Z pewnością znasz nasze artykuły opisujące ochronę sieci przed rozmaitymi zagrożeniami. Jednak czasami, mimo przestrzegania wszelkich środków ostrożności, dochodzi do infekcji. Wtedy kluczowe jest trzeźwe myślenie i szybkie, zdecydowane działania. Od reakcji firmy zależy, czy incydent przerodzi się w okropne zamieszanie, czy minie w miarę bezboleśnie.
W procesie przywracania pamiętaj o dokumentowaniu wszelkich działań, aby wykazać się transparentnością — w oczach nie tylko pracowników, ale i reszty świata. Spróbuj zachować każdy dowód obecności ransomware, aby później można było zlokalizować wszystkie inne szkodliwe narzędzia, które zaatakowały system. Zapisuj więc logi i inne ślady szkodliwych programów, bo mogą one przydać się podczas późniejszej analizy.
Część pierwsza. Zlokalizuj i odizoluj
Pierwszym krokiem jest określenie zakresu włamania. Czy szkodliwy program rozprzestrzenił się w całej sieci? Czy jest obecny w więcej niż jednym biurze?
Zacznij od zidentyfikowania w infrastrukturze firmowej zainfekowanych komputerów i segmentów sieci, a następnie natychmiast odizoluj je od pozostałej części sieci w celu ograniczenia rozprzestrzenienia się infekcji.
Jeśli w firmie nie ma zbyt wielu komputerów, zacznij od przejrzenia plików dziennika antywirusa, programu EDR i zapory sieciowej. W przypadku niewielkiej infrastruktury możesz sprawdzać komputery fizycznie jeden po drugim.
Gdy komputerów jest więcej, warto przeanalizować zdarzenia i logi poprzez system SIEM. Chociaż nie wyeliminuje to dalszych działań, będzie dobrym krokiem do uzyskania szerszego obrazu sytuacji.
Po odizolowaniu zainfekowanych komputerów od sieci utwórz ich obrazy dysku, a w razie możliwości nie ruszaj ich do momentu zakończenia dochodzenia (nawet jeśli firma nie może pozwolić sobie na przestój w działaniu komputerów, wykonaj obrazy i zapisz zrzut pamięci w celu analizy).
Część druga. Analizuj i działaj
Po sprawdzeniu obwodu będziesz mieć listę komputerów, których dyski są pełne zaszyfrowanych plików, a także obrazy tych dysków. Są one odłączone od sieci i nie stwarzają już zagrożenia; możesz rozpocząć proces przywracania, ale najpierw sprawdź bezpieczeństwo pozostałej części sieci.
Nadszedł czas na analizę ransomware: dowiedz się, w jaki sposób przedostało się ono do sieci i które ugrupowania zwykle go używają — mówiąc inaczej, zacznij od polowania na zagrożenia. Ransomware nie pojawia się znikąd; trojan typu dropper, RAT, loader i im podobne należy najpierw zainstalować. Musisz więc dojść do genezy infekcji.
W tym celu przeprowadź wewnętrzne śledztwo. Sprawdź logi, aby określić, który komputer został zaatakowany jako pierwszy i dlaczego atak się powiódł.
W oparciu o wyniki analizy pozbądź się z sieci zaawansowanego, działającego w ukryciu szkodliwego programu i w razie możliwości wznów działalność biznesową. Następnie dowiedz się, co mogłoby powstrzymać infekcję: jakiego oprogramowania zabezpieczającego zabrakło? Na tym etapie możesz wyeliminować rozpoznane luki.
Następnie poinformuj pracowników o sytuacji, udziel im porad w zakresie wykrywania i unikania takich pułapek, a także zapowiedz konieczność wzięcia udziału w szkoleniu.
Na koniec zainstaluj aktualizacje i łaty. To kluczowe zadanie dla administratorów IT. Niestety szkodliwe programy często przedostają się przez luki w bezpieczeństwie, dla których łaty są już dostępne.
Część trzecia. Posprzątaj i wznów działanie
Po wyeliminowaniu zagrożenia dla sieci i luki, przez którą się ono przedostało, skup się na komputerach, które zostały już przeanalizowane. Jeśli nie są już one badane, sformatuj ich dyski i przywróć dane z ostatniej, czystej kopii zapasowej.
Jeśli jednak nie masz kopii zapasowej, spróbuj odszyfrować zawartość dysków. W pierwszej kolejności wejdź na stronę internetową należącą do firmy Kaspersky — No Ransom. Być może znajdziesz na niej narzędzie deszyfrujące dla tego akurat ransomware — w przeciwnym razie poproś swojego dostawcę cyberbezpieczeństwa po pomoc. Nie usuwaj zaszyfrowanych plików; co jakiś czas pojawiają się nowe narzędzia deszyfrujące, więc jutro może okazać się zbawienne (tak już zresztą bywało).
Bez względu na okoliczności nie płać okupu, gdyż w ten sposób będziesz sponsorować działalność przestępczej, a w dodatku szanse odzyskania plików są niewielkie. Oprócz zablokowania danych atakujący mogli również je ukraść, aby Cię szantażować. Ponadto zaplata chciwym cyberprzestępcom zachęca ich do zwiększania żądań — w niektórych przypadkach zaledwie kilka miesięcy po zapłacie intruzi powrócili i zażądali większej kwoty, jak również zagrozili, że w przypadku odmowy udostępnią wszystko publicznie.
Przygotuj się na to, że wszelkie skradzione dane mogą zostać udostępnione; licz się z wyciekiem danych. Wcześniej czy później trzeba będzie powiedzieć o incydencie pracownikom, udziałowcom, agencjom rządowym i, całkiem możliwe, że również dziennikarzom. Otwarta i szczera postawa jest istotna i z pewnością zostanie doceniona.
Część czwarta. Podejmij środki zapobiegawcze
Duży cyberincydent to zawsze wielkie kłopoty, a najlepszym lekarstwem jest zapobieganie. Przygotuj się zawczasu na nieprzyjemne sytuacje:
- na wszystkich punktach końcowych (w tym smartfonach), które mają dostęp do sieci, zainstaluj niezawodną ochronę,
- podziel sieć na segmenty i wyposaż ją w dobrze skonfigurowane zapory sieciowe; a najlepiej użyj zapory nowej generacji (NGFW) lub podobnego produktu, który automatycznie otrzymuje dane o nowych zagrożeniach,
- nie skupiaj się wyłącznie na antywirusie, lecz poszukaj wszechstronnych narzędzi do polowania na zagrożenia,
- duże firmy mogą zastosować system SIEM w celu otrzymywania natychmiastowych alertów,
- zorganizuj pracownikom szkolenie poszerzające ich wiedzę na temat cyberbezpieczeństwa dzięki regularnym sesjom interaktywnym.