Trots mycket diskussion om Ransomware attacker under de senaste åren visar statistiken att attacker blir allt vanligare och nya sätt och tekniker dyker upp. Att tackla attacker ”ad-hoc” utan tillräcklig kunskap om hur man reagerar på en incident är aldrig ett bra alternativ. Trots felsteg kan du ibland till och med lyckas lösa en incident, men problemen uppstår i den forensiska analysen efteråt. Avsnitten nedan är uppdelade i tre steg med viktiga åtgärder vid en incidentrespons.
Misstag som kan hindra framgångsrika lösningar
- Panik: Panik orsakar misstag. Se till att du inte får panik om en incident inträffar. Du kan undvika det genom att ha tidigare förberedda dokument som definierar en steg-för-steg-process för bästa möjliga respons på en incident.
- Felaktiga antaganden: Anta inte att incidenten definitivt kommer att äventyra all din information. Händelsens omfattning bör fastställas efter att den har identifierats.
- Nödstoppa system: Många minns säkert bilden av en server som cirkulerar på internet med en lapp som säger: ”I händelse av cyberattack, krossa glaset och dra ut kablarna.” Tyvärr leder inte ett fjärmande av kablar från portar och uttag till något annat än förlusten av värdefull data för den forensiska analysen. På så sätt förlorar du den information som är väsentlig för att i efterhand bestämma tidslinjen och händelseförloppet.
- Användning av domänkonton: Under inga omständigheter får ett domänkonto användas för att komma åt miljön. Angripare väntar tålmodigt på användarens inloggning för att fånga lösenordet och därmed få full kontroll över miljön.
- Användning av icke-dedikerade verktyg: Du bör INTE under några omständigheter installera antiviruslösningar på de infekterade systemen eller inte använda någon programvara som inte är avsedd för forensisk analys, eftersom detta kan skriva över tidslinjen för attacken i Master File Table (MFT) och förstöra den.
- Diskutera inte händelsen: Diskutera inte händelsen med andra såvida inte incidentresponspersonalen bett om det. Det är viktigt att vara försiktig med vem du kommunicerar med om incidenten.
Viktiga åtgärder omedelbart efter upptäckt av Ransomware?
- Koppla bort systemet från nätverket: Endast om detta blockerar attacken. Detta bör inte göras om attacken redan är över.
- Sätt ihop ett team: Ett dedikerat team som kommer att hantera incidentresponsen bör definieras i förväg. Det bör bestå av: ledning, juridisk rådgivning, PR och tekniker med åtkomsträttigheter.
- Ring: Ring omedelbart incidentresponsleverantören (ex. Conscia SOC)
Om systemet och den interna kunskapen tillåter, viktiga åtgärder:
- Samla in data: Genom att använda forensiska verktyg (om det finns tillräcklig kunskap i företaget), samla in så mycket data och annan kritisk information som möjligt, vilket kan vara användbart vid incidenthantering och ytterligare utredning. Forensiska verktyg kan anslutas till tidsövervakningssystemet (Timestamp monitoring system) på en enhet, så att du kan förbereda och förstå attackens händelseförlopp.
- Kontrollera säkerhetskopior: Se till att data på säkerhetskopiorna inte påverkats av attacken. Om inte, kommer det att vara möjligt att återställa förlorad data.
- Säkra data: Att säkra den data du har fått från ditt system är det viktigaste steget i incidentresponsen.
- Verifiera data: Jämför data du har samlat in med informationen tillgänglig online. Kontrollera HASH-värdena, IP-adresser, domäner du har hittat, some alla kan hjälpa dig att reagera snabbare på en incident. Du borde försöka ta reda på vilken typ av attack det var. Försök också att samla in så mycket information som möjligt om angriparna, till exempel vilka typer av attacker de brukar använda.
- Samla loggar: Samla om möjligt alla nödvändiga loggar från de system du använder, Windows-händelser, brandväggsposter, nätverksdata, antivirusdata etc. Det är mycket viktigt att du beaktar händelsen både ur nätverks- och klientperspektiv.
- Ring: Ring omedelbart incidentresponsleverantören och förse dem med all information du har fått (ex. Conscia SOC)
Vid informationsinsamlingen är det viktigt att vara medveten om att kommunikationen kan avlyssnas (e-post), använd därför endast de verktyg som krypterar kommunikationen och tryggar en säker användning. Lita på proffsen som kommer att ta dig igenom hela processen av viktiga åtgärder säkert och utan panik, eftersom endast med rätt kommunikation och samarbete kommer det att finnas en möjlighet att lösa attacken utan att betala den begärda lösensumman.
Ska du betala lösen under Ransomware-attacker? Svaret på tiotusenkronorsfrågan: