Pada 12 Mei 2017, ratusan ribu pengguna komputer dan organisasi di lebih dari 100 negara terbangun dari krisis. Ada bentuk malware yang canggih dan viral yang mengenkripsi komputer dan sistem mereka sehingga mencegah mereka mengakses informasi pribadi dan bisnis yang berharga.
Akses hanya dapat dipulihkan jika uang tebusan dibayarkan melalui Bitcoin. Membayar dengan cryptocurrency seperti bitcoin akan membuat sangat sulit untuk melacak penerima. Malware, yang dikenal sebagai Wannacry Itu adalah bentuk tebusan. Sebagian besar populasi dunia mendengar istilah ransomware (dan respons ransomware) untuk pertama kalinya. Namun kenyataannya, ransomware telah ada sejak akhir XNUMX-an. Namun, ransomware telah berkembang secara signifikan sejak saat itu berkat kemajuan besar dalam enkripsi selama XNUMX tahun terakhir.
Apa itu permintaan tebusan?
Paling sederhana, ransomware menangkap, mengenkripsi, dan memblokir akses ke data hingga permintaan tebusan dibayar. Sering disampaikan ransomware Melalui email atau web.
Ada dua kategori utama dari ransomware Perbendaharaan dan enkripsi. bangun Ransomware kripto Ini mengenkripsi semua file pada perangkat yang terpengaruh dan hanya memulai ulang setelah uang tebusan dibayarkan. Ransomware loker Ini lebih sederhana dan hanya mengunci pengguna dari perangkat, bukan tebusan.
Elemen Respons Ransomware
Seperti bentuk malware lainnya, pencegahan selalu merupakan strategi terbaik. Namun, terlepas dari upaya terbaik Anda dalam pencegahan dan melihat prestise organisasi yang telah menjadi mangsa ransomware, Anda dapat melewati serangan itu dengan sukses. Apa yang Anda lakukan ketika ini terjadi sangat penting untuk memastikan bahwa organisasi Anda melanjutkan operasi dengan cepat dan dengan sedikit atau tanpa kehilangan sebagian besar data berharga Anda. Berikut adalah beberapa tindakan respons terpenting yang harus Anda ambil.
1. Amankan data sebelum mengambil tindakan apa pun sebagai tanggapan atas tebusan
Ambil salinan hanya-baca dari komputer, mesin virtual, atau perangkat penyimpanan yang terinfeksi. Melakukannya memungkinkan Anda untuk melindungi bagian mana pun dari data Anda yang belum diretas, dihancurkan, atau dikunci oleh ransomware. Ini juga memastikan bahwa saat Anda bekerja untuk membalikkan kerusakan dan melindungi informasi Anda, Anda selalu memiliki salinan yang tersedia yang akan menjadi dasar untuk memulai pekerjaan perbaikan jika diperlukan.
2. Pelacakan serangan
Kami telah menyebutkan sebelumnya bahwa ransomware biasanya akan menyusup ke jaringan Anda melalui situs web atau email. Jika Anda tahu dari mana serangan itu berasal, Anda dapat melacak penyebarannya dengan lebih baik atau menghentikannya sebelum menyebar lebih jauh. Misalnya, jika Anda menemukan beberapa file yang dienkripsi oleh ransomware Periksa akun pengguna yang terakhir diubah.
Anda dapat menemukan informasi ini di log audit. Anda dapat melanjutkan pengetahuan ini dan bekerja mundur sampai Anda mendarat di perangkat atau pengguna di mana semuanya dimulai. Saat menyelidiki, jangan lupa untuk melindungi pekerja jarak jauh yang mungkin Anda miliki. Semakin Anda dapat mengisolasi dan memutuskan perangkat yang terpengaruh dari jaringan Anda, semakin rendah risiko perangkat baru terinfeksi.
3. Evaluasi dampak
Dalam menghadapi ransomware, insting pertama Anda adalah segera memulai tindakan perbaikan. Namun, ini bisa membuang-buang waktu dan usaha yang berharga. Jika ransomware menyebar, setiap menit yang hilang berarti komputer lain menyetujui serangan tersebut. Jadi, sebelum Anda memulai tindakan defensif dan korektif, batalkan kekacauan dan lakukan penilaian kerusakan menyeluruh. Tentukan apa, siapa, kapan, dan di mana kecelakaan itu terjadi. Penilaian ini harus menjadi dasar untuk tindakan Anda selanjutnya.
4. Pemberitahuan Pengacara
Serangan ransomware adalah insiden kriminal. Memberi tahu lembaga penegak hukum terkait adalah sesuatu yang harus Anda lakukan. Di banyak yurisdiksi, ini diwajibkan oleh hukum (misalnya, GDPR organisasi yang menangani data warga negara UE). Mulailah dengan polisi setempat Anda, tetapi juga hubungi agen keamanan siber nasional mana pun.
Kegagalan untuk melaporkan mungkin tidak hanya berarti bahwa Anda mungkin melanggar peraturan keamanan dunia maya tetapi juga merampas sumber daya besar yang dimiliki penegak hukum untuk menyelesaikan masalah secara meyakinkan dan tanpa biaya kepada Anda. Namun, perhatikan bahwa penegakan hukum mungkin melihat peningkatan permintaan tebusan dan dalam beberapa kasus dapat mengakibatkan data tidak pernah dipulihkan.
5. Beri tahu pelanggan yang terkena dampak
Tidak ada perusahaan yang ingin mengumumkan kepada pelanggannya bahwa mereka telah terkena serangan ransomware. Ini memalukan dan tak terhindarkan mempertanyakan kemampuan perusahaan untuk melindungi data pelanggan yang sensitif.
Ada risiko bahwa banyak pelanggan akan memilih untuk pergi selamanya. Namun, konsekuensi potensial dari tidak memberi tahu pelanggan yang terkena dampak jauh lebih besar daripada ketidaknyamanan langsung dan kerugian bisnis yang mungkin diakibatkan oleh kegagalan untuk mengungkapkannya. Terlebih lagi, undang-undang privasi dan keamanan data mungkin mengharuskan perusahaan untuk memberi tahu pelanggan.
Bagaimanapun, transparansi adalah sesuatu yang dilihat sebagian besar klien dengan cara yang positif. Jika Anda membuktikan bahwa Anda tidak menyembunyikan apa pun, akan lebih mudah bagi pemangku kepentingan untuk percaya bahwa Anda pada akhirnya akan menyelesaikan masalah dengan kepuasan semua pihak. Pemberitahuan bukan tentang membuat siaran pers tunggal dan menamainya. Berikan pembaruan kemajuan secara teratur. Iklankan sumber daya yang Anda berikan yang akan mengurangi ancaman terhadap data dan privasi.
6. Bersihkan sistem Anda
Beberapa organisasi memilih untuk membayar uang tebusan sebagai cara untuk memulihkan sistem mereka dalam waktu sesingkat mungkin. Ini mungkin tampak seperti perbaikan cepat, tetapi kenyataannya adalah bahwa siapa pun yang ingin berusaha keras untuk mengenkripsi sistem Anda untuk mencegah Anda mengakses bukanlah seseorang yang kata-katanya dapat Anda sampaikan ke bank.
Jadi, terlepas dari apakah Anda memilih untuk membayar uang tebusan atau tidak, Anda harus mengevaluasi sistem Anda setelah membersihkan sisa-sisa tebusan, memulihkan data Anda ke keadaan sebelum serangan, dan menerapkan langkah-langkah yang membuatnya lebih sulit. untuk serangan serupa untuk direplikasi.
7. Perbarui sistem Anda
Pengembang sistem operasi terus-menerus membuat tambalan yang berusaha mengisi kerentanan yang telah dieksploitasi oleh ransomware di masa lalu. Faktanya, sistem perusahaan yang menambal dan memperbarui secara teratur dapat memblokir semua kecuali ransomware terbaru. Tetapi bahkan setelah serangan berhasil, jalankan patch untuk semua sistem Anda untuk mengurangi risiko insiden serupa di masa mendatang.
Respons Ransomware hanyalah awal dari pemberontakan
Meskipun tips yang kami bahas di sini berguna dan praktis, tidak ada peluru perak untuk merespons dan memulihkan ransomware. Ini adalah bagian dari alasan mengapa ransomware menjadi semakin populer di kalangan penyerang dunia maya. Namun, tidak melakukan apa-apa bukanlah pilihan. Biarkan tips ini menjadi dasar rencana respons ransomware Anda. Anda akan memiliki peluang lebih tinggi untuk memulihkan sistem Anda dalam keadaan utuh.
