A plati sau a nu plati: ransomware

Nu este o decizie simpla.
Dar este un subiect important.
Pe cat de dureros poate parea, angajarea astazi in acest dialog va poate asigura ca, la momentul unui eveniment de securitate, veti fi pregatit sa raspundeti eficient, sau chiar mai bine, sa evitati cu totul producerea evenimentului nedorit.
Pentru ca nimeni nu ar trebui sa fie pus in situatia de a se supune cerintelor unui infractor. Cu o strategie solida de salvare si recuperare a datelor, nici nu trebuie sa faceti asta.
Ar trebui sa platiti rascumpararea?
Recomandarea FBI este ca nicio persoana sau organizatie sa nu plateasca vreodata rascumpararea; aceste plati ii incurajeaza pe infractorii cibernetici sa-si escaladeze atacurile.
Cu toate acestea, organizatiile sunt prinse la mijloc: intre pierderile de date rezultate, timpul de nefunctionare, posibilele pierderi generale de business, impactul financiar asupra clientilor, poate chiar amenintarea cu viata in cazul sistemelor de sanatate si santajul cibernetic.
Chiar si cu o solutie de backup si de recuperare care nu este suficient de robusta, unele organizatii considera ca a plati pur si simplu suma solicitata poate fi o solutie mai rapida si mai rentabila, pentru a avea cat mai rapid operatiunile functionale.
Cu o balanta atat de fragila, este important sa analizati motivele pentru care ati putea plati si de modul in care puteti efectua rapid plata respectiva.
Nu trebuie insa uitat ca infractorii cibernetici nu au tocmai rating maxim pentru serviciile cu clientii. Este greu de spus daca este rezultatul incompetentei sau al rea-vointei, dar sunt numeroase situatii in care organizatiile si-au decodificat fisierele pentru a-si gasi datele corupte – sau au facut plata solicitata, iar imediat au primit o a doua cerere de rascumparare.
Daca ne uitam la statisticile legate de plata cererilor de rascupare, situatia nu este chiar incurajatoare:

• Un sondaj recent al grupului CyberEdge a constatat ca doar putin peste jumatate din organizatiile care au platit rascumparare au recuperat efectiv datele
  
• Un raport SentinelOne a constatat ca numai 26% dintre organizatiile care au platit au reusit sa-si deblocheze fisierele
  
• Acelasi raport SentinelOne a constatat, de asemenea, ca, 73% din organizatiile care au efectuat plati de rascumparare au fost atacate din nou

Cum sa platiti rascumpararea
Daca sunteti pusi in fata unei situatii fara iesire si nu exista alte optiuni viabile de a va recupera datele decat platind rascumpararea, s-ar putea sa inclinati sa efectuati aceasta plata, in ciuda riscurilor.
Daca ati decis acest lucru (desi nu recomandam aceasta varianta), ar fi bine ca macar sa aveti in vedere o serie de detalii:

1. Confirmati cerintele de rascumparare – cat trebuie sa platiti, unde sa platiti si cat timp trebuie sa platiti. Aceste informatii vor fi cel mai probabil prezente pe ecranul ransomware sau intr-un fisier text cu instructiuni de decriptare.
2. Asigurati-va disponibilitate Bitcoin. Partenerul nostru de consortiu Ransomware Watch, KnowBe4, recomanda Coinbase daca aveti patru zile pentru a finaliza tranzactia. Daca termenul pentru plata rascumpararii este scurt, va recomandam sa folositi LocalBitcoinsto pentru a identifica un broker.
3. Instalati browserul TOR din TOR Project. Odata instalat, veti putea naviga pe site-ul web al atacatorului pentru a finaliza procesul de plata.
4. Transferati Bitcoins catre atacatorul de rascumparare. Bitcoin wallet ID al atacatorului se gaseste in instructiunile de plata; conectati-va la contul dvs. bitcoin si executati un transfer.
5. Confirmati transferul bitcoin. In unele cazuri, desi nu toate, va trebui sa introduceti confirmarea tranzactiei bitcoin intr-un camp de pe site-ul atacatorului.
6. Decriptati fisierele. Dupa o perioada de asteptare, care se poate extinde uneori la mai multe ore, este posibil sa primiti o cheie de decriptare care va va permite sa va recuperati fisierele.

Cum sa nu iti pese de atacurile ransom
Cu o planificare corecta si testarea adecvata a recuperarii din dezastre, puteti sa va restaurati serverele, aplicatiile si datele fara a plati un singur bitcoin.
In plus, daca vom actiona ca o comunitate globala activa in ceea ce priveste sustinerea datelor si testarea recuperarii, actele de rascumparare vor deveni neprofitabile – eliminand usor-usor acest tip de infractionalitate.
 
Ce recomandam:

• Planificati cu atentie RPO si RTO pentru fiecare server, aplicatie si tip de date
• Pe baza informatiilor de mai sus, stabiliti o strategie de rezerva care sa corespunda financiar SLA-ului
• Asigurati-va ca strategia dvs. de rezerva are redundante functionale – in mod ideal, cu copiile actualizate periodic onsite, offsite si offline
• Asigurati-va ca serverele de backup nu se bazeaza drivere partajate
• Protejati-va serverele de backup cu programe anti-malware / anti-virus si faceti backup la backup
• Segmentati-va reteaua pentru a limita daunele in cazul in care mediul dvs. este infectat
• Dezactivati Remote Desktop Protocol pe Internet
• Utilizati un VPN inainte de a va conecta la echipamentele remote
• Limitati accesul serverului de backup numai pentru personalul IT necesar
• Nu navigati pe Internet de pe serverul de backup, cu exceptia accesului la actualizari si la patch-uri
• Realizati testari uzuale ale procesului de recuperare din dezastre pentru a va asigura ca datele dvs. vor fi acolo cand aveti nevoie de ele. Cu o solutie robusta si redundanta de backup si recuperare a datelor si cu respectarea stricta a acestor practici, veti putea pastra controlul si nu veti mai fi intimidat de posibilele atacuri ransomware.

Articolul a fost preluat de aici.