Aktualności

ranso_guide

Ransomware – Przewodnik

Ransomware to rodzaj złośliwego oprogramowania, którego celem jest zaszyfrowanie plików na urządzeniu, co powoduje, że wszystkie pliki i systemy, które na nich bazują, nie nadają się do użytku. Złośliwe podmioty żądają następnie okupu w zamian za odszyfrowanie. W ostatnich latach incydenty związane z oprogramowaniem ransomware stały się coraz bardziej powszechne wśród krajowych podmiotów rządowych, samorządowych, innych instytucji publicznych i prywatnych podmiotów oraz organizacji infrastruktury krytycznej np. szpitale, podmioty branży energetycznej i wodociągowej.

Incydenty ransomware poważnie wpływają na procesy biznesowe i mogą pozostawić organizacje bez danych, które są im niezbędne do działania i świadczenia usług o znaczeniu krytycznym. Złośliwi hakerzy w celu uzyskania zapłaty, grożą ujawnieniem skradzionych danych w przypadku odmowy zapłaty, a także mogą dążyć do publicznego wymieniania i zawstydzania ofiar jako drugorzędnej formy wymuszenia. Wzrosła również wartość pieniężna żądań okupu – niektóre żądania przekraczają 1 milion dolarów. Incydenty te stały się bardziej destrukcyjne i mają coraz większy zasięg. Atakujący angażują się w ruchy inwigilacji i testowania podatności, aby namierzyć krytyczne dane i rozprzestrzenić ransomware w całych sieciach. Podmioty te coraz częściej stosują również taktyki, takie jak usuwanie kopii zapasowych systemu, które utrudniają lub uniemożliwiają przywrócenie i odzyskanie danych przez zaatakowane organizacje. Ekonomiczne i reputacyjne skutki incydentów z oprogramowaniem ransomware, przez cały okres początkowych zakłóceń i niekiedy długotrwałej odbudowy systemów informatycznych, okazały się wielkim wyzwaniem dla dużych i małych organizacji.

CISA i MS-ISAC udostępniły przewodnik, aby informować i wzmacniać obronę sieci i zmniejszyć narażenie na atak ransomware: Przewodnik składa się z dwóch części.

Część 1: Najlepsze praktyki zapobiegania ransomware

Bądźcie przygotowani

Proszę zapoznać się z poniższymi najlepszymi praktykami i źródłami, aby pomóc w zarządzaniu ryzykiem związanym z oprogramowaniem ransomware oraz wesprzeć skoordynowaną i skuteczną reakcję Państwa organizacji na incydent związany z oprogramowaniem ransomware. Należy stosować te praktyki w jak największym stopniu w zależności od dostępności zasobów organizacyjnych.

Kluczowe znaczenie ma utrzymywanie zaszyfrowanych kopii zapasowych danych w trybie offline oraz regularne testowanie kopii zapasowych. Procedury tworzenia kopii zapasowych powinny być przeprowadzane regularnie. Ważne jest, aby kopie zapasowe były utrzymywane w trybie offline, ponieważ wiele wariantów oprogramowania ransomware próbuje znaleźć i usunąć wszelkie dostępne kopie zapasowe. Utrzymywanie aktualnych kopii zapasowych w trybie offline ma największe znaczenie, ponieważ nie ma potrzeby płacenia okupu za dane, które są łatwo dostępne dla Państwa organizacji.

  • Utrzymywanie regularnie aktualizowanych „złotych obrazów” najważniejszych systemów na wypadek konieczności ich odbudowy. W tym celu należy utrzymywać „szablony” obrazów, które zawierają wstępnie skonfigurowany system operacyjny (OS) i związane z nim aplikacje, które można szybko wdrożyć w celu odbudowy systemu, takiego jak maszyna wirtualna lub serwer.
    • Zachować zapasowy sprzęt do odbudowy systemu w przypadku, gdy odbudowa systemu głównego nie jest preferowana.
    • Sprzęt, który jest nowszy lub starszy niż system podstawowy, może stanowić przeszkodę w instalacji lub kompatybilności podczas odbudowy z obrazów.
    • Oprócz obrazów systemu należy udostępnić odpowiednie kody źródłowe lub pliki wykonawcze (przechowywane w kopiach zapasowych, zabezpieczone, z umową licencyjną do uzyskania itp.) Przebudowa z obrazów systemu jest bardziej efektywna, ale niektóre obrazy nie zainstalują się prawidłowo na różnych sprzętach lub platformach; w takich przypadkach pomocny będzie oddzielny dostęp do potrzebnego oprogramowania.
  • Stworzenie, utrzymywanie i ćwiczenie podstawowego planu reagowania na incydenty cybernetyczne i związanego z nim planu komunikacji, który obejmuje procedury reagowania i powiadamiania o incydencie ransomware.
    • Zapoznanie się z dostępnymi wytycznymi dotyczącymi reagowania na incydenty, takimi jak Public Power Cyber Incident Response Playbook (https://www.publicpower. org/system/files/documents/Public-Power-Cyber-Incident-Response-Playbook.pdf), które są zasobem i przewodnikiem do:
      • pomóc Państwa organizacji w lepszym zorganizowaniu reagowania na incydenty cybernetyczne, oraz
      • Opracować plan reagowania na incydenty cybernetyczne.
    • Lista kontrolna reagowania na ransomware, która stanowi drugą połowę niniejszego przewodnika po ransomware, służy jako adaptowalny, specyficzny dla ransomware załącznik do organizacyjnych planów reagowania na incydenty cybernetyczne lub zakłócenia.

Wektor infekcji ransomware: Podatności i błędne konfiguracje w Internecie

  • Regularnie przeprowadzać skanowanie podatności, aby zidentyfikować i zlikwidować podatności, szczególnie te w urządzeniach internetowych, w celu ograniczenia powierzchni ataku.
  • Regularnie łatać i aktualizować oprogramowanie i systemy operacyjne do najnowszych dostępnych wersji.
    • Priorytetowo potraktować terminowe łatanie serwerów internetowych – jak również oprogramowania przetwarzającego dane internetowe, takie jak przeglądarki internetowe, wtyczki do przeglądarek i czytniki dokumentów – pod kątem znanych luk.
  • Upewnić się, że urządzenia są odpowiednio skonfigurowane i że funkcje bezpieczeństwa są włączone. Na przykład, wyłączyć porty i protokoły, które nie są wykorzystywane w celach biznesowych (np. Remote Desktop Protocol [RDP] – Transmission Control Protocol [TCP] Port 3389).
  • Stosowanie najlepszych praktyk w zakresie korzystania z RDP i innych usług pulpitu zdalnego. Podmioty odpowiedzialne za zagrożenia często uzyskują pierwszy dostęp do sieci poprzez odsłonięte i słabo zabezpieczone usługi zdalne, a następnie rozprzestrzeniają oprogramowanie ransomware. Patrz CISA Alert AA20-073A, Bezpieczeństwo Enterprise VPN (https://us-cert.cisa.gov/ncas/alerts/aa20-073a).
    • Audytować sieć pod kątem systemów korzystających z RDP, zamykać nieużywane porty RDP, wymuszać blokadę konta po określonej liczbie prób, stosować uwierzytelnianie wieloczynnikowe (MFA) i rejestrować próby logowania RDP.
  • Wyłączenie lub zablokowanie protokołu SMB (Server Message Block) na zewnątrz i usunięcie lub wyłączenie przestarzałych wersji SMB. Podmioty odpowiedzialne za zagrożenia wykorzystują SMB do rozprzestrzeniania złośliwego oprogramowania w organizacjach. Ze względu na to konkretne zagrożenie, organizacje powinny rozważyć następujące działania w celu ochrony swoich sieci:
    • Wyłączyć SMBv1 i v2 w sieci wewnętrznej, po uprzednim zniwelowaniu wszelkich istniejących zależności (ze strony istniejących systemów lub aplikacji), które mogą ulec uszkodzeniu po wyłączeniu.
    • Usunąć zależności poprzez aktualizacje i rekonfigurację: Uaktualnienie do SMBv3 (lub najbardziej aktualnej wersji) wraz z podpisaniem SMB.
    • Zablokować wszystkie wersje SMB przed dostępem z zewnątrz do Państwa sieci poprzez zablokowanie portu TCP 445 z powiązanymi protokołami na portach 137-138 User Datagram Protocol oraz TCP port 139.

Wektor infekcji Ransomware: Phishing

  • Wdrożenie programu uświadamiającego i szkoleniowego dla użytkowników w zakresie bezpieczeństwa cybernetycznego, zawierającego wskazówki, jak rozpoznawać i zgłaszać podejrzane działania (np. phishing) lub incydenty. Przeprowadzić testy phishingowe w całej organizacji, aby ocenić świadomość użytkowników i wzmocnić znaczenie identyfikacji potencjalnie złośliwych e-maili.
  • Wdrożenie filtrów na bramie poczty elektronicznej, aby odfiltrować wiadomości ze znanymi złośliwymi wskaźnikami, takimi jak znane złośliwe tematy, oraz zablokować podejrzane adresy IP na zaporze.
  • W celu zmniejszenia prawdopodobieństwa wystąpienia fałszywych lub zmodyfikowanych wiadomości e-mail z ważnych domen, należy wdrożyć politykę i weryfikację (Uwierzytelnianie wiadomości w oparciu o domenę, Raportowanie i zgodność). Polityka powinna opierać się na szeroko rozpowszechnionych zasadach polityki nadawcy i protokołach identyfikacji maili (Domain Keys Identified Mail), dodając funkcję raportowania, która umożliwia nadawcom i odbiorcom poprawę i monitorowanie ochrony domeny przed fałszywą pocztą elektroniczną.
  • Proszę rozważyć wyłączenie skryptów makr dla plików Microsoft Office przesyłanych pocztą elektroniczną. Makra te mogą być wykorzystane do dostarczenia oprogramowania ransomware.

Wektor infekcji ransomware: Prekursorska infekcja złośliwym oprogramowaniem

  • Upewnić się, że oprogramowanie antywirusowe i anty-malware oraz sygnatury są aktualne. Ponadto należy włączyć automatyczne aktualizacje dla obu rozwiązań. CISA zaleca korzystanie z centralnie zarządzanego rozwiązania antywirusowego. Umożliwia to wykrywanie zarówno złośliwego oprogramowania, jak i ransomware.
    • Infekcja ransomware może być dowodem na wcześniejsze, nierozwiązane zagrożenie sieci. Na przykład, wiele infekcji ransomware jest wynikiem istniejących infekcji złośliwym oprogramowaniem, takim jak TrickBot, Dridex lub Emotet.
    • W niektórych przypadkach wdrożenie ransomware jest tylko ostatnim krokiem w kompromisie sieciowym i jest porzucane jako sposób na zatuszowanie wcześniejszych działań po ataku.
  • Na wszystkich zasobach należy stosować listę dopuszczającą katalogi aplikacji, aby zapewnić, że tylko autoryzowane oprogramowanie może być uruchamiane, a wszystkie nieautoryzowane są blokowane.
    • Włączać katalogi aplikacji poprzez Microsoft Software Restriction Policy lub AppLocker.
    • Należy raczej korzystać z katalogów z zezwoleniami, niż próbować wymieniać wszystkie możliwe permutacje aplikacji w środowisku sieciowym. Bezpieczne ustawienia domyślne pozwalają na uruchamianie aplikacji z PROGRAMFILES, PROGRAMFILES(X86) i SYSTEM32. Nie zezwalać na wszystkie inne lokalizacje, chyba że zostanie przyznany wyjątek.
  • Rozważyć wdrożenie systemu wykrywania włamań (IDS) w celu wykrycia aktywności związanej z wydawaniem poleceń i kontrolą oraz innej potencjalnie złośliwej aktywności sieciowej, która występuje przed wdrożeniem oprogramowania ransomware.

Wektor infekcji ransomware: Strony trzecie i dostawcy usług zarządzanych

  • Należy wziąć pod uwagę praktyki zarządzania ryzykiem i higieny cybernetycznej stron trzecich lub dostawców usług zarządzanych (MSP), na których Państwa organizacja polega w realizacji swoich zadań. Dostawcy usług zarządzania (MSP) są wektorem infekcji dla oprogramowania ransomware oddziałującego na organizacje klientów.
  • Jeżeli za utrzymanie i zabezpieczenie kopii zapasowych Państwa organizacji odpowiedzialna jest strona trzecia lub dostawca usług zarządzanych, należy upewnić się, że przestrzegają oni odpowiednich najlepszych praktyk opisanych powyżej. Dobrą praktyką jest wykorzystanie języka umowy do sformalizowania Państwa wymagań w zakresie bezpieczeństwa.
  • Zrozumieć, że przeciwnicy mogą wykorzystać zaufane relacje, jakie Państwa organizacja utrzymuje z osobami trzecimi i dostawcami usług internetowych. Patrz APTs Targeting IT Service Provider Customers (APTs Targeting IT Service Provider Customers | CISA).
  • Napastnicy mogą atakować MSP w celu skompromitowania organizacji klientów MSP; mogą wykorzystywać połączenia sieciowe MSP i dostęp do organizacji klientów jako kluczowy wektor do rozprzestrzeniania złośliwego oprogramowania i ransomware.
  • Napastnicy mogą podszywać się pod tożsamość – lub wykorzystywać skompromitowane konta e-mail związane z podmiotami, z którymi Państwa organizacja ma zaufane relacje, aby wyłudzać informacje od użytkowników, umożliwiając w ten sposób kompromitację sieci i ujawnienie informacji.

Ogólne najlepsze praktyki i wskazówki dotyczące hartowania

  • W miarę możliwości stosować MFA dla wszystkich usług, w szczególności dla poczty internetowej, wirtualnych sieci prywatnych i kont, które mają dostęp do systemów krytycznych.
    • Jeżeli używają Państwo haseł, należy stosować silne hasła i nie używać ponownie haseł do wielu kont. Zmienić domyślne hasła. Wymusić blokadę konta po określonej liczbie prób logowania. Menedżerowie haseł mogą pomóc w tworzeniu i zarządzaniu bezpiecznymi hasłami.
  • Stosowanie zasady najmniejszego uprzywilejowania we wszystkich systemach i usługach, aby użytkownicy mieli tylko taki dostęp, jaki jest im potrzebny do wykonywania pracy. Osoby odpowiedzialne za zagrożenia często szukają kont uprzywilejowanych, aby wykorzystać je do zasypania sieci oprogramowaniem ransomware.
    • Ograniczenie uprawnień użytkowników do instalowania i uruchamiania aplikacji.
    • Ograniczyć możliwość logowania się lokalnego konta administratora z lokalnej sesji interaktywnej (np. „Odmowa dostępu do tego komputera z sieci.”) i uniemożliwić dostęp poprzez sesję RDP.
    • Usunąć zbędne konta i grupy oraz ograniczyć dostęp do konta root.
    • Kontrolować i ograniczać lokalną administrację.
    • Wykorzystać grupę Protected Users Active Directory w domenach Windows, aby jeszcze bardziej zabezpieczyć konta użytkowników uprzywilejowanych przed atakami pass-the-hash.
    • Regularnie przeprowadzać audyty kont użytkowników, w szczególności kont zdalnego monitorowania i zarządzania, które są publicznie dostępne – dotyczy to również audytów dostępu stron trzecich udzielanego dostawcom usług internetowych.
  • Wykorzystanie najlepszych praktyk i włączenie ustawień bezpieczeństwa w związku ze środowiskami chmurowymi, takimi jak Microsoft Office 365 (zalecenia dotyczące bezpieczeństwa Microsoft Office 365 | CISA).
  • Opracowanie i regularne aktualizowanie kompleksowego diagramu sieci, który opisuje systemy i przepływy danych w sieci Państwa organizacji (patrz rys. 1). Jest to przydatne w stanie ustalonym i może pomóc osobom reagującym na incydenty zrozumieć, na czym należy skupić swoje wysiłki.
    • Diagram powinien zawierać opisy głównych sieci objętych ochroną, wszelkie specyficzne schematy adresowania IP oraz ogólną topologię sieci (w tym połączenia sieciowe, współzależności oraz dostęp przyznany osobom trzecim lub MSP).
  • Zastosowanie logicznych lub fizycznych środków segmentacji sieci w celu oddzielenia różnych zasobów IT jednostek biznesowych lub działów w organizacji, jak również w celu utrzymania rozdziału między technologią informatyczną a operacyjną. Pomoże to ograniczyć skutki włamania do Państwa organizacji i zapobiec lub ograniczyć ruchy boczne atakujących. Na rysunkach 2 i 3 przedstawiono płaską (niesegmentowaną) sieć oraz sieć segmentowaną w oparciu o najlepsze praktyki.
    • Segmentacja sieci może być nieskuteczna, jeżeli zostanie naruszona przez błąd użytkownika lub nieprzestrzeganie zasad organizacyjnych (np. podłączenie wymiennych nośników danych lub innych urządzeń do wielu segmentów).
  • Upewnić się, że Państwa organizacja ma kompleksowe podejście do zarządzania zasobami.
    • Zrozumieć i zinwentaryzować aktywa IT organizacji, zarówno logiczne (np. dane, oprogramowanie), jak i fizyczne (np. sprzęt).
    • Zrozumieć, które dane lub systemy są najbardziej krytyczne dla zdrowia i bezpieczeństwa, generowania przychodów lub innych usług krytycznych, a także wszelkie związane z nimi współzależności (tj. „lista aktywów lub systemów krytycznych”). Pomoże to Państwa organizacji w określeniu priorytetów przywracania systemu w przypadku wystąpienia incydentu. Zastosowanie bardziej kompleksowych kontroli bezpieczeństwa lub zabezpieczeń w odniesieniu do aktywów krytycznych. Wymaga to koordynacji w skali całej organizacji.
  • Ograniczenie korzystania z PowerShell, za pomocą Group Policy, do konkretnych użytkowników w poszczególnych przypadkach. Zazwyczaj tylko ci użytkownicy lub administratorzy, którzy zarządzają siecią lub systemami operacyjnymi Windows powinni mieć prawo do korzystania z PowerShell. Uaktualnić PowerShell i włączyć ulepszone rejestrowanie. PowerShell jest wieloplatformowym, wierszem poleceń, powłoką i językiem skryptowym, który jest składnikiem systemu Microsoft Windows. Osoby odpowiedzialne za zagrożenia wykorzystują PowerShell do wdrażania ransomware i ukrywania swoich złośliwych działań.
    • Należy zaktualizować instancje PowerShell do wersji 5.0 lub nowszej i odinstalować wszystkie wcześniejsze wersje PowerShell. Logi z PowerShell przed wersją 5.0 albo nie istnieją, albo nie rejestrują wystarczająco dużo szczegółów, aby pomóc w monitorowaniu przedsiębiorstwa i reagowaniu na incydenty.
      • Logi PowerShell zawierają cenne dane, w tym historyczne interakcje z systemem operacyjnym i rejestrem oraz możliwe taktyki, techniki i procedury wykorzystania PowerShell przez cyberprzestępców.
    • Upewnić się, że instancje PowerShell (użyć najbardziej aktualnej wersji) mają włączone rejestrowanie modułów, bloków skryptów i transkrypcji (rozszerzone rejestrowanie).
      • Dwa dzienniki, które rejestrują aktywność PowerShell, to dziennik zdarzeń Windows „PowerShell” i dziennik operacyjny „PowerShell”. CISA zaleca włączenie tych dwóch dzienników zdarzeń Windows z okresem przechowywania 180 dni. Dzienniki te należy regularnie sprawdzać, aby potwierdzić, czy dane dziennika zostały usunięte, czy też logowanie zostało wyłączone. Ustawić dozwolony rozmiar pamięci dla obu dzienników na możliwie duży.

Sieć podzielona na segmenty i niesegmentowana

  • Zabezpieczyć kontrolery domeny (DC). Osoby odpowiedzialne za zagrożenia często biorą na celownik i wykorzystują kontrolery domeny jako punkt etapowy do rozprzestrzeniania ransomware w całej sieci.
  • Poniższa lista zawiera ogólne sugestie, jak najlepiej zabezpieczyć DC:
    • Zapewnienie regularnego łatania komputerów DC. Obejmuje to jak najszybsze zastosowanie poprawek krytycznych.
    • Upewnić się, że na stacjach DC używana jest najbardziej aktualna wersja systemu operacyjnego Windows Server. Funkcje bezpieczeństwa są lepiej zintegrowane w nowszych wersjach systemów operacyjnych Windows Server, w tym funkcje bezpieczeństwa Active Directory. Podczas konfigurowania dostępnych zabezpieczeń należy korzystać z przewodników konfiguracji Active Directory, takich jak te dostępne w firmie Microsoft (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-forsecuring-active-directory).
    • Upewnić się, że na komputerach DC nie jest zainstalowane żadne dodatkowe oprogramowanie lub agenci, ponieważ mogą oni zostać wykorzystani do uruchomienia dowolnego kodu w systemie.
    • Dostęp do DC powinien być ograniczony do grupy Administratorów. Użytkownicy w tej grupie powinni być ograniczeni i posiadać oddzielne konta używane do codziennych operacji z uprawnieniami nie administracyjnymi.
    • Firewalle hostów DC powinny być skonfigurowane tak, aby uniemożliwić dostęp do Internetu. Zazwyczaj systemy te nie mają uzasadnionej potrzeby bezpośredniego dostępu do Internetu. Serwery aktualizacyjne z dostępem do Internetu mogą być wykorzystywane do pobierania niezbędnych aktualizacji zamiast zezwalania na dostęp do Internetu dla komputerów DC.
  • CISA zaleca następujące ustawienia Polityki Grupy DC: (Uwaga: Nie jest to pełna lista i należy podjąć dalsze kroki w celu zabezpieczenia komputerów DC w środowisku).
  • Do uwierzytelniania zalecany jest domyślny protokół Kerberos, ale jeśli nie jest on używany, należy włączyć audyt NTLM, aby upewnić się, że przez sieć przesyłane są tylko odpowiedzi NTLMv2. Należy podjąć środki, aby zapewnić, że odpowiedzi LM i NTLM są odrzucane, jeżeli to możliwe.
  • Włączenie dodatkowych zabezpieczeń dla Lokalnego Uwierzytelniania Bezpieczeństwa, aby zapobiec wstrzyknięciu kodu, który mógłby pobrać dane uwierzytelniające z systemu. Przed włączeniem tych zabezpieczeń należy przeprowadzić audyty programu lsass.exe, aby zapewnić zrozumienie programów, na które będzie miało wpływ włączenie tego zabezpieczenia.
  • Zapewnić, że pomiędzy hostami a DC wymagane jest podpisywanie SMB, aby zapobiec wykorzystaniu ataków typu replay w sieci. Podpisywanie SMB powinno być egzekwowane w całej domenie jako dodatkowa ochrona przed takimi atakami w innych miejscach środowiska.
  • Zachowanie i odpowiednie zabezpieczenie logów zarówno z urządzeń sieciowych, jak i lokalnych hostów. Pomaga to w rozwiązywaniu problemów i usuwaniu skutków zdarzeń związanych z bezpieczeństwem cybernetycznym. Logi mogą być analizowane w celu określenia wpływu zdarzeń i stwierdzenia, czy doszło do incydentu.
    • Scentralizowane zarządzanie dziennikami za pomocą narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa. Umożliwia to organizacji korelację dzienników z urządzeń zabezpieczających zarówno sieciowych, jak i hostów. Przeglądając logi z wielu źródeł, organizacja może lepiej ocenić pojedyncze zdarzenie i określić jego wpływ na całą organizację.
    • Przechowywanie i tworzenie kopii zapasowych logów dla systemów krytycznych przez okres co najmniej jednego roku, jeżeli to możliwe.
  • Analiza aktywności sieciowej w ciągu kilku miesięcy w celu określenia wzorców zachowania, aby łatwiej było odróżnić normalną, zgodną z prawem aktywność od anomalii sieciowych (np. (np. normalna i anomalna aktywność konta).
    • Rejestrowanie transakcji biznesowych – np. rejestrowanie aktywności związanej z określonymi lub krytycznymi aplikacji – jest kolejnym użytecznym źródłem informacji dla analityki behawioralnej.

Część 2: Lista kontrolna reakcji na ransomware

Jeżeli Państwa organizacja padnie ofiarą ransomware, CISA zdecydowanie zaleca reagowanie przy użyciu poniższej listy kontrolnej. Należy pamiętać, aby przejść kolejno przez pierwsze trzy kroki.

Wykrywanie i analiza

  1. Ustalić, które systemy zostały zaatakowane i natychmiast je odizolować.
    • Jeżeli zaatakowanych jest kilka systemów lub podsieci, należy wyłączyć sieć na poziomie przełącznika. Odłączenie poszczególnych systemów podczas incydentu może być niewykonalne.
    • Jeżeli tymczasowe wyłączenie sieci nie jest natychmiast możliwe, należy zlokalizować kabel sieciowy (np. Ethernet) i odłączyć zaatakowane urządzenia od sieci lub usunąć je z sieci Wi-Fi, aby powstrzymać infekcję.
    • Po pierwszym ataku złośliwi atakujący mogą monitorować aktywność lub komunikację Państwa organizacji, aby dowiedzieć się, czy ich działania zostały wykryte. Należy pamiętać o skoordynowanym izolowaniu systemów i stosowaniu metod komunikacji poza pasmem, takich jak rozmowy telefoniczne lub inne środki, aby nie dać do zrozumienia atakującym, że zostali wykryci i że podejmowane są działania zaradcze. Zaniechanie tego może spowodować, że atakujący będą się przemieszczać na boki, aby zachować swój dostęp – co już jest częstą taktyką – lub szeroko rozlokować ransomware przed wyłączeniem sieci.
    • Uwaga: Krok 2 uniemożliwi Państwu zachowanie artefaktów infekcji ransomware i potencjalnych dowodów przechowywanych w pamięci lotnej. Należy go wykonać tylko wtedy, gdy nie jest możliwe tymczasowe wyłączenie sieci lub odłączenie zainfekowanych hostów od sieci za pomocą innych środków.
  2. Tylko w przypadku, gdy nie można odłączyć urządzeń od sieci, należy je wyłączyć, aby uniknąć dalszego rozprzestrzeniania się infekcji ransomware.
  3. Określenie systemów dotkniętych problemem do przywrócenia i odzyskania.
    • Zidentyfikować i nadać priorytet systemom krytycznym do przywrócenia, a także potwierdzić charakter danych znajdujących się na zaatakowanych systemach.
    • Ustalenie priorytetów w zakresie przywracania i odzyskiwania danych w oparciu o zdefiniowaną wcześniej listę zasobów krytycznych, która obejmuje systemy informatyczne o znaczeniu krytycznym dla zdrowia i bezpieczeństwa, generowania przychodów lub innych usług krytycznych, a także systemy, od których są one zależne.
  4. Śledzić systemy i urządzenia, które nie są postrzegane jako zagrożone, aby można było nadać im priorytety w zakresie przywracania i odtwarzania. Dzięki temu Państwa organizacja będzie mogła wrócić do pracy w bardziej efektywny sposób.
  5. Proszę porozmawiać z Państwa zespołem, aby na podstawie wstępnej analizy opracować i udokumentować wstępne zrozumienie tego, co się stało.
  6. Korzystając z poniższych informacji kontaktowych, należy zaangażować wewnętrzne i zewnętrzne zespoły oraz interesariuszy w celu ustalenia, co mogą oni zapewnić, aby pomóc Państwu w łagodzeniu skutków zdarzenia, reagowaniu na nie i przywracaniu sprawności.
    • Proszę podzielić się informacjami, którymi Państwo dysponują, aby otrzymać jak najbardziej aktualną i odpowiednią pomoc. Informowanie kierownictwa i liderów wyższego szczebla poprzez regularne aktualizacje w miarę rozwoju sytuacji. Do zainteresowanych stron można zaliczyć dział IT, dostawców zarządzanych usług bezpieczeństwa, firmę ubezpieczeniową od cyberprzestępczości oraz liderów departamentów lub wybranych.
  7. Wykonać obraz systemu i przechwycić pamięć na próbce urządzeń, których dotyczy problem (np. stacje robocze i serwery). Dodatkowo należy zebrać wszelkie istotne logi, jak również próbki wszelkich „prekursorskich” binarek złośliwego oprogramowania i związanych z nimi elementów obserwacyjnych lub wskaźników kompromisu (np. podejrzane adresy IP dowodzenia i kontroli, podejrzane wpisy w rejestrze lub inne wykryte istotne pliki). Poniższe kontakty mogą być pomocne w wykonaniu tych zadań.
    • Należy zadbać o zachowanie dowodów o dużej zmienności lub o ograniczonym okresie przechowywania, aby zapobiec ich utracie lub manipulowaniu nimi (np. pamięć systemowa, dzienniki zabezpieczeń systemu Windows, dane w buforach dziennika zapory).
  8. Skonsultować się z organami ścigania i bezpieczeństwa cybernetycznego w sprawie ewentualnych dostępnych deszyfratorów, ponieważ badacze bezpieczeństwa złamali już algorytmy szyfrowania niektórych wariantów ransomware dla danego wariantu ransomware i wykonać wszelkie dodatkowe zalecane kroki w celu zidentyfikowania i opanowania systemów lub sieci, których wpływ został potwierdzony.
  9. Unieszkodliwić lub uniemożliwić wykonanie znanych binariów ransomware; to zminimalizuje szkody i wpływ na Państwa systemy. Usunąć inne znane, powiązane wartości rejestru i pliki.
  10. Zidentyfikować systemy i konta biorące udział w pierwszym naruszeniu. Może to obejmować konta e-mail.
  11. Dodatkowe sugerowane działania – szyfrowanie danych po stronie serwera – szybkie kroki identyfikacyjne:
    • W przypadku stwierdzenia, że dane po stronie serwera są szyfrowane przez zainfekowaną stację roboczą, należy wykonać szybkie kroki identyfikacyjne:
      1. Przejrzeć Zarządzanie komputerem > Sesje i listy otwartych plików na powiązanych serwerach, aby ustalić, który użytkownik lub system ma dostęp do tych plików.
      2. Przejrzeć właściwości plików zaszyfrowanych lub noty okupu, aby zidentyfikować konkretnych użytkowników, którzy mogą być związani z własnością plików.
      3. Przejrzeć dziennik zdarzeń TerminalServices-RemoteConnectionManager w celu sprawdzenia udanych połączeń sieciowych RDP.
      4. Przejrzeć dziennik zabezpieczeń systemu Windows, dziennik zdarzeń SMB i inne powiązane dzienniki, które mogą zidentyfikować znaczące połączenia sieciowe, wszelkie powiązane dzienniki, które mogą zidentyfikować istotne zdarzenia uwierzytelniania lub zdarzeń dostępu.
      5. Uruchomić Wireshark na zaatakowanym serwerze z filtrem, aby zidentyfikować zidentyfikować adresy IP biorące udział w aktywnym zapisywaniu lub zmianie nazw plików (np. plików (np. „smb2.filename contains cryptxxx”).
  1. Przeprowadzić analizę istniejących organizacyjnych systemów wykrywania lub zapobiegania (antywirusowych, Endpoint Detection & Response, IDS, Intrusion Prevention System itp. ) i logi. Może to ujawnić dowody na istnienie dodatkowych systemów lub złośliwego oprogramowania zaangażowanego we wcześniejsze etapy ataku.
    • Szukać dowodów na istnienie prekursorskiego złośliwego oprogramowania typu „dropper”. Zdarzenie związane z oprogramowaniem ransomware może być dowodem na wcześniejsze, nierozwiązane problemy z siecią. Wiele infekcji ransomware jest wynikiem istniejących infekcji złośliwym oprogramowaniem, takim jak TrickBot, Dridex lub Emotet.
      1. Operatorzy tych zaawansowanych wariantów złośliwego oprogramowania często sprzedają dostęp do sieci. Atakujący czasami wykorzystują ten dostęp do eksfiltracji danych, a następnie grożą publicznym ujawnieniem tych danych przed splądrowaniem sieci, próbując w ten sposób jeszcze bardziej wymusić na ofierze zapłatę.
      2. Złośliwi atakujący często podrzucają do sieci ręcznie wdrożone warianty ransomware, aby ukryć swoją aktywność po ataku. Należy zadbać o identyfikację takiego złośliwego oprogramowania dropper przed odbudową z kopii zapasowych, aby zapobiec dalszemu kompromitowaniu.
  1. Przeprowadzenie rozszerzonej analizy w celu zidentyfikowania mechanizmów trwałości typu outside-in i inside-out.
    • Outside-in może obejmować uwierzytelniony dostęp do systemów zewnętrznych za pośrednictwem nieuczciwych kont, backdoory w systemach perymetrycznych, wykorzystanie zewnętrznych luk w zabezpieczeniach itp.
    • Utrzymywanie się na zewnątrz może obejmować implanty złośliwego oprogramowania w sieci wewnętrznej lub różne modyfikacje w stylu „living off-the-land” (np. wykorzystanie komercyjnych narzędzi do testów penetracyjnych, takich jak Cobalt Strike; wykorzystanie pakietu PsTools, w tym PsExec, do zdalnego instalowania i kontrolowania złośliwego oprogramowania oraz zbierania informacji dotyczących systemów Windows lub zdalnego zarządzania nimi; wykorzystanie skryptów PowerShell).
    • Identyfikacja może obejmować wdrożenie rozwiązań w zakresie wykrywania i reagowania na punkty końcowe, audyty kont lokalnych i domenowych, badanie danych znalezionych w scentralizowanych systemach logowania lub głębszą analizę kryminalistyczną konkretnych systemów po zmapowaniu ruchu w środowisku.
  2. Odbudowa systemów w oparciu o priorytety usług krytycznych (np. zdrowie i bezpieczeństwo lub usługi generujące przychody), z wykorzystaniem wstępnie skonfigurowanych obrazów standardowych, jeśli to możliwe.
  3. Po całkowitym oczyszczeniu i odbudowaniu środowiska (w tym wszystkich powiązanych kont, których to dotyczy, oraz usunięciu lub zlikwidowaniu złośliwych mechanizmów utrzymywania się), należy zresetować hasła do wszystkich systemów, których to dotyczy, oraz zlikwidować wszelkie związane z tym luki w zabezpieczeniach lub widoczności. Może to obejmować zastosowanie łatek, aktualizację oprogramowania i podjęcie innych środków ostrożności, które nie były wcześniej podejmowane.
  4. Na podstawie ustalonych kryteriów, które mogą obejmować podjęcie powyższych kroków lub zwrócenie się o pomoc zewnętrzną, wyznaczony organ ds. informatyki lub bezpieczeństwa informatycznego ogłasza koniec incydentu ransomware.
  5. Ponowne podłączenie systemów i przywrócenie danych z zaszyfrowanych kopii zapasowych offline w oparciu o priorytetyzację usług krytycznych.
  6. Uważać, aby podczas odzyskiwania nie zainfekować ponownie czystych systemów. Na przykład, jeżeli na potrzeby odzyskiwania utworzono nową wirtualną sieć lokalną, należy upewnić się, że dodawane są do niej tylko czyste systemy.
  7. Udokumentować wnioski wyciągnięte z incydentu i związanych z nim działań w celu uaktualnienia – i udoskonalenia – polityk, planów i procedur organizacji oraz pokierowania przyszłymi ćwiczeniami w tym zakresie.
  8. Rozważyć możliwość podzielenia się wyciągniętymi wnioskami i istotnymi wskaźnikami kompromisu z CISA lub ISAC/ISAO Państwa sektora w celu dalszego dzielenia się nimi i wykorzystania ich przez innych w ramach społeczności.

Materiał opracowany na podstawie materiałów CISA.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM