כיצד לטפל בהתקפת תוכנת כופר - בלוג IBM

אלו החדשות שאף ארגון לא רוצה לשמוע - היית קורבן של א ransomware לתקוף, ועכשיו אתה תוהה מה לעשות הלאה. 

הדבר הראשון שיש לזכור הוא שאתה לא לבד. למעלה מ-17 אחוז מכל מתקפות הסייבר כוללות תוכנת כופר-סוג של תוכנות זדוניות שמחזיק את הנתונים או המכשיר של הקורבן נעולים אלא אם כן הקורבן ישלם להאקר כופר. מתוך 1,350 הארגונים שנסקרו במחקר שנערך לאחרונה, 78 אחוז סבלו מהתקפת תוכנת כופר מוצלחת (הקישור נמצא מחוץ ל-ibm.com).

התקפות כופר משתמשות במספר שיטות, או וקטורים, כדי להדביק רשתות או מכשירים, כולל הטעיית אנשים ללחוץ על קישורים זדוניים באמצעות דיוג מיילים וניצול פגיעויות בתוכנה ובמערכות הפעלה, כגון גישה מרחוק. פושעי סייבר בדרך כלל מבקשים תשלומי כופר בביטקוין ובמטבעות קריפטוגרפיים אחרים שקשה לעקוב אחריהם, ומספקים לקורבנות מפתחות פענוח בתשלום כדי לפתוח את המכשירים שלהם.

החדשות הטובות הן שבמקרה של התקפת תוכנת כופר, ישנם שלבים בסיסיים שכל ארגון יכול לבצע כדי לעזור להכיל את המתקפה, להגן על מידע רגיש ולהבטיח המשכיות עסקית על ידי מזעור זמן ההשבתה.

תגובה ראשונית

בידוד מערכות מושפעות 

מכיוון שגרסאות תוכנת הכופר הנפוצות ביותר סורקות רשתות לאיתור פגיעויות כדי להתפשט לרוחב, זה קריטי שהמערכות המושפעות יבודדו מהר ככל האפשר. נתק את ה-ethernet והשבת את ה-WiFi, Bluetooth וכל יכולות רשת אחרות עבור כל מכשיר נגוע או פוטנציאלי נגוע.

שני שלבים נוספים שיש לקחת בחשבון: 

• כיבוי משימות תחזוקה. השבת באופן מיידי משימות אוטומטיות - למשל, מחיקת קבצים זמניים או סיבוב יומנים - מערכות מושפעות. משימות אלו עלולות להפריע לקבצים ולהפריע לחקירה והשחזור של תוכנות כופר. 
• ניתוק גיבויים. מכיוון שסוגים חדשים רבים של תוכנות כופר מכוונות לגיבויים כדי להקשות על השחזור, שמור על גיבוי נתונים במצב לא מקוון. הגבל את הגישה למערכות גיבוי עד שתסיר את הזיהום.

צלם את שטר הכופר

לפני שתתקדם עם כל דבר אחר, צלם תמונה של שטר הכופר - באופן אידיאלי על ידי צילום מסך המכשיר המושפע עם מכשיר נפרד כמו סמארטפון או מצלמה. התמונה תזרז את תהליך ההחלמה ותעזור בעת הגשת תלונה במשטרה או תביעה אפשרית לחברת הביטוח שלך.

הודע לצוות האבטחה

לאחר שניתקת את המערכות המושפעות, הודע על כך אבטחת IT צוות ההתקפה. ברוב המקרים, מומחי אבטחת IT יכולים לייעץ לגבי השלבים הבאים ולהפעיל את הארגון שלך תגובה לאירוע תוכנית, כלומר התהליכים והטכנולוגיות של הארגון שלך לאיתור ותגובה למתקפות סייבר.

אל תפעיל מחדש את המכשירים המושפעים

בעת התמודדות עם תוכנות כופר, הימנע מהפעלה מחדש של מכשירים נגועים. האקרים יודעים שזה עשוי להיות האינסטינקט הראשון שלך, וסוגים מסוימים של תוכנות כופר מבחינים בניסיונות הפעלה מחדש וגורמים לנזק נוסף, כמו פגיעה ב-Windows או מחיקת קבצים מוצפנים. אתחול מחדש יכול גם להקשות על חקירת התקפות כופר - רמזים חשובים מאוחסנים בזיכרון המחשב, שנמחק במהלך הפעלה מחדש. 

במקום זאת, הכנס את המערכות המושפעות למצב שינה. זה ישמור את כל הנתונים בזיכרון לקובץ עזר בכונן הקשיח של ההתקן, וישמור אותם לניתוח עתידי.

עֲקִירָה 

כעת, לאחר שבודדת מכשירים מושפעים, סביר להניח שאתה להוט לפתוח את המכשירים שלך ולשחזר את הנתונים שלך. בעוד שחיסול זיהומי כופר יכול להיות מסובך לניהול, במיוחד הזנים המתקדמים יותר, השלבים הבאים יכולים להתחיל אותך בדרך להחלמה. 

קבע את גרסת ההתקפה

כמה כלים חינמיים יכולים לעזור לזהות את סוג תוכנת הכופר שמדביקה את המכשירים שלך. הכרת הזן הספציפי יכולה לעזור לך להבין מספר גורמים מרכזיים, כולל איך הוא מתפשט, אילו קבצים הוא נועל וכיצד תוכל להסיר אותו. פשוט העלה דוגמה של הקובץ המוצפן ואם יש לך, פתק כופר ופרטי הקשר של התוקף. 

שני הסוגים הנפוצים ביותר של תוכנות כופר הם לוקרים ומצפנים. לוקרים למסך נועלים את המערכת שלך אך שומרים על הקבצים שלך בטוחים עד שאתה משלם, בעוד שמצפנים הם מאתגרים יותר לטיפול מכיוון שהם מוצאים ומצפינים את כל הנתונים הרגישים שלך ומפענחים אותם רק לאחר שתשלם את תשלום הכופר. 

חפש כלי פענוח

לאחר שזיהית את זן תוכנת הכופר, שקול לחפש כלי פענוח. ישנם גם כלים חינמיים שיעזרו בשלב זה, כולל אתרים כמו אין יותר כופר. פשוט חבר את השם של זן תוכנת הכופר וחפש את הפענוח התואם. 

הורד את המדריך הסופי לתוכנת כופר

התאוששות 

אם התמזל מזלכם להסיר את הזיהום בתוכנת הכופר, הגיע הזמן להתחיל בתהליך השחזור.

התחל על ידי עדכון סיסמאות המערכת שלך, ואז שחזר את הנתונים שלך מגיבויים. אתה תמיד צריך לשאוף לקבל שלושה עותקים של הנתונים שלך בשני פורמטים שונים, כאשר עותק אחד מאוחסן מחוץ לאתר. גישה זו, המכונה כלל 3-2-1, מאפשרת לך לשחזר את הנתונים שלך במהירות ולהימנע מתשלומי כופר. 

לאחר המתקפה, כדאי לשקול גם ביצוע ביקורת אבטחה ועדכון כל המערכות. שמירה על עדכניות המערכות עוזרת למנוע מהאקרים לנצל נקודות תורפה שנמצאו בתוכנות ישנות יותר, ותיקון קבוע שומר על המכונות שלך עדכניות, יציבות ועמידות בפני איומי תוכנות זדוניות. ייתכן שתרצה גם לחדד את תוכנית התגובה לאירוע שלך עם כל הלקחים שנלמדו ולוודא שהעברת את האירוע בצורה מספקת לכל בעלי העניין הדרושים. 

מודיעים לרשויות 

מכיוון שתוכנת כופר היא סחיטה ופשע, עליך תמיד לדווח על התקפות של תוכנות כופר לגורמי אכיפת החוק או ל-FBI. 

ייתכן שהרשויות יוכלו לעזור לפענח את הקבצים שלך אם מאמצי השחזור שלך לא יעבדו. אבל גם אם הם לא יכולים לשמור את הנתונים שלך, זה קריטי עבורם לקטלג פעילות עבריינית סייבר, ובתקווה לעזור לאחרים להימנע מגורלות דומים. 

חלק מהקורבנות של התקפות כופר עשויים להיות מחויבים על פי חוק לדווח על זיהומים של תוכנות כופר. לדוגמה, תאימות HIPAA מחייבת בדרך כלל גופי בריאות לדווח על כל הפרת נתונים, לרבות התקפות כופר, למחלקת הבריאות ושירותי האנוש.

החלטה אם לשלם 

מחליטים האם לשלם כופר היא החלטה מורכבת. רוב המומחים מציעים שכדאי לך לשקול תשלום רק אם ניסית את כל האפשרויות האחרות ואובדן הנתונים יהיה מזיק משמעותית מהתשלום.

ללא קשר להחלטתך, עליך להתייעץ תמיד עם גורמי אכיפת חוק ואנשי מקצוע בתחום אבטחת הסייבר לפני שתתקדם.

תשלום כופר לא מבטיח שתקבל בחזרה גישה לנתונים שלך או שהתוקפים יקיימו את הבטחותיהם - קורבנות לעתים קרובות משלמים את הכופר, רק שלעולם לא יקבלו את מפתח הפענוח. יתרה מכך, תשלום כופר מנציח פעילות עבריינית ברשת ויכול לממן עוד יותר פשעי סייבר.

מניעת התקפות כופר עתידיות

כלי אבטחת דואר אלקטרוני ותוכנות נגד תוכנות זדוניות ואנטי וירוס הם קווי הגנה ראשונים קריטיים מפני התקפות כופר.

ארגונים מסתמכים גם על כלי אבטחה מתקדמים של נקודות קצה כמו חומות אש, VPNs ו אימות רב גורמים כחלק מאסטרטגיית הגנה רחבה יותר להגנה מפני פרצות מידע.

עם זאת, אף מערכת אבטחת סייבר אינה שלמה ללא יכולות מתקדמות של זיהוי איומים ותגובה לאירועים כדי לתפוס פושעי סייבר בזמן אמת ולהפחית את ההשפעה של מתקפות סייבר מוצלחות.

IBM Security® QRadar® SIEM מיישמת למידת מכונה וניתוח התנהגות משתמשים (UBA) על תעבורת רשת לצד יומנים מסורתיים לזיהוי איומים חכם יותר ותיקון מהיר יותר. במחקר שנערך לאחרונה על ידי Forrester, QRadar SIEM עזר לאנליסטי אבטחה לחסוך יותר מ-14,000 שעות במשך שלוש שנים על ידי זיהוי תוצאות שגויות, צמצום הזמן המושקע בחקירת תקריות ב-90% והפחתת הסיכון שלהם לחוות פרצת אבטחה חמורה ב-60%.* עם QRadar SIEM, צוותי אבטחה עתירי משאבים, יש להם את הנראות והניתוחים הדרושים להם כדי לזהות איומים במהירות ולנקוט פעולה מיידית ומושכלת כדי למזער את ההשפעות של התקפה.

למידע נוסף על IBM QRadar SIEM

*ה Total Economic ImpactTM של IBM Security QRadar SIEM הוא מחקר מוזמן שנערך על ידי Forrester Consulting מטעם IBM, אפריל, 2023. מבוסס על תוצאות חזויות של ארגון מורכב שעוצב על פי 4 לקוחות IBM שרואיינו. התוצאות בפועל ישתנו בהתבסס על תצורות ותנאים של הלקוח, ולכן לא ניתן לספק תוצאות צפויות בדרך כלל.