So navigieren Sie durch einen Ransomware-Wiederherstellungsprozess

Wenn Ihre Abwehrkräfte und Backups trotz Ihrer Bemühungen fehlschlagen, können Sie Ihre Ransomware-Wiederherstellungsaufwand Sie können einen von mehreren Pfaden einschlagen, um die Normalität Ihres Unternehmens wiederherzustellen.

Ransomware ist schon schlimm genug. Beeilen Sie sich nicht, Systeme und Workloads wieder online zu stellen und zusätzliche Probleme zu verursachen. Der erste Punkt auf Ihrer Tagesordnung ist die Bestandsaufnahme dessen, was noch funktioniert und was repariert werden muss. Dies muss schnell, aber ohne Fehler erfolgen. Das Management möchte wissen, was zu tun ist, aber Sie können erst dann einen Bericht erstellen, wenn Sie ein umfassendes Verständnis haben. Während Sie nicht jeden einzelnen Server ausfallen müssen, müssen Sie alles kategorisieren. Denken Sie an Active Directory, Dateiserver, Backups, Netzwerkinfrastruktur, E-Mail und Kommunikation sowie Produktionsserver.

Bestandsaufnahme der Situation

Die Liste der betroffenen Systeme und VMs ist nicht vollständig. Sie müssen mit Maschinen beginnen, die Priorität haben, und Produktionsserver sind dies in diesem Fall nicht. Wenn Active Directory nicht verfügbar ist, werden die meisten Ihrer Produktionsserver – und die IT-Infrastruktur – sicher nicht ordnungsgemäß ausgeführt, selbst wenn sie nicht direkt betroffen sind.
Überprüfen Sie zunächst Ihre Sicherungen, bevor Sie irgendwo anders eine Ransomware-Wiederherstellung durchführen. Zu viele Leute haben verschlüsselte VMs gelöscht, nur um festzustellen, dass die Malware ihre Backup-Systeme ausgelöscht hat und sich immer weiter verschlechtert. Fehler passieren, wenn Sie sich beeilen.
Ein relativ einfacher Weg zum Wiederherstellen von Servern ist vorhanden, wenn Ihre Sicherungen intakt, aktuell und betriebsbereit sind. Der Wiederherstellungsprozess muss getestet werden, bevor Sie VMs löschen. Versuchen Sie, betroffene Computer nicht zu entfernen, sondern in einen Speicher niedrigerer Ebene, einen externen Speicher oder sogar einen lokalen Speicher auf einem Host zu verschieben. Ihr Ziel ist es, die verschlüsselten VMs aus dem Weg zu räumen, damit Sie Platz zum Arbeiten haben. Versuchen Sie dann die Wiederherstellungen und bringen Sie die VMs zum Laufen, bevor Sie ihr verschlüsseltes Gegenstück entfernen.

Es könnte an der Zeit sein, schwierige Entscheidungen zu treffen

Wenn der Angriff Ihr Backup-System beschädigt hat oder die Ransomware-Wiederherstellungsbemühungen fehlgeschlagen sind, muss jemand über Ihrer Gehaltsstufe einige Entscheidungen treffen. Sie müssen einige schwierige Gespräche führen, auch weil die Verantwortung für die Backups – und deren Zuverlässigkeit – bei Ihnen lag. Es ist möglich, dass es aus verschiedenen Gründen nicht ganz Ihre Schuld ist, z. B. weil Sie nicht die richtige Finanzierung erhalten. Dies muss ein Gespräch für einen späteren Zeitpunkt sein. Im Moment ist es Zeit, eine Entscheidung zu treffen: Bezahlen Sie das Lösegeld, bauen Sie die Systeme neu auf oder reichen Sie einen Bericht ein.
Die Berichterstattung erfordert die Einbeziehung der Geschäftsleitung und des Rechtsteams des Unternehmens. Wenn Sie für eine staatliche Einrichtung oder eine Aktiengesellschaft arbeiten, haben Sie möglicherweise sehr spezifische Richtlinien, die Sie aus rechtlichen Gründen befolgen müssen. Wenn Sie für ein privates Unternehmen arbeiten, haben Sie immer noch mögliche rechtliche Probleme mit Ihren Kunden darüber, was Sie offenlegen können und was nicht. Egal was Sie sagen, es wird nicht gut aufgenommen. Sie möchten ehrlich zu Ihren Kunden sein, aber Sie müssen auch aufmerksam sein und die Anzahl der Daten, die Sie öffentlich teilen, begrenzen.
Der andere Aspekt der Berichterstattung betrifft die Behörden. Ihre Organisation war möglicherweise nicht einmal das beabsichtigte Ziel, wenn Sie von einer älteren Ransomware-Variante getroffen wurden. In diesem Fall ist möglicherweise ein Entschlüsselungswerkzeug vorhanden. Es ist ein langer Weg, aber etwas, das es wert ist, überprüft zu werden, bevor Sie es von Grund auf neu erstellen.
Die Bezahlung der Ransomware ist zwar unangenehm, aber auch eine Option. Sie müssen überlegen, wie viel es kostet, es wieder aufzubauen und wiederherzustellen, anstatt das Lösegeld zu übergeben. Es ist nicht einfach, einen Anruf zu tätigen, da für eine Zahlung keine Garantien gelten.
Die meisten Unternehmen, die das Lösegeld zahlen, geben normalerweise nicht bekannt, dass sie bezahlt haben oder sogar angegriffen wurden. Ich vermute, dass die meisten Unternehmen ihre Daten entsperren, da sonst das Ransomware-Geschäftsmodell zusammenbrechen würde.
Die Herausforderung beim Wiederaufbau ist der Aufwand. Es gibt relativ wenige Unternehmen mit Mitarbeitern, die genau verstehen, wie jeder Aspekt ihrer Umgebung funktioniert. Viele IT-Infrastrukturen sind das kombinierte Ergebnis von internen Experten und externen Beratern. Menschen installieren Systeme und nehmen dieses Wissen mit, wenn sie gehen. Ihre Ersetzungen lernen, wie man diese Systeme online hält, aber das unterscheidet sich sehr von der Installation oder dem Aufbau von Grund auf neu. Das Reparieren von Active Directory ist eine Herausforderung, aber das Wiederherstellen eines Active Directory mit Tausenden von Benutzern und Gruppen mit Berechtigungen aus der Dokumentation – mit etwas Glück – ist nahezu unmöglich, es sei denn, Sie haben viel Zeit und Fachwissen.
Die Wiederherstellung nach einem Ransomware-Angriff ist keine leichte Aufgabe, da nicht jede Situation identisch ist. Wenn Ihre Abwehrkräfte und die Wiederherstellung von Backups fehlschlagen, ist der Wiederaufbau nicht einfach oder kostengünstig. Sie müssen entweder das Lösegeld bezahlen oder Geld für Überstunden und Berater ausgeben, um unternehmenskritische Systeme wieder aufzubauen. Möglicherweise erfahren Ihre Kunden, was während dieses Wiederherstellungsprozesses geschieht. Aus Gründen der Konsistenz benötigen Sie daher einen Kommunikationsplan und einen einzigen Ansprechpartner.
Ransomware ist nicht nur für die IT-Abteilung von Bedeutung. Die Entscheidungen und der Weg zur Erholung werden mehrere Interessengruppen und reale Kosten betreffen. Vorausplanen und planen Sie Ihre Schritte, um zu vermeiden, dass Sie in schlechte Entscheidungen geraten, die nicht rückgängig gemacht werden können.

Similar Posts

Leave a Reply