Håndtering av ransomware-angrep

torsdag 8. september 2022 av Ontrack Team

eml-dr-us_ransomware-case-study-header_feb-2021

Et ransomware-angrep er en av de største truslene online-brukere står overfor. I denne artikkelen utdyper vi hva som skjer under et ransomware-angrep og trinnene du må ta for å sikre virksomheten din i etterkant.

Hvordan håndterer man et ransomware-angrep

Ransomware-angrep er en stor trussel mot organisasjoner. 90% av angrepene påvirker deres driftsevne, og i gjennomsnitt tar det en måned å komme seg etter angrepet. Angrepene er svært forstyrrende for en virksomhet, og ransomware-angrep er en økende trussel. Innen 2031 er det forventet at bedrifter vil bli ofre for et ransomware-angrep annethvert sekund (opp fra hvert 11. sekund i 2021).

Hva er et ransomware-angrep?

Ransomware er en type skadelig programvare som krypterer en virksomhets data slik at data ikke lenger er tilgjengelig. Det kreves løsepenger – gjennomsnittet er $570 000 – og ved betaling er det meningen at dekrypteringsnøkler utleveres slik at virksomheten får tilgang til sine data igjen.

Selv om ingen spesifikk sektor er trygg for virkningene av ransomware, vil en ondsinnet aktør vanligvis velge å rette seg mot en organisasjon basert på to faktorer:

Mulighet: For eksempel hvis virksomheten har et lite sikkerhetsteam, mangler IT-ressurser eller er en «datarik» organisasjon.

Potensiell økonomisk gevinst: Bedrifter som krever umiddelbar tilgang til filene sine og som sannsynligvis vil betale løsepenger raskt – for eksempel advokater eller offentlige etater.

Ondsinnede aktører kan få tilgang til virksomhetens data via ulike taktikker, inkludert:

Phishing: Bruk av sosial manipulering for å lure brukere til å gjøre noe, for eksempel å klikke på en ondsinnet lenke i en e-post.

Ekstern tilgang: Skanning av internett etter åpne porter, for eksempel remote desktop protocol, og fange opp gyldig brukerinformasjon for vellykket autentisering.

Kompromittering av privilegerte kontoer: Dra nytte av administratorkontoer for å få tilgang til flere systemer og sensitive data.

Kjente programvare- eller applikasjonssårbarheter: Utnytter kjente sårbarheter der oppdateringer for å fikse problemet var tilgjengelige, men ikke installert.

Før data krypteres, kan en ondsinnet aktør velge å kopiere data og true med å lekke dem hvis løsepengene ikke betales i tide. Dette er kjent som "dobbel utpressing". Krypteringsprosessen er en rask prosess - den gjennomsnittlige løsepengevarevarianten kan kryptere nesten 100 000 filer på totalt 54,93 GB på bare 42 minutter og 52 sekunder - og det er grunnen til at hurtighet er avgjørende når det kommer til handling etter et angrep.

Hva du skal gjøre i tilfelle et ransomware-angrep

Så snart du vet at du har blitt rammet av et ransomware-angrep – vanligvis fordi et stort varsel vil blinke opp på skjermen – er det viktig å isolere den infiserte enheten. Fjern nettverks- og datakabler, USB-enheter og dongler, og deaktiver WiFi og Bluetooth for å hindre enheten i å opprette tilkoblinger som kan føre til at trusselen sprer seg.

I disse første øyeblikkene vil adrenalinet sannsynligvis strømme, sammen med følelser av sjokk, sinne og frykt. Det er viktig å ikke få panikk og forbli rolig mens du vurderer situasjonen. En måte å oppnå dette på er gjennom ransomware-simuleringer der virksomheten trener på hvordan den ville reagere etter et angrep slik at enkeltpersoner blir kjent med trinnene som skal til for å begrense bruddet på en rolig og betimelig måte:

Gi beskjed til virksomhet/kontakter

Det er viktig at all kommunikasjon behandles av et sentralt punkt i organisasjonen for å forhindre feilinformasjon eller forvirring. Dette bør inkludere et direktiv om å ikke snakke med noen i media eller publisere noe på sosiale medier. PR-kunngjøringer må forberedes nøye for ikke å uroe aksjonærer, interessenter og det bredere markedet.

Når et angrep er kjent, må alle i virksomheten varsles om trusselen. Hvis noen mistenker at deres enhet er infisert, må de ta skritt for å isolere den fra nettverket umiddelbart. Best practice sier også at brukere bør tilbakestille all innloggingsinformasjon – spesielt for privilegerte kontoer – for å forhindre den ondsinnede aktøren fra å høste verdifulle data som kan brukes til å starte ytterligere angrep.

Identifiser typen ransomware

Ved å bruke et skanningsverktøy for skadelig programvare på enheten, eller gjennom organisasjonens sikkerhetsoperasjonssenter (SOC), kjører du en skanning for skadelig programvare for å identifisere hvilken type ransomware som ble brukt, da dette vil bidra til å finne ut hvilke utbedringstiltak som må iverksettes.

Ta notater om angrepet, inkludert dato, klokkeslett, fildetaljer, første tegn på ransomware, berørte enheter, hva du gjorde rett før angrepet og når enheten din var tilkoblet. Ta også bilder og notater av mistenkelige programmer, filer og popup-vinduer.

All denne informasjonen føres deretter inn i ransomware-identifikasjonsverktøyet for å finne ut hva virksomheten ble rammet av, og hvilke utbedringstiltak du må ta.

Betaling av løsepenger

Fagfolk på cybersikkerhet og føderale byråer er enige: Ikke betal løsepenger.

Forskning viser at bare 3 av 5 organisasjoner fikk tilgang til sine data/systemer etter betaling av løsepenger, så det er ingen garanti for at du får tilgang til dataene dine eller datamaskinen din. Selv om du får tilbake dataene dine, er det ingen garanti for at det er trygt – 18% av løsepenge-ofrene som betalte kravet, hadde fortsatt sensitive data eksponert av ondsinnede aktører på det mørke nettet.

Fjern ransomwaren fra enhetene dine

Dessverre er det ikke så enkelt som å klikke «slett» for å fjerne ransomware fra infiserte enheter. I mange tilfeller krever det en fullstendig tilbakestilling til fabrikkinnstillinger, noe som er irreversibelt og medfører risiko for tap av data. Derfor er det alltid best å søke støtte fra en profesjonell som kan bruke passende dekrypteringsverktøy og trygt gjenopprette deg tilbake til «business-as-usual».

Gjenopprette data fra sikkerhetskopier

En oppdatert sikkerhetskopi er den mest effektive måten for gjenoppretting etter et løsepenge-angrep. En beste praksis er å følge «3-2-1-regelen» – 3 kopier av dataene, lagret på 2 forskjellige steder, hvorav 1 er offline.

Når det gjelder å gjenopprette data, skann dataene dine for skadelig programvare først, og sørg for at sikkerhetskopier kun er koblet til kjente, «rene» enheter for å forhindre reinfeksjon.

Rapporter angrepet

Når virksomheten din er tilbake på nett, bør du rapportere ransomware-angrepet til relevante myndigheter – for eksempel CISA i USA eller NCSC i Storbritannia. Denne etterretningsinfoen er uvurderlig for å hjelpe byråer med å spore hvordan ransomware-angrep utvikler seg, slik at de kan stoppe nettkriminelle, bistå med utbedringsverktøy og forhindre ytterligere spredning.

Beskytt deg selv mot fremtidige ransomware-angrep

Sluttbrukeratferd kan være en av de beste metodene for å begrense trusselen fra ransomware. Gi brukere opplæring i det grunnleggende og vektlegg kontinuerlig betydningen av deres atferd for å sikre at disse tiltakene følges:

  • Oppdatere enheten og slå på automatiske oppdateringer
  • Aktivere multifaktorautentisering
  • Utføre regelmessige sikkerhetskopier
  • Kontrollere hvem som har tilgang til hva på enhetene dine
  • Slå på ransomware-beskyttelse

Kontakt Ibas Ontrack for Ransomware Recovery

Hvert ransomware-angrep er unikt og varierer i kompleksitet, men datagjenoppretting er mulig. Hos Ibas Ontrack har vi utviklet en spesialisert samling av proprietære verktøy for å gjenopprette data – vi har for tiden dekrypteringsmuligheter for 138 typer ransomware, og sporer kontinuerlig 271 forskjellige varianter.

Med laboratorier rundt om i verden er spesialistene våre tilgjengelige 24/7 for å gi hjelp og støtte.

Les hvorfor 600k+ personer og bedrifter har stolt på Ontrack for å rekonstruere dataene deres