Hvordan håndtere et løsepenge-angrep – IBM Blog

Det er nyhetene ingen organisasjoner ønsker å høre - du har vært offer for en ransomware angrep, og nå lurer du på hva du skal gjøre videre. 

Det første du må huske på er at du ikke er alene. Over 17 prosent av alle nettangrep involverer løsepengevare-en slags malware som holder et offers data eller enhet låst med mindre offeret betaler en løsepenge til hackeren. Av de 1,350 organisasjonene som ble undersøkt i en fersk studie, 78 prosent fikk et vellykket løsepenge-angrep (lenken ligger utenfor ibm.com).

Ransomware-angrep bruker flere metoder, eller vektorer, for å infisere nettverk eller enheter, inkludert å lure enkeltpersoner til å klikke på skadelige lenker ved å bruke phishing e-post og utnyttelse av sårbarheter i programvare og operativsystemer, for eksempel fjerntilgang. Nettkriminelle ber vanligvis om løsepenger i Bitcoin og andre vanskelige å spore kryptovalutaer, og gir ofre dekrypteringsnøkler ved betaling for å låse opp enhetene sine.

Den gode nyheten er at i tilfelle et løsepenge-angrep, er det grunnleggende trinn enhver organisasjon kan følge for å hjelpe til med å begrense angrepet, beskytte sensitiv informasjon og sikre forretningskontinuitet ved å minimere nedetid.

Innledende respons

Isoler berørte systemer 

Fordi de vanligste løsepengevarevariantene skanner nettverk for sårbarheter for å spre seg sideveis, er det avgjørende at berørte systemer isoleres så raskt som mulig. Koble fra Ethernet og deaktiver WiFi, Bluetooth og andre nettverksfunksjoner for alle infiserte eller potensielt infiserte enheter.

To andre trinn å vurdere: 

• Slå av vedlikeholdsoppgaver. Deaktiver automatiske oppgaver – f.eks. sletting av midlertidige filer eller roterende logger – berørte systemer umiddelbart. Disse oppgavene kan forstyrre filer og hemme etterforskning og gjenoppretting av løsepengevare. 
• Koble fra sikkerhetskopier. Fordi mange nye typer løsepengevare er rettet mot sikkerhetskopiering for å gjøre gjenoppretting vanskeligere, hold sikkerhetskopier av data offline. Begrens tilgangen til sikkerhetskopieringssystemer til du har fjernet infeksjonen.

Fotografer løsepengene

Før du går videre med noe annet, ta et bilde av løsepengene – ideelt sett ved å fotografere skjermen til den berørte enheten med en separat enhet som en smarttelefon eller et kamera. Bildet vil fremskynde gjenopprettingsprosessen og hjelpe når du skal inngi en politianmeldelse eller et mulig krav til forsikringsselskapet ditt.

Gi beskjed til sikkerhetsteamet

Når du har koblet fra de berørte systemene, varsle din IT-sikkerhet angrepets team. I de fleste tilfeller kan IT-sikkerhetseksperter gi råd om de neste trinnene og aktivere organisasjonens hendelsesrespons plan, som betyr organisasjonens prosesser og teknologier for å oppdage og svare på nettangrep.

Ikke start berørte enheter på nytt

Når du arbeider med løsepengevare, unngå å starte infiserte enheter på nytt. Hackere vet at dette kan være ditt første instinkt, og noen typer løsepengevare varsler omstartsforsøk og forårsaker ytterligere skade, som å skade Windows eller slette krypterte filer. Omstart kan også gjøre det vanskeligere å etterforske ransomware-angrep – verdifulle ledetråder lagres i datamaskinens minne, som blir slettet under en omstart. 

Sett i stedet de berørte systemene i dvalemodus. Dette vil lagre alle data i minnet til en referansefil på enhetens harddisk, og bevare den for fremtidig analyse.

utrydding 

Nå som du har isolert berørte enheter, er du sannsynligvis ivrig etter å låse opp enhetene dine og gjenopprette dataene dine. Selv om utryddelse av løsepenge-infeksjoner kan være komplisert å håndtere, spesielt de mer avanserte stammene, kan følgende trinn starte deg på veien til bedring. 

Bestem angrepsvarianten

Flere gratisverktøy kan hjelpe med å identifisere typen løsepengeprogram som infiserer enhetene dine. Å kjenne den spesifikke stammen kan hjelpe deg med å forstå flere nøkkelfaktorer, inkludert hvordan den sprer seg, hvilke filer den låser og hvordan du kan fjerne den. Bare last opp et utvalg av den krypterte filen og, hvis du har dem, en løsepengenota og angriperens kontaktinformasjon. 

De to vanligste typene løsepengeprogramvare er skjermskap og krypteringer. Skjermlåser låser systemet ditt, men holder filene dine trygge til du betaler, mens krypteringer er mer utfordrende å håndtere siden de finner og krypterer alle sensitive data og dekrypterer dem først etter at du har foretatt løsepengebetalingen. 

Søk etter dekrypteringsverktøy

Når du har identifisert løsepengevarestammen, bør du vurdere å se etter dekrypteringsverktøy. Det finnes også gratisverktøy for å hjelpe med dette trinnet, inkludert nettsteder som Ikke mer løsepenger. Bare plugg inn navnet på løsepengevarestammen og søk etter den samsvarende dekrypteringen. 

Last ned den endelige guiden til ransomware

Gjenoppretting 

Hvis du har vært så heldig å fjerne ransomware-infeksjonen, er det på tide å starte gjenopprettingsprosessen.

Start med å oppdatere systempassordene dine, og gjenopprett deretter dataene dine fra sikkerhetskopier. Du bør alltid sikte på å ha tre kopier av dataene dine i to forskjellige formater, med en kopi lagret utenfor stedet. Denne tilnærmingen, kjent som 3-2-1-regelen, lar deg gjenopprette dataene dine raskt og unngå løsepenger. 

Etter angrepet bør du også vurdere å gjennomføre en sikkerhetsrevisjon og oppdatere alle systemer. Å holde systemene oppdatert hjelper til med å forhindre hackere i å utnytte sårbarheter som finnes i eldre programvare, og regelmessig oppdatering holder maskinene oppdaterte, stabile og motstandsdyktige mot trusler mot skadelig programvare. Det kan også være lurt å avgrense responsplanen for hendelser med eventuelle erfaringer og sørge for at du har kommunisert hendelsen tilstrekkelig til alle nødvendige interessenter. 

Varsle myndigheter 

Fordi løsepengevare er utpressing og en forbrytelse, bør du alltid rapportere løsepengevareangrep til politi eller FBI. 

Myndighetene kan kanskje hjelpe deg med å dekryptere filene dine hvis gjenopprettingsarbeidet ikke fungerer. Men selv om de ikke kan lagre dataene dine, er det avgjørende for dem å katalogisere nettkriminell aktivitet og, forhåpentligvis, hjelpe andre med å unngå lignende skjebner. 

Noen ofre for ransomware-angrep kan også være lovpålagt å rapportere ransomware-infeksjoner. For eksempel krever overholdelse av HIPAA generelt at helsevesenet rapporterer ethvert datainnbrudd, inkludert løsepengevareangrep, til Department of Health and Human Services.

Bestemmer om du skal betale 

Avgjør om du skal betale løsepenger er en kompleks avgjørelse. De fleste eksperter foreslår at du bare bør vurdere å betale hvis du har prøvd alle andre alternativer og datatapet vil være betydelig mer skadelig enn betalingen.

Uavhengig av avgjørelsen din bør du alltid rådføre deg med politimyndigheter og cybersikkerhetseksperter før du går videre.

Å betale løsepenger garanterer ikke at du får tilbake tilgang til dataene dine eller at angriperne vil holde det de lover – ofre betaler ofte løsepenger, bare for å aldri motta dekrypteringsnøkkelen. Dessuten opprettholder betaling av løsepenger nettkriminell aktivitet og kan finansiere nettkriminalitet ytterligere.

Forhindre fremtidige ransomware-angrep

E-postsikkerhetsverktøy og anti-malware og antivirusprogramvare er kritiske første forsvarslinjer mot løsepenge-angrep.

Organisasjoner er også avhengige av avanserte endepunktsikkerhetsverktøy som brannmurer, VPN-er og multifaktorautentisering som en del av en bredere databeskyttelsesstrategi for å forsvare seg mot datainnbrudd.

Ingen nettsikkerhetssystem er imidlertid komplett uten toppmoderne trusseldeteksjons- og hendelsesresponsfunksjoner for å fange nettkriminelle i sanntid og redusere virkningen av vellykkede nettangrep.

IBM Security® QRadar® SIEM bruker maskinlæring og brukeratferdsanalyse (UBA) på nettverkstrafikk sammen med tradisjonelle logger for smartere trusseldeteksjon og raskere utbedring. I en nylig Forrester-studie hjalp QRadar SIEM sikkerhetsanalytikere med å spare mer enn 14,000 90 timer i løpet av tre år ved å identifisere falske positiver, redusere tidsbruken på å undersøke hendelser med 60 % og redusere risikoen for å oppleve et alvorlig sikkerhetsbrudd med XNUMX %.* Med QRadar SIEM, ressursanstrengte sikkerhetsteam har synligheten og analysene de trenger for å oppdage trusler raskt og iverksette umiddelbare, informerte tiltak for å minimere effekten av et angrep.

Lær mer om IBM QRadar SIEM

*De Total Economic ImpactTM av IBM Security QRadar SIEM er en oppdragsstudie utført av Forrester Consulting på vegne av IBM, april 2023. Basert på anslåtte resultater fra en sammensatt organisasjon modellert fra 4 intervjuede IBM-kunder. Faktiske resultater vil variere basert på klientkonfigurasjoner og -forhold, og derfor kan generelt forventede resultater ikke gis.