Co zrobić, gdy Twoja firma zostanie trafiona przez Ransomware

What to do after a ransomware attack

Ransomware jest tak dochodową formą cyberprzestępczości, że stała się całkowicie samowystarczalną branżą z własnymi zmianami i trendami. Kilka lat temu twórcy i operatorzy oprogramowania ransomware byli przede wszystkim zainteresowani użytkownikami domowymi. Atakowanie komputerów osobistych było tanie, a niektóre sprytne techniki inżynierii społecznej zapewniły, że wskaźnik sukcesu nie jest zły. Tymczasem kultura tworzenia kopii zapasowych ludzi nie była do końca świetna, co oznaczało, że dla wielu jedyną opcją odzyskania danych była okup. Potem jednak wszystko zaczęło się zmieniać.

Operatorzy oprogramowania ransomware przenieśli się z użytkowników domowych do firm i dużych organizacji

W 2017 r. Wybuchło kilka masowych epidemii oprogramowania ransomware, WannaCry i NotPetya, które zyskały dużą popularność. Nie były specjalnie skierowane do użytkowników domowych, ale użytkownicy domowi widzieli ich w wiadomościach i stopniowo zapoznawali się z zagrożeniem. Zdali sobie sprawę, jak ważne są kopie zapasowe i byli lepiej przygotowani do radzenia sobie z atakami ransomware.

Szczerze mówiąc, cyberprzestępcy nie są szczególnie zainteresowani dzieleniem się swoimi rachunkami zysków, ale fakt, że infekcje ransomware na komputerach domowych spadają od kilku ostatnich lat, sugeruje, że mniej użytkowników końcowych jest skłonnych przylgnąć do hakerów ” żąda. Nie oznacza to jednak, że biznes ransomware się kurczy.

W pewnym momencie operatorzy oprogramowania ransomware zdali sobie sprawę, że dodatkowy wysiłek atakowania organizacji, a nie pojedynczych użytkowników, może być tego wart, i od tego czasu poważne incydenty związane z oprogramowaniem ransomware dotyczyły głównie firm, organizacji opieki zdrowotnej i instytucji rządowych. Wybuch ransomware w prywatnej firmie może być szczególnie szkodliwy, dlatego ludzie muszą nauczyć się reagować na zagrożenie nie tylko w domu, ale także w biurze.

W jaki sposób infekcja ransomware może wpłynąć na Twoją firmę?

Z czysto technicznego punktu widzenia atak ransomware stawia przed firmą dwa główne problemy: utratę danych i przestoje.

Zamknięcie danych jest bardziej oczywistym problemem. Pomyślna infekcja ransomware może szyfrować tajemnice handlowe, informacje specyficzne dla produktu i dane klienta. Utrata tego rodzaju danych może doprowadzić do upadku firmy, co oznacza, że możesz ulec pokusie rozważenia spełnienia wymagań hakerów i zapłacenia okupu. Nawet jeśli to zrobisz, nie możesz mieć żadnych gwarancji, że wszystkie informacje zostaną przywrócone do stanu sprzed infekcji. Nie jest to jednak jedyny problem.

Z natury infekcje ransomware są dość głośne. Jeśli kiedykolwiek znajdziesz się po niewłaściwym końcu ataku, dowiesz się, co się dzieje, a Twoi klienci szybko dowiedzą się, że coś jest nie tak. Infekcja ransomware może całkowicie zakłócić działanie firmy i uniemożliwić jej obsługę użytkowników. Nieuchronnie przyczyna problemu zostanie podana do wiadomości publicznej, co spowoduje zasiew niepewności wśród użytkowników, którzy założą, że Twoja firma nie dba szczególnie o bezpieczeństwo swoich danych. Oznacza to, że niezwykle szybkie jest radzenie sobie z sytuacją tak szybko i efektywnie, jak to możliwe.

Jak Twoja firma powinna zareagować na udany atak ransomware?

Jak widać, dwie główne rzeczy, o których należy pomyśleć, to zapobieganie utracie danych i minimalizowanie przestojów. Jeśli pracujesz dla firmy, która ucierpiała z powodu oprogramowania ransomware, musisz upewnić się, że odzyskanie po ataku zajmuje tak mało czasu, jak to możliwe, ale należy również dokładnie sprawdzić, czy każdy plik jest tam, gdzie powinien być, przed umieszczeniem firma z powrotem w tryb operacyjny. Jest to stresujący proces, który wymaga dużej koncentracji i skoordynowanego wysiłku wszystkich odpowiedzialnych osób.

Jeśli złośliwe oprogramowanie zdołało infiltrować twój system, jego rozprzestrzenianie powinno być twoim najwyższym priorytetem. Nigdy nie lekceważ raportów o dziwnym zachowaniu pracowników, a jeśli dowiesz się, że tylko jeden komputer został zainfekowany oprogramowaniem ransomware, upewnij się, że wszystkie części infrastruktury IT Twojej firmy, które mogą być do niego podłączone, miały odłączone kable sieciowe. Nowoczesne rodziny oprogramowania ransomware są wyposażone w robaki, które umożliwiają szybkie rozprzestrzenianie się ataku, a hakerzy chcą zablokować jak najwięcej punktów końcowych z myślą o zażądaniu wyższego okupu. Im większa liczba zaszyfrowanych komputerów, tym więcej czasu potrzeba na przywrócenie wszystkiego do trybu online.

Wspomnieliśmy już, że minimalizacja przestojów powinna być wysoko na liście priorytetów. To powiedziawszy, nie powinieneś spieszyć się z procesem. Zanim włączysz wszystko, musisz upewnić się, że wszystkie ślady oprogramowania ransomware zostały usunięte, i powinieneś sprawdzić, czy wszystko działa. Dalsze opóźnienia nie sprawią, że Twoi klienci będą bardzo zadowoleni, ale powiedzenie im, że wróciłeś do pracy i spowodowanie, że napotkają więcej problemów, może sprawić, że będą jeszcze bardziej zdenerwowani niż są.

Mówiąc o tym, jeśli naprawdę chcesz, aby użytkownicy poczuli się mniej źle z powodu tego, co się wydarzyło, postaraj się zachować jak największą przejrzystość ataku. Powiedz im, w jaki sposób włamali się hakerzy, co zrobiłeś, aby ich powstrzymać i co planujesz zrobić, aby zapobiec przyszłym atakom. Powiedz użytkownikom, w jaki sposób atak wpłynie na nich i usługi, za które zapłacili, i nie powstrzymuj niczego. Chociaż niektóre firmy wydają się uważać, że jest to dobra strategia, bagatelizowanie problemu zwykle przynosi efekty odwrotne i wyrządza jeszcze większe szkody w reputacji niż sam atak.

Jest wiele do przemyślenia, a nawet jeśli zrobisz wszystko zgodnie z książką, konsekwencje mogą być nadal przerażające. Na przykład w lipcu 2018 r. Oprogramowanie LabCorp, jedna z największych na świecie sieci laboratoriów, zostało dotknięte przez oprogramowanie ransomware SamSam. Chociaż jego zespół IT szybko przeniósł się w celu powstrzymania złośliwego oprogramowania, SamSam nadal zdołał zainfekować około 7 tysięcy punktów końcowych i blisko 2 tysiące serwerów.

Niedawno kantor Travelex został zaatakowany przez oprogramowanie ransomware Sodinokibi (inaczej REvil) i przez ponad dwa tygodnie jego pracownicy byli zmuszeni używać długopisów i kawałków papieru do wykonywania swoich zadań.

Atak ransomware z pewnością spowoduje różnego rodzaju problemy, zwłaszcza jeśli jest wymierzony w większą organizację. Przy ryzyku wpadnięcia w pułapkę klisz powinniśmy powiedzieć, że podjęcie aktywnych działań zapobiegawczych jest najlepszą strategią w walce z tego rodzaju zagrożeniem.

Co możesz zrobić, aby zapobiec udanemu atakowi ransomware?

Instalowanie programu antywirusowego na komputerach pracowników i tworzenie kopii zapasowych ich dysków twardych nie wystarczy. Po raz kolejny mówimy o złożonym procesie, który ma wiele pułapek, a zdrowy stan branży oprogramowania ransomware wyraźnie pokazuje, że firmy cały czas popełniają błędy.

Prosty produkt zabezpieczający nie może uratować dnia, jeśli cały system informatyczny jest oparty na starożytnym oprogramowaniu, które nie otrzymało łatek zabezpieczających. Nikt inny niż ONZ nie nauczył się, jak ważne są aktualizacje bezpieczeństwa, a jeśli jesteś odpowiedzialny za utrzymanie sieci całej firmy, nie masz usprawiedliwień dla uruchamiania oprogramowania, które ma luki w zabezpieczeniach.

Nie ma też usprawiedliwienia dla źle skonfigurowanych sieci. Wiele rodzin oprogramowania ransomware, które obecnie atakują organizacje, rozprzestrzenia się za pośrednictwem niezabezpieczonych protokołów sieciowych, które zostały pozostawione otwarte przez nieostrożnych administratorów. Hasła domyślne są również częstym wydarzeniem w wielu raportach na temat incydentów związanych z oprogramowaniem ransomware, co pokazuje, że inżynieria społeczna w wiadomościach spamowych nie jest jedyną bronią w arsenale hakerów. Biorąc to pod uwagę, szkolenie pracowników, aby nie klikali losowych linków i załączników w nieoczekiwanych wiadomościach, jest zawsze dobrym pomysłem.

Jak widać, jest już wiele zadań do wykonania, a my nawet nie poruszyliśmy kwestii tworzenia kopii zapasowych danych.

Każda firma powinna mieć solidną strategię tworzenia kopii zapasowych, a jej stworzenie nie jest tak proste, jak się wydaje. W zależności od tego, jak korzystasz z danych, musisz pomyśleć o tym, jak często trzeba je tworzyć, ale co ważniejsze, musisz pomyśleć o rzeczywistym mechanizmie tworzenia kopii zapasowych.

Najlepiej będzie przestrzegać zasady 3-2-1, która mówi, że powinieneś mieć 3 kopie swoich danych przechowywane w 2 różnych miejscach, z których 1 jest poza siedzibą. Jeśli nie możesz trzymać się tej strategii, musisz regularnie testować swoje kopie zapasowe, aby upewnić się, że są one funkcjonalne, a także musisz je odłączać od reszty systemów informatycznych. W ten sposób potencjalny atak oprogramowania ransomware nie będzie miał wpływu na kopie danych.

To tylko niektóre z rzeczy, które należy wziąć pod uwagę, a w zależności od działalności firmy, w której pracujesz, może być wiele innych czynników, o których możesz pamiętać. Podsumowując, próba ochrony firmy przed atakiem ransomware jest jeszcze bardziej uciążliwa niż sprzątanie bałaganu po tym, jak już został uderzony. Biorąc jednak pod uwagę, jak niszczycielskie mogą być obrażenia, wysiłek jest tego wart.

February 19, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.