Nori zuzenduta dago?
Edozein erakunde publiko edo pribaturi, tamaina gorabehera, zibermehatxuari ezin hobeki aurre egite aldera, ransomwarearen gorabeherei erantzuteko jardun onak modu proaktiboan ezagutu nahi baditu. Hala, erakundean mota horretako gorabeheraren eragina murriztuko da.
Zer da?
Ransomwarea kode gaiztoa da. Interneti konektatutako ekipoak eta gailuak bahitzen ditu, eta erasoaren xede den gailutik dokumentuak eta beste fitxategi batzuk suntsitzeko mehatxua egiten du. Ransomwareak ekipo bat infektatzen duenean, fitxategi batzuk enkriptatzen ditu eta, ondorioz, ezin daiteke dokumentu enkriptatu horietan sartu. Une horretan malwareak ohar bat bistaratzen du. Horren arabera, informazioari enkriptazioa kendu eta hori berreskuratzeko erreskatea ordaindu beharko da (ransom ingelesez, eta hortik dator ransomware izena).
Halako programa gaiztoekin infektatzeko hainbat modu daude. Oro har, erasotzaileek kalteberatasunak ustiatzen dituzte, gakoak arriskuan jarri ere bai edo sozietatearen ingeniaritzako tekniketara jotzen dute biktimak fitxategi gaiztoa egikaritzeko.
Talde ziberkriminalek erasoak gero eta hobeto egiten dituzte, etengabe egokituz doaz, eta, gainera, haien helburuak orokortu dira, beraz, kezka areagotu da, eta erakundeetara heldu da. Ildo horri eutsiz, hauek gorabehera horien aurrean prestatu eta erantzuteko gaitasuna hobetzea ezinbestekotzat jotzen dute.
Zer egin Ransomwarearen gorabehera jasan baduzu?
Erakundeak ransomwarearen gorabehera bat jasaten duenean, jarduketa eraginkorra izan dadin, ondorengo fase hauek kontuan hartu beharko dira:
Identifikazioa.
Lehenengo urratsa da gorabehera identifikatzea. Fase honetan informazio posible guztia bilduko da izan daitekeen konponbidea eta hurrengo urratsak definitzeko. Hurrengo faseetan erabaki zuzenak hartzen direla bermatze aldera, gutxienez honako puntu hauei erantzun beharko zaie:
- Gorabehera detektatzeko metodoa erregistratzea.
- Gorabeheraren hasierako balizko data zehaztea.
- Hasieran izan dezakeen irismena identifikatzea.
- Ukitutako zerbitzuari eta arriskuan egon daitekeen informazioari dagokionez, gorabeheraren eragina ebaluatzea.
- Gorabehera ekarri duen balizko sarrera-bektorea ikuskatzea.
- Gorabeherari buruzko balizko ebidentzia guztiak biltzea. (Ransomwarearen erreskate-oharra Fitxategi enkriptatuen laginak).
- Gorabehera egoera zehaztea (aktiboa, ebatzita, aurrera egiten...).
- Gailuetan dagoen ransomwarearen familia aztertzea.
Mehatxuari eustea, arintzea.
Erasoaren ransomwarearen familia, egungo eragina nahiz irismena identifikatzen diren bitartean, ez hedatzeko ekintzak inplementatuko dira.
Gailua saretik deskonektatzea.
Gorabeheraren balizko irismena minimizatzen saiatzeko eta aztertze aldera ebidentziak minimizatzeko, ekipoan honako ekintza hauek gauzatuko ditugu:
- Ekipoa saretik isolatzea, bai eskuz, bai erakundeko sare-sistemak erabiliz.
- Enkriptaketarekin lotutako prozesua bilatu eta exekuzioa gelditzea. Ez bada amaitu, enkriptaketa geldituko da, prozesu neketsua izan daiteke, eta, agian, tresna edo profil tekniko adituak beharko dira.
- Nahasitako gailuaren segurtasun-kopia egitea; horrek bermatuko du ingurune kontrolatuan ekipoa aztertzea.
- Ekipoa modu seguruan abiarazteari esker, ransomwarea iraunkorra bada, prozesua ez da berriz berrabiaraziko.
Sarea segmentatzea.
Artefaktuan egon daitezkeen ezaugarriak direla eta (pribilegioak eskalatzea, alboko mugimenduak, informazioa lapurtzea), agian, sarearen segmentazioa berriz diseinatu beharko da, infekzioan nahasita dauden elementuak erabat isolatzeko eta segurtasun-elementuak kokatzeko. Modu horretan, erakundean sareko fluxua eta portaera ikusgai geldituko da.
Erakundearen segurtasun-sistemetan ekintzak.
Erasotzailearen gaitasuna mugatu, murriztu eta apaltzeko, hurrengo ekintza hauek gauzatu beharko dira:
- Arriskuan dauden ekipoetatik datu sentiberak eta kritikoak kentzea.
- Erasotzailearen jarduera monitorizatzea.
- Irteerako konexioak blokeatzea.
- Balizko eraso-bideak moztea.
- Gailu guztietan AV sinadurak eta Soren adabakiak eguneratzea.
- Ukitutako erabiltzaileen gakoak aldatzea.
Informazioa eta zerbitzuak berreskuratzea.
Gorabehera eutsi eta identifikatzea lortu denean, ahaleginak zerbitzua ahalik eta lasterren berreskuratzera bideratu behar dira. Horretarako, hurrengo
zeregin hauek gauzatuko dira eraso bera berriz ez dela errepikatzen ziurtatzen saiatzeko. Betiere estortsioa ez ordaintzen saiatuko da, ordainketarekin ez baita bermatzen arriskuan dagoen informazioa edo enkriptatutakoa berreskuratuko denik.
- Backupak berrezartzea. Aldez aurretik ikuskatuko dira, arriskuan ez daudela seguru egoteko.
- Kaltetutako elementuetatik enkriptazioa ken daitekeen ikuskatzea. Tresna batzuek ransomware-familia zehatzen kasuan informazioa berreskuratzea ahalbidetzen dute.
- Erakundearen segurtasun-neurriak indartzea, hala nola:
- Pasahitzen politika
- Faktore bikoitza sartzea
- Segurtasun-adabakiak eguneratzea
- Monitorizazio-sistemetan UC berriak.
- Portaera eta AV sinadurak eguneratzea
- Beharrezkoak ez diren komunikazioak moztea
- Antispam sistemak ikuskatzea.
- Argitaratutako zerbitzu kalteberak ikuskatzea.
- Hirugarrenekin komunikazioak pixkana irekitzea.
- Epe labur eta luzera dauden sistemetan eta prozeduretan hobekuntza-jarraibideak zehaztea, enpresan zibersegurtasunaren heldutasun-sistema bilakatzeko.
Erreferentziazko eta laguntzeko webguneak.
Azkeneko urteetan zenbait plataforma antolatu dira ransomwareari aurre egiten laguntzeko. Halako malware-mota jasanez gero, webgune horiek laguntza eta aholkuak ematen dituzte. Ezagunenak ondorengo hauek dira:
https://www.nomoreransom.org/es/index.html