azokat későbbi elemzés céljából.

Felszámolás 

Most, hogy elkülönítette az érintett eszközöket, valószínűleg fel szeretné oldani az eszközök zárolását, és helyreállítani az adatokat. Míg a ransomware fertőzések felszámolása bonyolult lehet, különösen a fejlettebb törzsek kezelése, a következő lépések elindíthatják a gyógyulás felé vezető úton. 

Határozza meg a támadás változatát

Számos ingyenes eszköz segíthet azonosítani az eszközeit megfertőző ransomware típusát. Az adott törzs ismerete segíthet több kulcsfontosságú tényező megértésében, beleértve a terjedés módját, a zárolt fájlokat és az eltávolítás módját. Csak töltsön fel egy mintát a titkosított fájlból, és ha megvan, egy váltságdíjat és a támadó elérhetőségét. 

A ransomware két leggyakoribb típusa a képernyőzárak és a titkosítók. A képernyőzárak zárolják a rendszert, de a fájlokat biztonságban tartják, amíg nem fizet, míg a titkosítókat nehezebb kezelni, mivel minden érzékeny adatot megtalálnak és titkosítanak, és csak a váltságdíj kifizetése után fejtik vissza azokat. 

Keressen visszafejtő eszközöket

Miután azonosította a ransomware törzset, fontolja meg a visszafejtő eszközök keresését. Ingyenes eszközök is segítenek ebben a lépésben, beleértve az olyan webhelyeket, mint a Nincs több Ransom. Egyszerűen csatlakoztassa a ransomware törzs nevét, és keresse meg a megfelelő visszafejtést. 

Töltse le a Ransomware végleges útmutatóját

felépülés 

Ha elég szerencséje volt eltávolítani a ransomware fertőzést, ideje elkezdeni a helyreállítási folyamatot.

Kezdje a rendszerjelszavak frissítésével, majd állítsa helyre adatait a biztonsági másolatokból. Mindig törekedjen arra, hogy az adatokból három másolatot készítsen két különböző formátumban, és egy példányt a helyszínen tároljon. Ez a 3-2-1 szabályként ismert megközelítés lehetővé teszi az adatok gyors visszaállítását és a váltságdíjak elkerülését. 

A támadást követően meg kell fontolnia egy biztonsági audit elvégzését és az összes rendszer frissítését. A rendszerek naprakészen tartása segít megakadályozni, hogy a hackerek kihasználják a régebbi szoftverekben található sebezhetőségeket, a rendszeres javítások pedig naprakészen, stabilan és rosszindulatú programokkal szemben ellenállóvá teszik a gépeket. Érdemes lehet az incidensre adott választervét is finomítani a levont tanulságok figyelembevételével, és megbizonyosodni arról, hogy megfelelően tájékoztatta az incidenst az összes szükséges érdekelt féllel. 

Bejelentő hatóságok 

Mivel a ransomware zsarolás és bűncselekmény, mindig jelentse a zsarolóprogramok támadásait a bűnüldöző hatóságoknak vagy az FBI-nak. 

A hatóságok segíthetnek a fájlok visszafejtésében, ha a helyreállítási erőfeszítések nem vezetnek eredményre. De még ha nem is tudják elmenteni az Ön adatait, rendkívül fontos számukra, hogy katalógusba vegyék a kiberbűnözők tevékenységét, és remélhetőleg segítsenek másoknak elkerülni a hasonló sorsokat. 

A ransomware támadások egyes áldozatai jogilag is kötelesek jelenteni a ransomware fertőzéseket. Például a HIPAA-megfelelőség általában megköveteli az egészségügyi szervezetektől, hogy jelentsenek minden adatvédelmi incidenst, beleértve a ransomware támadásokat is, az Egészségügyi és Humánszolgáltatási Minisztériumnak.

Eldönteni, hogy fizetni kell-e 

Döntés hogy kell-e váltságdíjat fizetni összetett döntés. A legtöbb szakértő azt javasolja, hogy csak akkor fontolja meg a fizetést, ha minden más lehetőséget kipróbált, és az adatvesztés lényegesen károsabb lenne, mint a fizetés.

A döntésétől függetlenül mindig konzultáljon a bűnüldöző hatóságokkal és a kiberbiztonsági szakemberekkel, mielőtt továbblép.

A váltságdíj kifizetése nem garantálja, hogy újra hozzáférhet adataihoz, vagy hogy a támadók betartják ígéreteiket – az áldozatok gyakran fizetik a váltságdíjat, de soha nem kapják meg a visszafejtési kulcsot. Ezenkívül a váltságdíjak fizetése állandósítja a kiberbűnözői tevékenységet, és tovább finanszírozhatja a számítógépes bűnözést.

A jövőbeni ransomware támadások megelőzése

Az e-mail biztonsági eszközök, valamint a rosszindulatú szoftverek és vírusirtó szoftverek a zsarolóprogramok elleni védelem kritikus első vonalai.

A szervezetek olyan fejlett végpontbiztonsági eszközökre is támaszkodnak, mint a tűzfalak, VPN-ek és többfaktoros hitelesítés egy szélesebb körű adatvédelmi stratégia részeként az adatsértések elleni védekezés érdekében.

Egyetlen kiberbiztonsági rendszer sem teljes azonban a legmodernebb fenyegetésészlelési és incidensreakciós képességek nélkül, amelyek valós időben elkapják a kiberbűnözőket, és mérsékelhetik a sikeres kibertámadások hatását.

Az IBM Security® QRadar® SIEM gépi tanulási és felhasználói viselkedéselemzést (UBA) alkalmaz a hálózati forgalomra a hagyományos naplók mellett az intelligensebb fenyegetésészlelés és a gyorsabb helyreállítás érdekében. Egy közelmúltbeli Forrester-tanulmányban a QRadar SIEM több mint 14,000 90 órát takarított meg a biztonsági elemzőknek három év alatt azáltal, hogy hamis pozitív eredményeket azonosított, 60%-kal csökkentette az incidensek kivizsgálására fordított időt, és XNUMX%-kal csökkentette a súlyos biztonsági megsértés kockázatát.* A QRadarral. A SIEM, az erőforrás-igényes biztonsági csapatok rendelkeznek a szükséges láthatósággal és elemzésekkel, hogy gyorsan észleljék a fenyegetéseket, és azonnali, tájékozott lépéseket tegyenek a támadások hatásainak minimalizálása érdekében.

További információ az IBM QRadar SIEM-ről

*A Az IBM Security QRadar SIEM teljes gazdasági hatásaTM egy tanulmány, amelyet a Forrester Consulting készített az IBM megbízásából, 2023. április. Egy 4 megkérdezett IBM-ügyféltől modellezett összetett szervezet előrevetített eredményein alapul. A tényleges eredmények a kliens konfigurációitól és feltételeitől függően változnak, ezért az általánosan várt eredményeket nem lehet megadni.