Gjenoppretting av ransomware-angrep: 4 faktorer å vurdere

Ransomware-angrep fortsetter å true bedrifter, lokale myndigheter og ideelle organisasjoner – og trenden vil neppe endre seg med det første.

I følge offentlige registre har mer enn 400 by- og fylkeskommuner blitt utsatt for løsepengevareangrep siden 2014. Private enheter rapporterer ikke alltid angrep, men European Union Agency for Cybersecurity (ENISA) rapporterte en 150 % økning i ransomware-infeksjoner mellom april 2020 og juli 2021.

Når dårlige aktører lykkes med å distribuere løsepengeprogramvare, er alternativene dine begrensede: Gjenopprett dataene fra en sikkerhetskopi, betal løsepengene eller se etter profesjonelle gjenopprettingsalternativer for løsepengevare.

Som en ledende leverandør av gjenopprettingstjenester for løsepengevare, kan Datarecovery.com gi veiledningen din organisasjon trenger for å iverksette passende tiltak. Før du prøver gjenoppretting av løsepengevare, bør du huske på disse tipsene.

1 Forstå omfanget av ransomware-infeksjonen.

I en katastrofe iverksetter mange virksomheter umiddelbare tiltak for å gjenopprette virksomhetskritiske systemer – men rask gjenoppretting fra et backupsystem kan ha utilsiktede konsekvenser.

Mange løsepengevarevarianter retter seg mot sikkerhetskopieringsenheter. Angripere forstår at det beste forsvaret mot ransomware-infeksjon er en sterk katastrofegjenopprettingsplan, og moderne varianter har ofte et «hvilende stadium». Hvis løsepengevaren sprer seg gjennom sikkerhetskopier (og noen ganger arkivsystemer), kan forsøk på gjenoppretting forhindre en rask løsning.

Den beste praksisen er å evaluere alle datalagringssystemer umiddelbart. Dokumenter vurderingen din og forsøk å identifisere datoen og kilden til infeksjonen. Isoler nettverk og databehandlingsenheter, og forsøk aldri å gjenopprette data (selv når sikkerhetskopier er lagret på media med lufthull) før vurderingen er fullført.

2 Husk at noen løsepengevareinfeksjoner lett kan løses.

Ransomware fungerer ved å kryptere data, og noen varianter bruker krypteringsmetoder som enkelt kan omgås. White-hat-hackere har laget en rekke verktøy for å håndtere vanlige infeksjoner, og med hjelp fra et profesjonelt datagjenopprettingsfirma kan du kanskje gjenopprette krypterte data uten å miste mye oppetid.

Vanlige løsepengevarevarianter med offentlig tilgjengelige dekrypteringer inkluderer:

• Prometheus
• Lås fil
• Ziggy
• Synack
• Avaddon
• Dømme
• AtomSilo

Dette er ikke en uttømmende liste. Gratis dekrypteringsverktøy er tilgjengelig på No More Ransom Project.

Vi anbefaler imidlertid å være forsiktig når du bruker gratis dekrypteringsverktøy: For systemer på bedriftsnivå kan noen verktøy kreve avanserte gjenopprettingsteknikker – og på komplekse systemer får du kanskje ikke en ny sjanse til en tapsfri gjenoppretting. Arbeid med en erfaren løsepengevarepartner for å sikre best mulig gjenoppretting.

3 Målrettede løsepenge-angrep krever spesialiserte ressurser.

Noen løsepengevarevarianter er designet for å målrette mot spesifikke arkitekturer. Datagjenoppretting er vanligvis ikke mulig ved å bruke offentlig tilgjengelige dekrypteringsverktøy.

BlackMatter-ransomware-gruppen, som hevder å være etterfølgeren til de beryktede Darkside- og REvil-gruppene, retter seg mot bedriftsnettverk med omsetning på 100 millioner dollar eller mer. «Ransomware-as-a-Service»-grupper (RaaS) tilbyr kompensasjon til enkeltpersoner i store organisasjoner, og skaper bakdører som øker sjansene deres for vellykket infiltrasjon.

Vanlige mål for løsepengevaregrupper inkluderer:

• Detaljhandel og e-handelsbedrifter
• Universiteter og andre utdanningsinstitusjoner
• Profesjonelle og juridiske tjenesteleverandører
• Sentrale, statlige og lokale myndigheter
• Software as a Service (SaaS)-leverandører

Målrettede angrep gir ofte løsepenger på $100 000 eller mer. Datagjenopprettingsløsninger varierer avhengig av omfanget av angrepet, organisasjonens IT-arkitektur og sofistikeringen av løsepengevarekrypteringen.

4 Å betale løsepenger forhindrer ikke alltid tap av data.

Når løsepengevare retter seg mot virksomhetskritiske systemer, er den åpenbare løsningen å betale løsepengene. Dessverre er dette ikke en idiotsikker strategi.

I følge en 2021-rapport får bare 9 % av folk som betaler løsepengevareangripere all data tilbake. Ransomware er ikke laget for gjenoppretting, og krypteringsprosessen kan gjøre viktige filer (som databaser) ubrukelige.

Å betale løsepenger gir også dårlige skuespillere kraftige insentiver til å forfølge ytterligere angrep. I mange tilfeller har selskaper pådratt seg flere ransomware-infeksjoner i løpet av korte perioder – ofte fra samme gruppe angripere.

Det beste forsvaret mot løsepengevare er en sterk katastrofegjenopprettingsstrategi.

Med sikkerhetskopier med luftgap kan de fleste organisasjoner unngå betydelig tap av data på grunn av løsepengevareinfeksjon. Ved kontinuerlig å overvåke etter tegn på infeksjon, kan du utføre katastrofegjenopprettingsstrategien din raskt – men selv med et robust forsvar kan angrep kompromittere viktige systemer.

Det nest beste forsvaret er en erfaren datagjenopprettingspartner. Datarecovery.com driver fullservicelaboratorier med proprietære dekrypteringsverktøy, og våre ingeniører har flere tiår med kombinert erfaring med bedriftssystemer. Som bransjens ledende leverandør av gjenoppretting av løsepenger har vi de tekniske ressursene og ekspertisen for å få dataene tilbake raskt – noe som begrenser nedetiden i en katastrofe.