Đó là tin tức mà không tổ chức nào muốn nghe―bạn đã là nạn nhân của một vụ ransomware tấn công, và bây giờ bạn đang tự hỏi phải làm gì tiếp theo. 

Điều đầu tiên cần ghi nhớ là bạn không đơn độc. Hơn 17 phần trăm tất cả các cuộc tấn công mạng liên quan đến ransomware—một loại phần mềm độc hại giữ cho dữ liệu hoặc thiết bị của nạn nhân bị khóa trừ khi nạn nhân trả tiền chuộc cho tin tặc. Trong số 1,350 tổ chức được khảo sát trong một nghiên cứu gần đây, 78% bị tấn công ransomware thành công (liên kết nằm bên ngoài ibm.com).

Các cuộc tấn công bằng ransomware sử dụng một số phương pháp hoặc vectơ để lây nhiễm vào mạng hoặc thiết bị, bao gồm cả việc lừa các cá nhân nhấp vào liên kết độc hại bằng cách sử dụng Lừa đảo email và khai thác các lỗ hổng trong phần mềm và hệ điều hành, chẳng hạn như truy cập từ xa. Tội phạm mạng thường yêu cầu thanh toán tiền chuộc bằng Bitcoin và các loại tiền điện tử khó theo dõi khác, cung cấp cho nạn nhân khóa giải mã khi thanh toán để mở khóa thiết bị của họ.

Tin vui là trong trường hợp xảy ra cuộc tấn công bằng ransomware, có các bước cơ bản mà bất kỳ tổ chức nào cũng có thể thực hiện để giúp ngăn chặn cuộc tấn công, bảo vệ thông tin nhạy cảm và đảm bảo hoạt động kinh doanh liên tục bằng cách giảm thiểu thời gian ngừng hoạt động.

Phản hồi ban đầu

Cô lập các hệ thống bị ảnh hưởng 

Vì các biến thể ransomware phổ biến nhất quét mạng để tìm lỗ hổng để lan truyền theo chiều ngang nên điều quan trọng là các hệ thống bị ảnh hưởng phải được cách ly càng nhanh càng tốt. Ngắt kết nối ethernet và tắt WiFi, Bluetooth và mọi khả năng mạng khác đối với mọi thiết bị bị nhiễm hoặc có khả năng bị nhiễm.

Hai bước khác cần xem xét: 

• Tắt các tác vụ bảo trì. Tắt ngay các tác vụ tự động—ví dụ: xóa các tệp tạm thời hoặc xoay nhật ký—các hệ thống bị ảnh hưởng. Những tác vụ này có thể can thiệp vào các tệp và cản trở việc điều tra và phục hồi ransomware. 
• Đang ngắt kết nối các bản sao lưu. Bởi vì nhiều loại ransomware mới nhắm mục tiêu sao lưu để khiến việc khôi phục khó khăn hơn, hãy giữ các bản sao lưu dữ liệu ngoại tuyến. Giới hạn quyền truy cập vào các hệ thống sao lưu cho đến khi bạn loại bỏ được sự lây nhiễm.

Chụp ảnh giấy đòi tiền chuộc

Trước khi tiếp tục với bất kỳ điều gì khác, hãy chụp ảnh thông báo đòi tiền chuộc—lý tưởng nhất là chụp ảnh màn hình của thiết bị bị ảnh hưởng bằng một thiết bị riêng biệt như điện thoại thông minh hoặc máy ảnh. Bức ảnh sẽ đẩy nhanh quá trình phục hồi và trợ giúp khi nộp báo cáo cho cảnh sát hoặc yêu cầu bồi thường có thể xảy ra với công ty bảo hiểm của bạn.

Thông báo cho đội an ninh

Khi bạn đã ngắt kết nối các hệ thống bị ảnh hưởng, hãy thông báo cho bạn Bảo mật CNTT đội tấn công. Trong hầu hết các trường hợp, các chuyên gia bảo mật CNTT có thể tư vấn các bước tiếp theo và kích hoạt tổ chức của bạn. ứng phó sự cố kế hoạch, nghĩa là các quy trình và công nghệ của tổ chức bạn để phát hiện và ứng phó với các cuộc tấn công mạng.

Không khởi động lại các thiết bị bị ảnh hưởng

Khi xử lý ransomware, tránh khởi động lại các thiết bị bị nhiễm. Tin tặc biết đây có thể là bản năng đầu tiên của bạn và một số loại phần mềm tống tiền thông báo các nỗ lực khởi động lại và gây thêm tác hại, chẳng hạn như làm hỏng Windows hoặc xóa các tệp được mã hóa. Việc khởi động lại cũng có thể khiến việc điều tra các cuộc tấn công bằng ransomware trở nên khó khăn hơn—các manh mối có giá trị được lưu trữ trong bộ nhớ máy tính và sẽ bị xóa khi khởi động lại. 

Thay vào đó, hãy đặt các hệ thống bị ảnh hưởng vào chế độ ngủ đông. Thao tác này sẽ lưu tất cả dữ liệu trong bộ nhớ vào một tệp tham chiếu trên ổ cứng của thiết bị, lưu giữ nó để phân tích trong tương lai.

Diệt trừ 

Bây giờ bạn đã cách ly các thiết bị bị ảnh hưởng, bạn có thể muốn mở khóa thiết bị và khôi phục dữ liệu của mình. Mặc dù việc quản lý việc loại bỏ nhiễm ransomware có thể phức tạp, đặc biệt là các chủng tiên tiến hơn, nhưng các bước sau đây có thể giúp bạn bắt đầu quá trình phục hồi. 

Xác định phương án tấn công

Một số công cụ miễn phí có thể giúp xác định loại phần mềm tống tiền lây nhiễm vào thiết bị của bạn. Biết được chủng cụ thể có thể giúp bạn hiểu một số yếu tố chính, bao gồm cách nó lây lan, những tập tin nó khóa và cách bạn có thể loại bỏ nó. Chỉ cần tải lên một mẫu của tệp được mã hóa và nếu có, một thông báo đòi tiền chuộc và thông tin liên hệ của kẻ tấn công. 

Hai loại ransomware phổ biến nhất là khóa màn hình và mã hóa. Khóa màn hình khóa hệ thống của bạn nhưng giữ an toàn cho các tệp của bạn cho đến khi bạn trả tiền, trong khi đó, bộ mã hóa khó xử lý hơn vì chúng tìm và mã hóa tất cả dữ liệu nhạy cảm của bạn và chỉ giải mã dữ liệu đó sau khi bạn thanh toán tiền chuộc. 

Tìm kiếm công cụ giải mã

Khi bạn đã xác định được chủng ransomware, hãy cân nhắc việc tìm kiếm các công cụ giải mã. Ngoài ra còn có các công cụ miễn phí để trợ giúp bước này, bao gồm các trang web như Không có thêm tiền chuộc. Chỉ cần nhập tên của chủng ransomware và tìm kiếm cách giải mã phù hợp. 

Tải xuống Hướng dẫn dứt khoát về Ransomware

Phục hồi 

Nếu bạn đủ may mắn để loại bỏ sự lây nhiễm ransomware, đã đến lúc bắt đầu quá trình khôi phục.

Bắt đầu bằng cách cập nhật mật khẩu hệ thống của bạn, sau đó khôi phục dữ liệu từ bản sao lưu. Bạn phải luôn đặt mục tiêu có ba bản sao dữ liệu của mình ở hai định dạng khác nhau, với một bản sao được lưu trữ bên ngoài. Cách tiếp cận này, được gọi là quy tắc 3-2-1, cho phép bạn khôi phục dữ liệu của mình nhanh chóng và tránh phải trả tiền chuộc. 

Sau cuộc tấn công, bạn cũng nên xem xét việc tiến hành kiểm tra bảo mật và cập nhật tất cả các hệ thống. Luôn cập nhật hệ thống giúp ngăn chặn tin tặc khai thác các lỗ hổng có trong phần mềm cũ hơn và việc vá lỗi thường xuyên giúp máy của bạn luôn cập nhật, ổn định và chống lại các mối đe dọa từ phần mềm độc hại. Bạn cũng có thể muốn tinh chỉnh kế hoạch ứng phó sự cố của mình với bất kỳ bài học kinh nghiệm nào và đảm bảo rằng bạn đã thông báo đầy đủ về sự cố cho tất cả các bên liên quan cần thiết. 

Cơ quan thông báo 

Vì ransomware là hành vi tống tiền và là tội phạm nên bạn phải luôn báo cáo các cuộc tấn công bằng ransomware cho các quan chức thực thi pháp luật hoặc FBI. 

Cơ quan chức năng có thể giúp giải mã các tệp của bạn nếu nỗ lực khôi phục của bạn không hiệu quả. Nhưng ngay cả khi họ không thể lưu dữ liệu của bạn, điều quan trọng là họ phải lập danh mục hoạt động tội phạm mạng và hy vọng có thể giúp những người khác tránh được số phận tương tự. 

Một số nạn nhân của các cuộc tấn công bằng ransomware cũng có thể được pháp luật yêu cầu phải báo cáo việc nhiễm ransomware. Ví dụ: việc tuân thủ HIPAA thường yêu cầu các tổ chức chăm sóc sức khỏe báo cáo mọi vi phạm dữ liệu, bao gồm cả các cuộc tấn công bằng ransomware, cho Bộ Y tế và Dịch vụ Nhân sinh.

Quyết định có nên trả tiền hay không 

Quyết định có nên trả tiền chuộc không là một quyết định phức tạp. Hầu hết các chuyên gia khuyên bạn chỉ nên cân nhắc việc thanh toán nếu bạn đã thử tất cả các tùy chọn khác và việc mất dữ liệu sẽ có hại hơn đáng kể so với việc thanh toán.

Bất kể quyết định của bạn là gì, bạn phải luôn tham khảo ý kiến ​​của các quan chức thực thi pháp luật và chuyên gia an ninh mạng trước khi tiếp tục.

Trả tiền chuộc không đảm bảo rằng bạn sẽ lấy lại được quyền truy cập vào dữ liệu của mình hoặc những kẻ tấn công sẽ giữ lời hứa—nạn nhân thường trả tiền chuộc nhưng không bao giờ nhận được khóa giải mã. Hơn nữa, việc trả tiền chuộc sẽ duy trì hoạt động tội phạm mạng và có thể tài trợ thêm cho tội phạm mạng.

Ngăn chặn các cuộc tấn công ransomware trong tương lai

Các công cụ bảo mật email cũng như phần mềm chống phần mềm độc hại và chống vi-rút là những tuyến phòng thủ quan trọng đầu tiên chống lại các cuộc tấn công của ransomware.

Các tổ chức cũng dựa vào các công cụ bảo mật điểm cuối nâng cao như tường lửa, VPN và xác thực nhiều yếu tố như một phần của chiến lược bảo vệ dữ liệu rộng hơn nhằm chống lại sự vi phạm dữ liệu.

Tuy nhiên, không có hệ thống an ninh mạng nào hoàn thiện nếu không có khả năng phát hiện mối đe dọa và ứng phó sự cố tiên tiến nhất để truy bắt tội phạm mạng trong thời gian thực và giảm thiểu tác động của các cuộc tấn công mạng thành công.

IBM Security® QRadar® SIEM áp dụng công nghệ máy học và phân tích hành vi người dùng (UBA) cho lưu lượng truy cập mạng cùng với nhật ký truyền thống để phát hiện mối đe dọa thông minh hơn và khắc phục nhanh hơn. Trong một nghiên cứu gần đây của Forrester, QRadar SIEM đã giúp các nhà phân tích bảo mật tiết kiệm hơn 14,000 giờ trong ba năm bằng cách xác định các kết quả dương tính giả, giảm 90% thời gian điều tra sự cố và giảm 60% nguy cơ gặp phải vi phạm bảo mật nghiêm trọng.* Với QRadar SIEM, các nhóm bảo mật có nguồn lực hạn chế có khả năng hiển thị và phân tích mà họ cần để phát hiện các mối đe dọa nhanh chóng và thực hiện hành động ngay lập tức, sáng suốt để giảm thiểu tác động của một cuộc tấn công.

Tìm hiểu thêm về IBM QRadar SIEM

*Các Tác động kinh tế tổng thểTM của IBM Security QRadar SIEM là một nghiên cứu được ủy quyền do Forrester Consulting thay mặt cho IBM thực hiện, vào tháng 2023 năm 4. Dựa trên kết quả dự kiến ​​của một tổ chức tổng hợp được mô hình hóa từ XNUMX khách hàng IBM được phỏng vấn. Kết quả thực tế sẽ khác nhau tùy theo cấu hình và điều kiện của khách hàng, do đó, nhìn chung không thể cung cấp kết quả như mong đợi.