Як протистояти атаці програм-вимагачів – блог IBM

Це новина, яку жодна організація не хоче чути: ви стали жертвою вимагачів атакувати, і тепер ви думаєте, що робити далі. 

Перше, про що слід пам’ятати, що ви не самотні. Понад 17 відсотків усіх кібератак пов’язані з програмами-вимагачами— різновид шкідливих програм який зберігає дані або пристрій жертви заблокованими, якщо жертва не заплатить хакеру викуп. З 1,350 організацій, опитаних у нещодавньому дослідженні, 78 відсотків зазнали успішної атаки програм-вимагачів (посилання знаходиться за межами ibm.com).

Атаки програм-вимагачів використовують кілька методів або векторів для зараження мереж або пристроїв, у тому числі обманом змушують людей натискати шкідливі посилання за допомогою phishing електронні листи та використання вразливостей у програмному забезпеченні та операційних системах, таких як віддалений доступ. Кіберзлочинці зазвичай вимагають викуп у біткойнах та інших криптовалютах, які важко відстежити, надаючи жертвам ключі розшифровки під час оплати, щоб розблокувати їхні пристрої.

Хороша новина полягає в тому, що у випадку атаки програм-вимагачів будь-яка організація може виконати основні кроки, які допоможуть стримати атаку, захистити конфіденційну інформацію та забезпечити безперервність бізнесу шляхом мінімізації часу простою.

Початкова відповідь

Ізолювати уражені системи 

Оскільки найпоширеніші варіанти програм-вимагачів сканують мережі на наявність уразливостей, щоб поширюватися вбік, дуже важливо, щоб уражені системи були ізольовані якомога швидше. Відключіть Ethernet і вимкніть WiFi, Bluetooth та будь-які інші можливості мережі для будь-якого зараженого або потенційно зараженого пристрою.

Ще два кроки, які варто розглянути: 

• Вимкнення завдань обслуговування. Негайно вимкніть автоматичні завдання — наприклад, видалення тимчасових файлів або ротацію журналів — уражених систем. Ці завдання можуть перешкоджати роботі файлів і перешкоджати дослідженню та відновленню програм-вимагачів. 
• Відключення резервних копій. Оскільки багато нових типів програм-вимагачів спрямовані на резервне копіювання, щоб ускладнити відновлення, зберігайте резервні копії даних в автономному режимі. Обмежте доступ до систем резервного копіювання, доки ви не видалите зараження.

Сфотографуйте записку про викуп

Перш ніж щось робити далі, сфотографуйте записку про викуп — в ідеалі сфотографуйте екран постраждалого пристрою за допомогою окремого пристрою, як-от смартфона чи камери. Фотографія прискорить процес відновлення та допоможе під час подання заяви в поліцію або можливої ​​претензії до вашої страхової компанії.

Повідомте службу безпеки

Після того, як ви від’єднаєте уражені системи, повідомте про це свою ІТ-безпека команда атаки. У більшості випадків фахівці з ІТ-безпеки можуть порадити щодо наступних кроків і активувати ваші організації реагування на інциденти план, що означає процеси та технології вашої організації для виявлення та реагування на кібератаки.

Не перезапускайте уражені пристрої

Маючи справу з програмами-вимагачами, уникайте перезапуску заражених пристроїв. Хакери знають, що це може бути вашим першим інстинктом, і деякі типи програм-вимагачів помічають спроби перезапуску та завдають додаткової шкоди, як-от пошкодження Windows або видалення зашифрованих файлів. Перезавантаження також може ускладнити розслідування атак програм-вимагачів — цінні підказки зберігаються в пам’яті комп’ютера, яка стирається під час перезавантаження. 

Натомість переведіть уражені системи в сплячий режим. Це збереже всі дані в пам’яті у довідковому файлі на жорсткому диску пристрою, зберігаючи його для подальшого аналізу.

Ліквідація 

Тепер, коли ви ізолювали уражені пристрої, ви, ймовірно, захочете розблокувати свої пристрої та відновити дані. Хоча викорінення інфекцій-вимагачів може бути складним для лікування, особливо більш просунутих штамів, наступні кроки можуть розпочати вас на шляху до одужання. 

Визначити варіант атаки

Кілька безкоштовних інструментів можуть допомогти визначити тип програм-вимагачів, які заражають ваші пристрої. Знання конкретного штаму може допомогти вам зрозуміти кілька ключових факторів, зокрема те, як він поширюється, які файли блокує та як його можна видалити. Просто завантажте зразок зашифрованого файлу та, якщо вони у вас є, повідомлення про викуп і контактну інформацію зловмисника. 

Двома найпоширенішими типами програм-вимагачів є програми блокування екрана та шифрувальники. Блокувальники екрана блокують вашу систему, але зберігають ваші файли в безпеці, доки ви не заплатите, тоді як шифрувальники більш складні, оскільки вони знаходять і шифрують усі ваші конфіденційні дані та розшифровують їх лише після того, як ви сплатите викуп. 

Пошук засобів дешифрування

Визначивши штам програми-вимагача, подумайте про пошук інструментів дешифрування. Існують також безкоштовні інструменти, які допоможуть з цим кроком, зокрема такі сайти, як Немає більше викупу. Просто введіть назву штаму програми-вимагача та знайдіть відповідне розшифрування. 

Завантажте Повний посібник із програм-вимагачів

відновлення 

Якщо вам пощастило видалити програмне забезпечення-вимагач, настав час почати процес відновлення.

Почніть з оновлення системних паролів, а потім відновіть дані з резервних копій. Ви завжди повинні прагнути мати три копії своїх даних у двох різних форматах, причому одна копія зберігатиметься поза сайтом. Цей підхід, відомий як правило 3-2-1, дозволяє швидко відновити дані та уникнути виплати викупу. 

Після атаки вам також слід розглянути можливість проведення аудиту безпеки та оновлення всіх систем. Підтримка систем в актуальному стані допомагає запобігти використанню хакерами вразливостей, знайдених у старому програмному забезпеченні, а регулярне встановлення виправлень забезпечує актуальність, стабільність і стійкість ваших машин до загроз зловмисного програмного забезпечення. Ви також можете вдосконалити свій план реагування на інцидент з урахуванням будь-яких отриманих уроків і переконатися, що ви достатньою мірою повідомили про інцидент усім зацікавленим сторонам. 

Повідомляючі органи 

Оскільки програмне забезпечення-вимагач — це здирництво та злочин, вам слід завжди повідомляти про атаки програм-вимагачів правоохоронним органам або ФБР. 

Органи влади можуть допомогти розшифрувати ваші файли, якщо ваші зусилля з відновлення не спрацюють. Але навіть якщо вони не можуть зберегти ваші дані, для них дуже важливо каталогізувати діяльність кіберзлочинців і, сподіваюся, допомогти іншим уникнути подібної долі. 

Деякі жертви атак програм-вимагачів також можуть бути зобов’язані за законом повідомляти про зараження програмами-вимагачами. Наприклад, відповідність HIPAA зазвичай вимагає від установ охорони здоров’я повідомляти про будь-яке порушення даних, зокрема про атаки програм-вимагачів, до Департаменту охорони здоров’я та соціальних служб.

Вирішує чи платити 

Вирішивши чи сплачувати викуп це комплексне рішення. Більшість експертів вважають, що ви повинні розглядати можливість оплати, лише якщо ви спробували всі інші варіанти, і втрата даних буде значно шкідливішою, ніж оплата.

Незалежно від вашого рішення, ви завжди повинні проконсультуватися з представниками правоохоронних органів і фахівцями з кібербезпеки, перш ніж рухатися далі.

Сплата викупу не гарантує, що ви відновите доступ до своїх даних або що зловмисники дотримаються своїх обіцянок — жертви часто платять викуп, щоб ніколи не отримати ключ розшифровки. Крім того, сплата викупу продовжує діяльність кіберзлочинців і може додатково фінансувати кіберзлочини.

Запобігання майбутнім атакам програм-вимагачів

Інструменти безпеки електронної пошти та антивірусне програмне забезпечення є критично важливими першими лініями захисту від атак програм-вимагачів.

Організації також покладаються на розширені інструменти безпеки кінцевих точок, такі як брандмауери, VPN тощо багатофакторна аутентифікація як частину ширшої стратегії захисту даних для захисту від витоку даних.

Однак жодна система кібербезпеки не є повною без найсучасніших можливостей виявлення загроз і реагування на інциденти, щоб ловити кіберзлочинців у режимі реального часу та пом’якшувати наслідки успішних кібератак.

IBM Security® QRadar® SIEM застосовує машинне навчання та аналітику поведінки користувачів (UBA) до мережевого трафіку разом із традиційними журналами для ефективнішого виявлення загроз і швидшого усунення. У недавньому дослідженні Forrester QRadar SIEM допоміг аналітикам безпеки заощадити понад 14,000 90 годин протягом трьох років шляхом виявлення помилкових спрацьовувань, скорочення часу, витраченого на розслідування інцидентів, на 60% і зниження ризику серйозного порушення безпеки на XNUMX%.* Завдяки QRadar SIEM, команди безпеки з обмеженими ресурсами мають видимість і аналітику, необхідні для швидкого виявлення загроз і вжиття негайних обґрунтованих заходів для мінімізації наслідків атаки.

Дізнайтеся більше про IBM QRadar SIEM

* The Total Economic Impact™ IBM Security QRadar SIEM – це замовлене дослідження, проведене компанією Forrester Consulting від імені IBM у квітні 2023 р. Базується на прогнозованих результатах складної організації, змодельованих на основі 4 опитаних клієнтів IBM. Фактичні результати відрізнятимуться залежно від конфігурацій і умов клієнта, тому очікувані результати неможливо надати.