Postępowanie w przypadku ataku typu ransomware

Atak ransomware to jedno z największych zagrożeń, z jakimi borykają się użytkownicy Internetu. W tym artykule opisujemy, co dzieje się podczas ataku ransomware i jakie kroki należy podjąć, aby zabezpieczyć swoją organizację przed konsekwencjami takiego ataku.

Jak poradzić sobie z atakiem ransomware

Ataki ransomware stanowią ogromne zagrożenie dla organizacji, ponieważ mają ogromny wpływ na ich zdolność do działania, a odzyskanie sprawności po ataku zajmuje średnio miesiąc. Bardzo mocno zakłócają działanie firm i jest to wektor zagrożeń na coraz wyższym poziomie. Przewiduje się, że do 2031 roku przedsiębiorstwa będą padały ofiarą ataku ransomware co drugą sekundę (wzrost z co 11 sekund w 2021 roku).

Co to jest atak ransomware?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane organizacji, aby nie można było uzyskać do nich dostępu. Atakujący zwykle żądają okupu – średnio 570 tys. dolarów – a po jego zapłaceniu przekazują organizacji klucze deszyfrujące umożliwiające odzyskanie dostępu do danych.

Żaden konkretny sektor nie jest bezpieczny, ale przestępcy wykorzystujący oprogramowanie ransomware zazwyczaj biorą na celownik organizacje na podstawie dwóch kryteriów:

• Szansa na powodzenie ataku: na przykład firmy, w których bezpieczeństwem zajmują się niewielkie zespoły, firmy z niewielkimi zasobami IT lub organizacje wykorzystujące duże ilości danych.

• Potencjalne korzyści finansowe: firmy, które wymagają natychmiastowego dostępu do swoich plików i są bardziej skłonne do szybkiego zapłacenia okupu – takie jak kancelarie prawne lub agencje rządowe.
  

Cyberprzestępcy mogą uzyskać dostęp do danych organizacyjnych za pomocą różnych taktyk, takich jak:

• Phishing: wykorzystywanie technik inżynierii społecznej w celu nakłonienia użytkowników do zrobienia czegoś, np. kliknięcia złośliwego łącza w wiadomości e-mail.

• Dostęp zdalny: skanowanie Internetu w poszukiwaniu otwartych portów, takich jak protokół zdalnego pulpitu, oraz przechwytywanie ważnych danych uwierzytelniających przez rozwiązanie zdalnego dostępu.

• Naruszenie konta uprzywilejowanego: wykorzystywanie kont administratorów do uzyskiwania dostępu do większej liczby systemów i wrażliwych danych.

• Znane luki w oprogramowaniu/aplikacjach: wykorzystywanie znanych luk w zabezpieczeniach, dla których były dostępne poprawki naprawiające problem, ale nie zostały zastosowane.
  

Przed zaszyfrowaniem danych przestępca może wykonać ich kopię i zagrozić wyciekiem danych, jeśli okup nie zostanie zapłacony w odpowiednim czasie. Nazywamy to „podwójnym wymuszeniem”. Gdy szyfrowanie się rozpocznie, przebiega szybko – średni wariant ransomware może zaszyfrować prawie 100 000 plików o łącznej wielkości 54,93 GB w zaledwie 42 minuty i 52 sekundy – dlatego szybkość jest kluczowa podczas podejmowania działań po ataku.

Co zrobić w przypadku ataku ransomware

Gdy tylko dowiesz się, że jesteś ofiarą ataku ransomware – zwykle na ekranie pojawia się duże powiadomienie – konieczne jest odizolowanie zainfekowanego urządzenia. Usuń kable sieciowe i do transmisji danych, USB i klucze sprzętowe, a także wyłącz Wi-Fi i Bluetooth, aby uniemożliwić urządzeniu nawiązanie jakiegokolwiek połączenia, które mogłoby spowodować rozprzestrzenienie się zagrożenia.

W tych pierwszych chwilach prawdopodobnie pojawi się adrenalina, a także uczucie szoku, złości i strachu. Ważne jest, aby nie wpadać w panikę i zachować spokój podczas oceny sytuacji. Jednym ze sposobów osiągnięcia tego celu są symulacje oprogramowania ransomware, w których pracownicy firmy uczą się, w jaki sposób reagować po ataku, tak aby szybko i spokojnie opanować sytuację:

Powiadomienie przedsiębiorstw/kontaktów

Ważne jest, aby wszystkie komunikaty były kierowane przez centralny punkt w organizacji, aby zapobiec wszelkim błędnym informacjom lub zamieszaniu. Ważne jest, aby nie rozmawiać z mediami ani nie publikować niczego w mediach społecznościowych. Ogłoszenia PR muszą być starannie przygotowane, aby nie wzbudzać niepokoju u udziałowców, interesariuszy i na szerszym rynku.

Gdy wiadomo już o ataku, należy powiadomić o zagrożeniu wszystkich pracowników firmy. Jeśli ktokolwiek podejrzewa, że jego urządzenie jest zainfekowane, musi je natychmiast odizolować od sieci. Najlepsze praktyki mówią również, że użytkownicy powinni zresetować wszystkie swoje dane uwierzytelniające – zwłaszcza dla kont uprzywilejowanych – aby uniemożliwić przestępcom zebranie cennych danych, które mogłyby zostać wykorzystane do przeprowadzenia kolejnych ataków.

Identyfikacja typu oprogramowania ransomware

Korzystając z narzędzia do skanowania złośliwego oprogramowania, na urządzeniu lub za pośrednictwem Centrum Operacji Bezpieczeństwa organizacji, uruchom skanowanie złośliwego oprogramowania, aby pomóc zidentyfikować, jakie oprogramowanie ransomware zostało użyte, ponieważ pomoże to określić działania naprawcze, które należy podjąć.

Dodatkowo, zrób notatki na temat ataku, w tym datę, godzinę, szczegóły pliku, pierwsze oznaki ransomware, zainfekowane urządzenia, działania wykonywane bezpośrednio przed atakiem, czas podłączenia urządzenia. Rób także zdjęcia i nagrywaj podejrzane programy, pliki i wyskakujące okienka.

Wszystkie te informacje zostaną następnie wprowadzone do narzędzia do identyfikacji oprogramowania ransomware, aby pomóc określić, co zaatakowało firmę i jakie działania naprawcze należy podjąć.

Zapłata okupu

Specjaliści od cyberbezpieczeństwa i agencje federalne są zgodne: nie należy płacić okupu.

Badania wskazują, że tylko 3 na 5 organizacji odzyskało dostęp do danych/systemów, więc nie ma gwarancji, że odzyskasz dostęp do swoich danych lub komputera. Ponadto, nawet jeśli odzyskasz swoje dane, nie ma gwarancji, że są one bezpieczne – 18% ofiar oprogramowania ransomware, które zapłaciły żądany okup, nadal miało problemy z wyciekiem wrażliwych danych: przestępcy udostępnili je dark web.

Usuń ransomware ze swoich urządzeń

Niestety, usunięcie ransomware z urządzeń nie jest tak proste, jak kliknięcie „usuń”. W wielu przypadkach wymaga to całkowitego przywrócenia ustawień fabrycznych, co jest nieodwracalne i wiąże się z ryzykiem utraty danych. Dlatego zawsze najlepiej jest szukać wsparcia profesjonalisty, który może użyć odpowiednich narzędzi deszyfrujących i bezpiecznie przywrócić sprzęt do normalnego działania.

Odzyskiwanie danych z kopii zapasowych

Utrzymywanie aktualnej kopii zapasowej to najskuteczniejszy sposób na powrót do normalnego funkcjonowania organizacji po ataku ransomware. Najlepszą praktyką jest przestrzeganie „reguły 3-2-1” – 3 kopie danych przechowywane w 2 różnych lokalizacjach, z których 1 jest w trybie offline.

Zanim rozpoczniesz przywracanie danych, najpierw przeskanuj je pod kątem złośliwego oprogramowania i upewnij się, że kopie zapasowe są podłączone tylko do znanych, czystych urządzeń, aby zapobiec ponownemu zainfekowaniu.

Zgłoś atak

Po powrocie firmy do trybu online należy zgłosić atak ransomware do odpowiednich władz – na przykład CISA w Stanach Zjednoczonych lub NCSC w Wielkiej Brytanii. Te informacje są nieocenione, ponieważ pomagają agencjom śledzić rozwój ataków ransomware, aby powstrzymać cyberprzestępców, a także opracować narzędzia naprawcze i zapobiegać dalszemu rozprzestrzenianiu się tego oprogramowania.

Zabezpiecz się przed przyszłymi atakami ransomware

Zachowanie użytkowników końcowych może być jednym z najlepszych środków odstraszających, jakie masz do dyspozycji w walce z zagrożeniem ransomware. Podstawowe szkolenia na temat zagrożeń i regularne przypominanie znaczenia przestrzegania podstawowych zasad bezpieczeństwa:

• Aktualizowanie urządzenia i włączanie automatycznych aktualizacji.
• Włączanie uwierzytelniania wieloskładnikowego.
• Regularne wykonywanie kopii zapasowych.
• Kontrolowanie, kto ma dostęp i do czego na Twoich urządzeniach.
• Włączanie ochrony przed atakiem oprogramowania ransomware.
  

Skontaktuj się z Ontrack w sprawie odzyskiwania danych po ataku ransomware

Każdy atak ransomware jest, wyjątkowy, ataki różnią się poziomem złożoności, ale odzyskanie danych jest możliwe. W Ontrack opracowaliśmy wyspecjalizowany zbiór zastrzeżonych narzędzi do odzyskiwania danych – obecnie mamy możliwość szyfrowania 138 rodzajów oprogramowania ransomware i stale śledzimy 271 różnych wariantów.

Dzięki laboratoriom zlokalizowanym na całym świecie nasi specjaliści są dostępni przez całą dobę, przez 7 dni w tygodniu, aby zapewnić pomoc i wsparcie w przypadku najgorszego scenariusza.