Jak sobie poradzić z atakiem ransomware — blog IBM

To wiadomość, której żadna organizacja nie chce słyszeć – padłeś ofiarą... ransomware ataku i teraz zastanawiasz się, co dalej. 

Pierwszą rzeczą, o której należy pamiętać, jest to, że nie jesteś sam. Ponad 17 procent wszystkich cyberataków wykorzystuje oprogramowanie ransomware-rodzaj malware która blokuje dane lub urządzenie ofiary, chyba że ofiara zapłaci hakerowi okup. Spośród 1,350 organizacji objętych niedawnym badaniem 78 procent doświadczyło udanego ataku ransomware (łącze znajduje się poza witryną ibm.com).

Ataki ransomware wykorzystują kilka metod lub wektorów do infekowania sieci lub urządzeń, w tym nakłaniania osób do kliknięcia złośliwych łączy za pomocą phishing e-maili oraz wykorzystywanie luk w oprogramowaniu i systemach operacyjnych, np. w przypadku dostępu zdalnego. Cyberprzestępcy zazwyczaj żądają zapłaty okupu w Bitcoinach i innych trudnych do wyśledzenia kryptowalutach, dostarczając ofiarom klucze odszyfrowujące po dokonaniu płatności w celu odblokowania ich urządzeń.

Dobra wiadomość jest taka, że ​​w przypadku ataku oprogramowania ransomware każda organizacja może podjąć podstawowe kroki, aby powstrzymać atak, chronić poufne informacje i zapewnić ciągłość działania poprzez minimalizację przestojów.

Pierwsza odpowiedź

Odizoluj dotknięte systemy 

Ponieważ najpopularniejsze odmiany oprogramowania ransomware skanują sieci w poszukiwaniu luk, które mogą rozprzestrzeniać się wszerz, bardzo ważne jest, aby systemy, których dotyczy problem, zostały jak najszybciej odizolowane. Odłącz sieć Ethernet i wyłącz Wi-Fi, Bluetooth i wszelkie inne funkcje sieciowe dla każdego zainfekowanego lub potencjalnie zainfekowanego urządzenia.

Dwa inne kroki do rozważenia: 

• Wyłączanie zadań konserwacyjnych. Natychmiast wyłącz automatyczne zadania — np. usuwanie plików tymczasowych lub obracanie dzienników — których dotyczy problem. Zadania te mogą kolidować z plikami i utrudniać badanie i odzyskiwanie oprogramowania ransomware. 
• Odłączanie kopii zapasowych. Ponieważ wiele nowych typów oprogramowania ransomware celuje w kopie zapasowe, aby utrudnić odzyskiwanie, przechowuj kopie zapasowe danych w trybie offline. Ogranicz dostęp do systemów kopii zapasowych do czasu usunięcia infekcji.

Sfotografuj żądanie okupu

Zanim zajmiesz się czymkolwiek innym, zrób zdjęcie żądania okupu — najlepiej fotografując ekran urządzenia, którego dotyczy problem, za pomocą osobnego urządzenia, takiego jak smartfon lub aparat. Zdjęcie przyspieszy proces odzyskiwania i pomoże w złożeniu raportu policyjnego lub ewentualnego roszczenia w firmie ubezpieczeniowej.

Powiadom zespół ds. bezpieczeństwa

Po odłączeniu systemów, których dotyczy problem, powiadom swojego Bezpieczeństwo IT zespół ataku. W większości przypadków specjaliści ds. bezpieczeństwa IT mogą doradzić dalsze kroki i aktywować Twoją organizację reakcja na incydent plan, czyli procesy i technologie Twojej organizacji służące do wykrywania cyberataków i reagowania na nie.

Nie uruchamiaj ponownie urządzeń, których to dotyczy

Jeśli masz do czynienia z oprogramowaniem ransomware, unikaj ponownego uruchamiania zainfekowanych urządzeń. Hakerzy wiedzą, że może to być Twój pierwszy odruch, a niektóre typy oprogramowania ransomware wykrywają próby ponownego uruchomienia i powodują dodatkowe szkody, takie jak uszkodzenie systemu Windows lub usunięcie zaszyfrowanych plików. Ponowne uruchomienie może również utrudnić badanie ataków ransomware — cenne wskazówki są przechowywane w pamięci komputera, która zostaje wymazana podczas ponownego uruchomienia. 

Zamiast tego przełącz systemy, których dotyczy problem, w stan hibernacji. Spowoduje to zapisanie wszystkich danych w pamięci w pliku referencyjnym na dysku twardym urządzenia, zachowując je do przyszłej analizy.

Zwalczanie 

Teraz, gdy odizolowałeś urządzenia, których dotyczy problem, prawdopodobnie zechcesz je odblokować i odzyskać dane. Chociaż wyeliminowanie infekcji ransomware może być trudne w zarządzaniu, szczególnie w przypadku bardziej zaawansowanych odmian, poniższe kroki mogą pomóc Ci na drodze do wyzdrowienia. 

Określ wariant ataku

Kilka bezpłatnych narzędzi może pomóc zidentyfikować typ oprogramowania ransomware infekującego Twoje urządzenia. Znajomość konkretnego szczepu może pomóc w zrozumieniu kilku kluczowych czynników, w tym sposobu jego rozprzestrzeniania się, jakie pliki blokuje i sposobu, w jaki można go usunąć. Po prostu prześlij próbkę zaszyfrowanego pliku i, jeśli je posiadasz, żądanie okupu i dane kontaktowe osoby atakującej. 

Dwa najpopularniejsze typy oprogramowania ransomware to programy blokujące ekran i programy szyfrujące. Blokady ekranu blokują Twój system, ale chronią Twoje pliki, dopóki nie zapłacisz, podczas gdy programy szyfrujące są trudniejsze do rozwiązania, ponieważ znajdują i szyfrują wszystkie Twoje wrażliwe dane, a odszyfrowują je dopiero po dokonaniu płatności okupu. 

Wyszukaj narzędzia do odszyfrowania

Po zidentyfikowaniu odmiany oprogramowania ransomware rozważ poszukiwanie narzędzi do odszyfrowania. Istnieją również bezpłatne narzędzia pomocne w tym kroku, w tym strony takie jak Nie więcej okupu. Po prostu wpisz nazwę odmiany oprogramowania ransomware i wyszukaj pasujący plik odszyfrowujący. 

Pobierz ostateczny przewodnik po oprogramowaniu ransomware

regeneracja 

Jeśli udało Ci się usunąć infekcję ransomware, czas rozpocząć proces odzyskiwania.

Zacznij od aktualizacji haseł systemowych, a następnie odzyskaj dane z kopii zapasowych. Zawsze należy dążyć do posiadania trzech kopii danych w dwóch różnych formatach, przy czym jedna kopia będzie przechowywana poza siedzibą firmy. Takie podejście, znane jako zasada 3-2-1, pozwala szybko przywrócić dane i uniknąć płacenia okupu. 

Po ataku warto także rozważyć przeprowadzenie audytu bezpieczeństwa i aktualizację wszystkich systemów. Aktualizowanie systemów pomaga zapobiegać wykorzystywaniu przez hakerów luk znalezionych w starszym oprogramowaniu, a regularne instalowanie poprawek zapewnia aktualność, stabilność i odporność komputerów na zagrożenia ze strony złośliwego oprogramowania. Możesz także udoskonalić swój plan reagowania na incydenty, uwzględniając zdobyte doświadczenia i upewnić się, że poinformowałeś o incydencie w wystarczającym stopniu wszystkich niezbędnych interesariuszy. 

Władze powiadamiające 

Ponieważ oprogramowanie ransomware jest wymuszeniami i przestępstwem, należy zawsze zgłaszać ataki oprogramowania ransomware funkcjonariuszom organów ścigania lub FBI. 

Władze mogą pomóc w odszyfrowaniu plików, jeśli próby odzyskania danych nie przyniosą skutku. Ale nawet jeśli nie będą mogli zapisać Twoich danych, niezwykle ważne jest, aby skatalogowali aktywność cyberprzestępczą i, miejmy nadzieję, pomogli innym uniknąć podobnego losu. 

Niektóre ofiary ataków ransomware mogą być również prawnie zobowiązane do zgłaszania infekcji ransomware. Na przykład zgodność z ustawą HIPAA zasadniczo wymaga, aby podmioty świadczące opiekę zdrowotną zgłaszały wszelkie naruszenia bezpieczeństwa danych, w tym ataki oprogramowania ransomware, Departamentowi Zdrowia i Opieki Społecznej.

Podejmowanie decyzji, czy zapłacić 

Decydowanie czy zapłacić okup to złożona decyzja. Większość ekspertów sugeruje, że płatność należy rozważyć tylko wtedy, gdy wypróbowałeś wszystkie inne opcje, a utrata danych byłaby znacznie bardziej szkodliwa niż płatność.

Niezależnie od podjętej decyzji, przed podjęciem dalszych działań należy zawsze skonsultować się z funkcjonariuszami organów ścigania i specjalistami ds. cyberbezpieczeństwa.

Zapłata okupu nie gwarantuje odzyskania dostępu do swoich danych ani tego, że napastnicy dotrzymają obietnic — ofiary często płacą okup, ale nigdy nie otrzymują klucza odszyfrowania. Co więcej, płacenie okupu utrwala działalność cyberprzestępczą i może w jeszcze większym stopniu finansować cyberprzestępczość.

Zapobieganie przyszłym atakom oprogramowania ransomware

Narzędzia do zabezpieczania poczty e-mail oraz oprogramowanie chroniące przed złośliwym oprogramowaniem i wirusami stanowią krytyczną pierwszą linię obrony przed atakami oprogramowania ransomware.

Organizacje polegają również na zaawansowanych narzędziach bezpieczeństwa punktów końcowych, takich jak zapory ogniowe, sieci VPN i wieloczynnikowe uwierzytelnianie jako część szerszej strategii ochrony danych w celu ochrony przed naruszeniami danych.

Żaden system cyberbezpieczeństwa nie jest jednak kompletny bez najnowocześniejszych możliwości wykrywania zagrożeń i reagowania na incydenty, aby łapać cyberprzestępców w czasie rzeczywistym i łagodzić skutki skutecznych cyberataków.

IBM Security® QRadar® SIEM wykorzystuje uczenie maszynowe i analizę zachowań użytkowników (UBA) do ruchu sieciowego, równolegle z tradycyjnymi dziennikami, w celu inteligentniejszego wykrywania zagrożeń i szybszego reagowania. W niedawnym badaniu firmy Forrester rozwiązanie QRadar SIEM pomogło analitykom bezpieczeństwa zaoszczędzić ponad 14,000 90 godzin w ciągu trzech lat, identyfikując fałszywe alarmy, skracając czas poświęcany na badanie incydentów o 60% i zmniejszając ryzyko wystąpienia poważnego naruszenia bezpieczeństwa o XNUMX%.* Dzięki QRadar SIEM, obciążone zasoby zespoły ds. bezpieczeństwa dysponują wglądem i analizami niezbędnymi do szybkiego wykrywania zagrożeń i podejmowania natychmiastowych, świadomych działań w celu zminimalizowania skutków ataku.

Dowiedz się więcej o IBM QRadar SIEM

* Całkowity wpływ ekonomicznyTM rozwiązania IBM Security QRadar SIEM to badanie zlecone przez firmę Forrester Consulting na zlecenie IBM, kwiecień 2023 r. Na podstawie przewidywanych wyników złożonej organizacji modelowanej na podstawie 4 klientów IBM, z którymi przeprowadzono wywiady. Rzeczywiste wyniki będą się różnić w zależności od konfiguracji i warunków klienta, dlatego nie można zapewnić ogólnie oczekiwanych wyników.