Ha egy zsarolóvírus sikeresen megtámadja egy vállalat informatikai rendszerét, az általában pusztítást okoz. A normál működés többnyire megszűnik, és az egész szervezet „vészhelyzeti üzemmódba” kapcsol. Az ebből való visszatérés olyan kihívás lehet, amely hetekig vagy hónapokig tarthat. Íme néhány gyakorlati megfontolás.

A zsarolóvírus-támadások száma még mindig növekszik, és valószínűleg soha nem fognak eltűnni. A szervezeteknek és cégeknek feltételezniük kell, hogy előbb-utóbb ransomware vagy rosszindulatú programok támadásával kell szembenézniük. A megoldás kulcsa mindig a felkészülés. 

Megpróbáltuk összefoglalni a zsarolóvírus-támadás áldozatává vált vállalatok vagy szervezetek lehetséges válaszlépéseit. Az elsődleges cél az, hogy a cégek felkészültek legyenek, és ne kelljen rögtönözniük a katasztrófa bekövetkezésekor, ami további hibákhoz vezet, és akár több adatvesztést is eredményezhet. Az alábbi lépések azok a minimális lépések, amelyeket egy kibertámadás esetén követnie kell. Ne feledje, hogy a kibertámadásból való felépülés jellemzően nem történik meg néhány óra alatt, hanem általában hetekig vagy hónapokig tart.

Elszigetelés

A zsarolóvírus további terjedésének megakadályozása érdekében fontos, hogy a fertőzött eszközöket a lehető legjobban elkülönítsük. Ez azt jelenti, hogy el kell távolítani az eszközöket a hálózatból, és le kell választani minden hálózati kábelt vagy csatlakozást, beleértve a Wi-Fi hálózatokat is. Ha hálózata szegmentált, akkor érdemes megfontolni a potenciálisan fertőzött hálózati szegmens leválasztását is.

És bár a hálózati kábel kihúzása egyértelműen az első lépés, nem ennyire egyértelmű, hogy leállítsuk-e a részben vagy egészben fertőzött gépeket vagy sem. Mivel sok mai kártevő a memóriába írja magát, és innen működik, a gépek leállítása megnehezíti vagy ellehetetleníti a későbbi forensic vizsgálatokat, amelyek megállapíthatnák, hogy a kártevő hogyan, milyen módon működik. Amennyiben a részletes kivizsgálás cél, a gépeket csak szegmentáljuk, vegyük ki a hálózatból, de ne állítsuk le. Amennyiben a későbbi kivizsgálás nem cél, a gépeket leállíthatjuk, és leállíthatjuk azokat a szervereket is, amelyek internetes szolgáltatásokat nyújtanak, vagy azokat a tárolókat, amelyeken mindenképpen szeretnénk elkerülni a titkosítás végigfutását. 

Az is jó ötlet, hogy gyorsan cselekszik a támadás hatásának korlátozása érdekében, mivel a támadók a zsarolóvírus telepítésének időpontjára már bejárnak a hálózatába. Ha az infrastruktúra potenciálisan érintett virtuális gépeket tartalmaz, készítsen pillanatképeket róluk, és tárolja őket biztonságos helyen.

A kár mértékének felmérése

A zsarolóvírus-támadásra válaszul az egyik első lépés a támadás mértékének felmérése a titkosított és esetlegesen kiszivárgott adatok azonosításával. Ez az információ kulcsfontosságú egy hatékony válasz kidolgozásához. A támadás mértékének ismerete azért fontos, mert lehetővé teszi a támadás belső és külső következményeinek megértését, valamint a kezelési terv kidolgozását. A támadás mértékének meghatározásához próbálja meg azonosítani, hogy mely adatokat tárolták vagy dolgozták fel a titkosított gépeken, és keressen meg minden olyan adatot, amelyek esetleg kiszivárogtak.

Azonosítás

Annak azonosításához, hogy mely eszközöket fertőzte meg a ransomware, keresse meg a közelmúltban titkosított, szokatlan kiterjesztésű fájlokat, és a fájlok megnyitási nehézségeiről szóló jelentéseket. A zsarolóvírus további terjedésének megelőzése érdekében célszerű elkülöníteni és letiltani a nem teljesen titkosított eszközöket is, amelyeken akár csupán néhány fájl került titkosításra. Készítsen átfogó listát az összes érintett rendszerről, beleértve a NAS-eszközöket, a felhőalapú tárolókat, a külső merevlemezeket, az okostelefonokat és a laptopokat, és fontolja meg a hálózati megosztások zárolását a folyamatban lévő titkosítási folyamatok leállítása és más megosztások megfertőződésének megakadályozása érdekében. Az eszközök elkülönítése és letiltása előtt tekintse át a titkosított megosztásokat, hogy további információkat gyűjtsön a támadásról. Például, ha egy eszközön a szokásosnál több megnyitott fájl van, akkor ez lehet az első fertőzött eszköz a láncban. Azt is ellenőrizheti, hogy vannak-e riasztások a vírusvédelmi rendszertől vagy a monitoring platformról, és ellenőrizheti, hogy az emberek mit csinálnak az e-mailekkel és a mellékletekkel. Az állományok tulajdonságainak vizsgálata is adhat támpontokat, például a fájl tulajdonosaként feltüntetett személyt. Ne feledje, hogy a legtöbb zsarolóprogram rosszindulatú e-mail hivatkozásokon és mellékleteken keresztül jut be a hálózatokba, ezért fontos, hogy legyen óvatos az ilyen típusú tartalommal való interakció során.

Külső segítség igénybevétele

Célszerű ellenőrizni, hogy a biztosítási szerződése tartalmaz-e incidens-elhárítási fedezetet, így a biztosító csapatot küldhet az esemény kezelésére. Ha nem, akkor előfordulhat, hogy saját magának kell felvennie egy professzionális incidensreagáló csapatot, hogy segítsen felmérni a támadás irányát, célját, a behatolási pontot, és végrehajtani a megfelelő mérséklő intézkedéseket. Ilyen típusú segítséget nyújthat vírusvédelmi vagy monitoring rendszerének szállítója, vagy az erre a tevékenységre szakosodott szolgáltatók. Alternatív megoldásként rendelkezhet belső szakértelemmel, amelyet felhasználhat a támadásra való reagáláshoz. Függetlenül attól, hogy milyen megközelítést alkalmaz, fontos, hogy rendelkezzen a szükséges erőforrásokkal a támadás hatékony felméréséhez és mérsékléséhez. Amikor felveszi a kapcsolatot egy incidens-elhárítási szolgáltatóval, győződjön meg arról, hogy a lehető legtöbb információval rendelkezik. A legnagyobb jelentőségű adatok közé tartozik az incidens természete, az érintett rendszerek száma, a megtett intézkedések, valamint a támadás észlelésének részletei, az időt is beleértve.

Kommunikáció

Fontos, hogy a zsarolóvírus-támadással kapcsolatos érzékeny információkat egy különálló, biztonságos csatornán keresztül közöljük az esetleges adatszivárgás elleni védelem érdekében. Ha a levelezőrendszere még mindig működik, a legjobb, ha feltételezi, hogy ezt is feltörték, és a támadó hozzáférést szerzett. Ezért fontos minimalizálni a kommunikációt a hálózaton, és alternatív módszereket használni a belső és külső kommunikációhoz. Fontolja meg egy biztonságos kommunikációs csatorna, például a Signal vagy a WhatsApp létrehozását, vagy ideiglenes külső konferenciarendszer használatát, és külön csoportok létrehozását a kommunikációhoz. A hatékony koordináció és kommunikáció kulcsfontosságú a zsarolóvírus-támadások elleni hatékony válaszadáshoz, ezért fontos kommunikációs tervet készíteni, és azt szorosan követni.

A nyilvánossággal való hatékony kommunikáció kritikus fontosságú a zsarolóvírus-támadások után. Fontos, hogy korán és gyakran kommunikáljunk a belső munkatársakkal, beszállítókkal, szolgáltatókkal és ügyfelekkel, hogy tájékoztassuk őket a helyzetről. A támadás elrejtése általában nem jó ötlet, mivel ronthatja márkája hírnevét. Legyen átlátható az alkalmazottai, az érdekelt felek, az ügyfelek és a sajtó számára a támadásról, és fontolja meg egy alternatív kommunikációs weboldal létrehozását, ahol frissítésekkel és információkkal szolgáltathat. A bizalom fenntartása és a támadás negatív hatásának minimalizálása érdekében fontos, hogy nyitott és őszinte legyen az érintettekkel. Bármilyen információt adjon meg anélkül, hogy olyan részleteket közölne, amelyek veszélyeztethetik az incidensre adott válaszfolyamatot. Jelöljön ki a kommunikációra egy személyt és felületet, és győződjön meg arról, hogy minden információ csak ezeken kerül terjesztésre.

Válságkezelő csapat

A válságkezelő csapat segíthet megoldani az esetleges konfliktusokat és az üzleti funkciók helyreállítását. Ennek a csapatnak kell felelnie az összes belső és külső kommunikáció koordinálásáért, valamint annak biztosításáért, hogy a válság során következetes üzenetet közvetítsen. A válságkezelő csapatnak foglalkoznia kell az esetlegesen felmerülő jogi problémákkal is, és szakemberekkel együtt kell dolgoznia a kommunikációs stratégia kidolgozásán. A válságkezelő csapat elsődleges feladata az erőfeszítések összehangolása, és a támadásra adott válasz hatékony és eredményes biztosítása.

Jogi kötelezettség

A támadás technikai kezelése mellett fontos figyelembe venni a jogi kötelezettségeket is. Tájékozódjon ezekről, mert előfordulhat, hogy bizonyos időn belül jelentenie kell az adatvédelmi incidenst, hogy elkerülje a bírságokat vagy egyéb szankciókat. Például az általános adatvédelmi rendelet (GDPR) értelmében, ha 72 órán belül nem értesíti a hatóságokat az uniós polgárok adatait érintő adatvédelmi incidensről, vállalkozása jelentős pénzbírsággal sújtható. 

Visszaállítás és rendszerindítás

Miután felmérte a kibertámadás mértékét, és lépéseket tett az érintett eszközök elkülönítésére, ideje elkezdeni a rendszer visszaállítását. Ennek egyik leggyorsabb és legegyszerűbb módja, ha egy friss, nem fertőzött biztonsági másolatot használ a rendszer visszaállításához. Ez lehetővé teszi, hogy a lehető leggyorsabban visszaállítsa rendszereit működőképes állapotba. Fontos, hogy egy megbízható és naprakész biztonsági mentési rendszer működjön zsarolóvírus-támadás vagy egyéb adatvesztés esetére. Problémát jelent, hogy attól függően, hogy a támadó mennyi ideig férhetett hozzá az Ön hálózati infrastruktúrájához, fennáll annak a lehetősége, hogy bizonyos biztonsági másolatokat már feltörtek. A gépek visszaállításának megkísérlése előtt konzultáljon az incidens-elhárítási csapattal.

Ha nem rendelkezik használható biztonsági másolattal, még mindig van némi esély az adatok visszaszerzésére. Számos ingyenes visszafejtő kulcs található a No More Ransom oldalon. Kérjük, vegye figyelembe, hogy még működő dekódoló kulccsal is hetekbe telhet a fájlok helyreállítása. Ennek az az oka, hogy a visszafejtési eszközök nincsenek optimalizálva a sebességre, mert a bűnözői csoportok fő célja a gyors és hatékony titkosítás, hogy a lehető legkorábban váltságdíjat követelhessenek. A visszafejtő eszközeik teljesítménye nem elsődleges szempont.

Egy zsarolóvírus-támadás után fontos, hogy először azokra a felhasználókra összpontosítson, akikre szükség van a helyreállítási folyamathoz. Ne engedje azonnal az összes felhasználónak az internethez való hozzáférést, mert ez további fenyegetéseknek teheti ki rendszereit. Ehelyett javítsa ki és frissítse a támadás által érintett ismert sebezhető rendszereket, és fontolja meg a többfaktoros hitelesítés bevezetését, ha az még nincs érvényben. Először összpontosítson a kiemelt fiókokra és szolgáltatásokra, például a vezetői fiókokra és a kezelési szolgáltatásokra. Használjon végponti biztonsági megoldást annak biztosítására, hogy minden fertőzött rendszer és eszköz mentes legyen a zsarolóprogramoktól, mivel a szunnyadó rosszindulatú programok továbbra is zárolhatják hálózatát és rendszereit, és megrongálhatják a biztonsági másolatokat. Vezessen be hálózatfigyelő szolgáltatást, hogy jobban megértse a hálózatán zajló tevékenységeket. Ez segít azonosítani a potenciális fenyegetéseket, és megtenni a megfelelő lépéseket a rendszer védelme érdekében.

Készüljön fel a következő támadásra

Legyen tudatában annak, hogy új támadás mindig lehetséges. Szánjon időt a támadás elemzésére és dokumentálására, hogy készen álljon a következőre. Ha nem foltozza a sérülékenységeket, még az eredeti támadók is visszamehetnek a hálózatba. 

Zárszó

Egy utolsó fontos dolog: határozottan nem tanácsoljuk a váltságdíj fizetését! Ne feledje, hogy a támadók nagy valószínűséggel anyagi haszonszerzésben érdekeltek, ezért minden eszközzel megpróbálnak több pénzt kicsikarni Öntől. Legyen óvatos, amikor a támadókkal bánik. Egy profi tárgyaló alkalmazása nem csodaszer. Sok olyan eset volt, amikor a váltságdíj összege megduplázódott egy tárgyaló felkérése után, és ne feledje, hogy a professzionális tárgyaló nem mindig a legjobb megoldás. Arra sincs garancia, hogy megkapja a visszafejtő kulcsokat a kiberbűnözőktől.

A G DATA zsarolóvírusok elleni technológiájáról itt olvashat bővebben.