Hur man hanterar en ransomware-attack – IBM Blog

Det är nyheterna som ingen organisation vill höra - du har blivit offer för en Ransomware attack, och nu undrar du vad du ska göra härnäst. 

Det första du bör tänka på är att du inte är ensam. Över 17 procent av alla cyberattacker involverar ransomware-en typ av malware som håller ett offers data eller enhet låst om inte offret betalar en lösensumma till hackaren. Av de 1,350 XNUMX organisationer som undersöktes i en nyligen genomförd studie, 78 procent drabbades av en lyckad ransomware-attack (länken finns utanför ibm.com).

Ransomware-attacker använder flera metoder, eller vektorer, för att infektera nätverk eller enheter, inklusive att lura individer att klicka på skadliga länkar med hjälp av Nätfiske e-postmeddelanden och utnyttjande av sårbarheter i programvara och operativsystem, såsom fjärråtkomst. Cyberbrottslingar begär vanligtvis lösensumma i Bitcoin och andra svårspårbara kryptovalutor, vilket ger offren dekrypteringsnycklar vid betalning för att låsa upp sina enheter.

Den goda nyheten är att i händelse av en ransomware-attack finns det grundläggande steg som alla organisationer kan följa för att hjälpa till att begränsa attacken, skydda känslig information och säkerställa kontinuitet i verksamheten genom att minimera driftstopp.

Inledande svar

Isolera berörda system 

Eftersom de vanligaste varianterna av ransomware söker igenom nätverk efter sårbarheter för att spridas i sidled, är det viktigt att de drabbade systemen isoleras så snabbt som möjligt. Koppla från Ethernet och inaktivera WiFi, Bluetooth och alla andra nätverksfunktioner för alla infekterade eller potentiellt infekterade enheter.

Två andra steg att överväga: 

• Stänga av underhållsuppgifter. Inaktivera omedelbart automatiska uppgifter – t.ex. radering av temporära filer eller roterande loggar – berörda system. Dessa uppgifter kan störa filer och hindra ransomware-utredning och återställning. 
• Kopplar bort säkerhetskopior. Eftersom många nya typer av ransomware är inriktade på säkerhetskopior för att göra återställning svårare, behåll datasäkerhetskopiering offline. Begränsa åtkomsten till säkerhetskopieringssystem tills du har tagit bort infektionen.

Fotografera lösensumman

Innan du går vidare med något annat, ta ett foto av lösensumman - helst genom att fotografera skärmen på den drabbade enheten med en separat enhet som en smartphone eller kamera. Bilden kommer att påskynda återhämtningsprocessen och hjälpa till när du lämnar in en polisanmälan eller en eventuell skadeanmälan till ditt försäkringsbolag.

Meddela säkerhetsteamet

När du har kopplat bort de berörda systemen, meddela din IT-säkerhet anfallets team. I de flesta fall kan IT-säkerhetsproffs ge råd om nästa steg och aktivera din organisations incidentrespons plan, vilket innebär din organisations processer och teknologier för att upptäcka och reagera på cyberattacker.

Starta inte om berörda enheter

Undvik att starta om infekterade enheter när du hanterar ransomware. Hackare vet att detta kan vara din första instinkt, och vissa typer av ransomware uppmärksammar omstartsförsök och orsakar ytterligare skada, som att skada Windows eller ta bort krypterade filer. Omstart kan också göra det svårare att undersöka ransomware-attacker – värdefulla ledtrådar lagras i datorns minne, som raderas under en omstart. 

Lägg istället de drabbade systemen i viloläge. Detta kommer att spara all data i minnet till en referensfil på enhetens hårddisk och bevara den för framtida analys.

utrotning 

Nu när du har isolerat berörda enheter är du förmodligen ivrig att låsa upp dina enheter och återställa din data. Även om utrotning av ransomware-infektioner kan vara komplicerat att hantera, särskilt de mer avancerade stammarna, kan följande steg starta dig på vägen till återhämtning. 

Bestäm attackvarianten

Flera gratisverktyg kan hjälpa till att identifiera vilken typ av ransomware som infekterar dina enheter. Att känna till den specifika stammen kan hjälpa dig att förstå flera nyckelfaktorer, inklusive hur den sprider sig, vilka filer den låser och hur du kan ta bort den. Ladda bara upp ett prov av den krypterade filen och, om du har dem, en lösennota och angriparens kontaktinformation. 

De två vanligaste typerna av ransomware är skärmskåp och krypteringar. Skärmskåp låser ditt system men håller dina filer säkra tills du betalar, medan krypteringar är mer utmanande att hantera eftersom de hittar och krypterar all din känsliga data och dekrypterar den först efter att du har gjort lösensumman. 

Sök efter dekrypteringsverktyg

När du har identifierat ransomware-stammen, överväg att leta efter dekrypteringsverktyg. Det finns också gratisverktyg för att hjälpa till med detta steg, inklusive webbplatser som Inget mer lösenbelopp. Anslut bara namnet på ransomware-stammen och sök efter den matchande dekrypteringen. 

Ladda ner den definitiva guiden till Ransomware

Återvinning 

Om du har haft turen att ta bort ransomware-infektionen är det dags att starta återställningsprocessen.

Börja med att uppdatera dina systemlösenord och återställ sedan dina data från säkerhetskopior. Du bör alltid sträva efter att ha tre kopior av din data i två olika format, med en kopia lagrad på annan plats. Detta tillvägagångssätt, känd som 3-2-1-regeln, låter dig återställa dina data snabbt och undvika lösensumma. 

Efter attacken bör du också överväga att göra en säkerhetsrevision och uppdatera alla system. Att hålla systemen uppdaterade hjälper till att förhindra hackare från att utnyttja sårbarheter som finns i äldre programvara, och regelbunden patchning håller dina maskiner aktuella, stabila och motståndskraftiga mot skadlig programvara. Du kanske också vill förfina din incidentresponsplan med eventuella lärdomar och se till att du har kommunicerat incidenten tillräckligt till alla nödvändiga intressenter. 

Anmälande myndigheter 

Eftersom ransomware är utpressning och ett brott, bör du alltid rapportera ransomware-attacker till brottsbekämpande tjänstemän eller FBI. 

Myndigheterna kanske kan hjälpa till att dekryptera dina filer om dina återställningsinsatser inte fungerar. Men även om de inte kan spara dina data, är det viktigt för dem att katalogisera cyberkriminell aktivitet och förhoppningsvis hjälpa andra att undvika liknande öden. 

Vissa offer för ransomware-attacker kan också vara juridiskt skyldiga att rapportera ransomware-infektioner. Till exempel kräver HIPAA-efterlevnad i allmänhet att hälso- och sjukvårdsenheter rapporterar alla dataintrång, inklusive ransomware-attacker, till Department of Health and Human Services.

Beslutar om man ska betala 

Avgörande om man ska betala lösen är ett komplicerat beslut. De flesta experter föreslår att du bara bör överväga att betala om du har provat alla andra alternativ och dataförlusten skulle vara betydligt mer skadlig än betalningen.

Oavsett ditt beslut bör du alltid rådgöra med brottsbekämpande tjänstemän och cybersäkerhetspersonal innan du går vidare.

Att betala en lösensumma garanterar inte att du återfår tillgång till dina data eller att angriparna kommer att hålla sina löften – offer betalar ofta lösensumman, bara för att aldrig få dekrypteringsnyckeln. Att betala lösensummor vidmakthåller dessutom cyberkriminalitet och kan ytterligare finansiera cyberbrott.

Förhindra framtida ransomware-attacker

E-postsäkerhetsverktyg och anti-malware och antivirusprogram är viktiga första försvarslinjer mot ransomware-attacker.

Organisationer förlitar sig också på avancerade verktyg för slutpunktssäkerhet som brandväggar, VPN och multifaktorautentisering som en del av en bredare dataskyddsstrategi för att försvara sig mot dataintrång.

Inget cybersäkerhetssystem är dock komplett utan toppmoderna hotdetektions- och incidentresponsfunktioner för att fånga cyberbrottslingar i realtid och mildra effekterna av framgångsrika cyberattacker.

IBM Security® QRadar® SIEM tillämpar maskininlärning och användarbeteendeanalys (UBA) på nätverkstrafik tillsammans med traditionella loggar för smartare hotdetektering och snabbare åtgärdande. I en nyligen genomförd Forrester-studie hjälpte QRadar SIEM säkerhetsanalytiker att spara mer än 14,000 90 timmar under tre år genom att identifiera falska positiva resultat, minska tiden som ägnas åt att undersöka incidenter med 60 % och minska deras risk att uppleva ett allvarligt säkerhetsintrång med XNUMX %.* Med QRadar SIEM, resursansträngda säkerhetsteam har den synlighet och analys de behöver för att snabbt upptäcka hot och vidta omedelbara, informerade åtgärder för att minimera effekterna av en attack.

Läs mer om IBM QRadar SIEM

*De Total Economic ImpactTM av IBM Security QRadar SIEM är en beställd studie utförd av Forrester Consulting på uppdrag av IBM, april 2023. Baserat på projicerade resultat av en sammansatt organisation som modellerats från 4 intervjuade IBM-kunder. Faktiska resultat kommer att variera beroende på klientkonfigurationer och villkor och därför kan generellt förväntade resultat inte tillhandahållas.