Nếu mạng của bạn bị nhiễm ransomware, hãy hành động ngay lập tức để bảo vệ hệ thống của bạn. Thay vì trả tiền chuộc, điều không đảm bảo rằng dữ liệu của bạn sẽ được phục hồi, hãy báo cáo vụ tấn công cho FBI và cơ quan thực thi pháp luật địa phương càng nhanh càng tốt. Sử dụng các chuyên gia khôi phục dữ liệu để lấy lại quyền truy cập vào dữ liệu của bạn. Nếu nó bị xâm phạm, bạn cũng có thể cần phải thông báo cho khách hàng, khách hàng hoặc cộng sự bị ảnh hưởng. Sau đó, hãy phân tích cuộc tấn công để bạn có thể bảo mật hệ thống của mình tốt hơn nhằm giảm khả năng trở thành nạn nhân của một cuộc tấn công bằng ransomware một lần nữa.
Các bước
Phương pháp 1/3: Làm việc với Cơ quan thực thi pháp luật
Bước 1. Liên hệ với văn phòng FBI địa phương của bạn
Cơ quan thực thi pháp luật liên bang xử lý tội phạm internet, bao gồm cả ransomware. Các nhân viên tại văn phòng hiện trường gần nhất sẽ có thể giúp bạn giảm thiểu thiệt hại cho doanh nghiệp của bạn và có thể làm việc với cơ quan thực thi pháp luật của tiểu bang và địa phương để cố gắng truy tìm thủ phạm.
FBI có 56 văn phòng thực địa tại các khu vực đô thị lớn trên khắp Hoa Kỳ. Để tìm địa chỉ gần bạn nhất, hãy truy cập https://www.fbi.gov/contact-us/field-offices và chọn tiểu bang của bạn từ menu thả xuống có nhãn "Danh mục"
Bước 2. Trình báo với cảnh sát địa phương để xử lý hậu quả ngay lập tức
Nếu có một vi phạm thực tế đối với cơ sở của bạn, sở cảnh sát địa phương của bạn chắc chắn có thể hỗ trợ điều đó. Tuy nhiên, ngay cả khi cơ sở vật chất thực tế của bạn không bị xâm phạm, cảnh sát địa phương vẫn có thể thu thập bằng chứng và cho bạn lời khuyên về cách bảo vệ doanh nghiệp của bạn.
Một số cảnh sát địa phương có thể không biết cách xử lý tội phạm internet, đặc biệt là ở các thị trấn nhỏ và khu vực nông thôn. Mặc dù họ có thể không có chuyên môn và thiết bị để cung cấp bất kỳ hỗ trợ đáng kể nào, nhưng bạn vẫn nên gửi báo cáo cho cảnh sát địa phương
Bước 3. Gửi đơn khiếu nại đến Trung tâm khiếu nại tội phạm Internet (IC3)
FBI duy trì IC3 tại https://www.ic3.gov/. Trên trang web, bạn có thể gửi đơn khiếu nại sẽ được chuyển đến tất cả các cơ quan thực thi pháp luật có liên quan. Bao gồm các thông tin sau trong báo cáo của bạn:
- Ngày lây nhiễm ransomware
- Loại ransomware (được liệt kê trên trang đòi tiền chuộc hoặc bằng cách xem phần mở rộng tệp của tệp mã hóa ransomware)
- Thông tin về công ty của bạn, bao gồm cả ngành của bạn và quy mô doanh nghiệp của bạn
- Sự lây nhiễm xảy ra như thế nào
- Số tiền chuộc mà tin tặc yêu cầu
- Địa chỉ ví Bitcoin hoặc tiền điện tử khác của kẻ tấn công nếu có trên trang đòi tiền chuộc
- Tổng số tiền chuộc bạn đã trả (nếu có)
- Tổn thất tổng thể liên quan đến việc lây nhiễm ransomware, bao gồm cả tổn thất kinh doanh ước tính
Mẹo:
Nếu bạn nộp đơn khiếu nại với IC3, bạn cũng cần phải điền vào Bản Tuyên bố Tác động của Nạn nhân, đây là một biểu mẫu riêng biệt. Một số thông tin trên biểu mẫu này có thể lặp lại thông tin bạn đã cung cấp trong đơn khiếu nại của mình.
Bước 4. Báo cáo cho HHS nếu dữ liệu bao gồm thông tin sức khỏe được bảo vệ
Nếu bạn có một doanh nghiệp trong lĩnh vực chăm sóc sức khỏe được điều chỉnh bởi Đạo luật Trách nhiệm Giải trình và Cung cấp Thông tin Y tế (HIPAA), luật liên bang yêu cầu bạn báo cáo bất kỳ sự cố ransomware nào cho Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS). Dựa trên mô tả của bạn về việc lây nhiễm ransomware, HHS sẽ xác định xem bạn có cần thông báo cho mọi người rằng thông tin của họ đã bị xâm phạm hay không và thông báo của bạn nên bao gồm những gì.
HHS cũng sẽ đánh giá hệ thống mạng và máy tính của bạn để đảm bảo rằng bạn đang tuân thủ các giao thức bảo mật dữ liệu theo yêu cầu của HIPAA. Nếu không, bạn có thể bị trừng phạt vì không tuân thủ. Tuy nhiên, việc tự báo cáo sự lây nhiễm và sửa chữa thiệt hại có thể làm giảm bớt các biện pháp trừng phạt đối với doanh nghiệp của bạn
Bước 5. Nói chuyện với bất kỳ nhân viên nào đã tham gia
Điển hình là nhân viên tải ransomware đã mắc lỗi vô tội. Điều quan trọng là phải hiểu được câu chuyện của họ trong khi các chi tiết về vụ việc vẫn còn mới mẻ trong tâm trí họ. Ghi âm cuộc trò chuyện và ghi chú để thực thi pháp luật.
Phỏng vấn các nhân viên đã phát hiện ra phần mềm tống tiền. Tìm hiểu điều gì đã xảy ra khi họ phát hiện ra điều đó và họ đã liên hệ với ai để thông báo về vấn đề. Ghi lại cuộc phỏng vấn để thực thi pháp luật
Bước 6. Mang tất cả các thiết bị bị ảnh hưởng ra ngoại tuyến
Có thể khó gỡ bỏ ransomware và khôi phục dữ liệu của bạn. Tuy nhiên, việc sử dụng thiết bị của bạn ở chế độ ngoại tuyến có thể giúp giảm thiểu thiệt hại mà ransomware có thể gây ra và giữ cho dữ liệu không bị đánh cắp.
- Đừng tắt hoàn toàn máy tính hoặc thiết bị khác của bạn cho đến khi các quan chức bảo mật dữ liệu hoặc cơ quan thực thi pháp luật cho bạn biết rằng bạn có thể. Điều này có thể dẫn đến mất dữ liệu hoặc bằng chứng có giá trị.
- Chú ý không tiêu hủy bất kỳ bằng chứng nào có thể được lưu trữ trên máy tính hoặc mạng của bạn, chẳng hạn như bằng cách xóa phần mềm tống tiền hoặc tệp mã hóa.
Phương pháp 2/3: Thông báo cho Khách hàng hoặc Khách hàng
Bước 1. Thuê cố vấn pháp lý để giúp xác định trách nhiệm của bạn
Trong một số trường hợp, một cuộc tấn công ransomware có thể được coi là một vi phạm dữ liệu theo luật tiểu bang hoặc liên bang. Luật sư có thể giúp bạn xác định xem bạn có cần thông báo cho khách hàng hoặc khách hàng về hành vi vi phạm hay không và thông báo đó nên chứa thông tin gì. Nói chung, liệu một cuộc tấn công ransomware có cấu thành một vi phạm dữ liệu hay không dựa trên 4 tiêu chí:
- Loại dữ liệu: sức khỏe, tài chính và thông tin nhận dạng cá nhân thường kích hoạt các yêu cầu thông báo
- Luật liên bang và tiểu bang có thể áp dụng cho dữ liệu bạn đã lưu trữ
- Dữ liệu được lưu trữ như thế nào và ở đâu, bao gồm cả việc nó được sao lưu hay mã hóa
- Cách thức hoạt động của ransomware, bao gồm cách nó xâm nhập vào hệ thống và liệu nó có cho phép tin tặc truy cập hoặc thao túng dữ liệu của bạn hay chỉ giữ nó làm con tin
Bước 2. Tham khảo ý kiến của cơ quan thực thi pháp luật về thời gian nhận thông báo của bạn
Công khai việc lây nhiễm ransomware và dữ liệu có thể vi phạm trước khi cơ quan thực thi pháp luật hoàn tất các cuộc điều tra ban đầu của họ có thể cản trở các cuộc điều tra đó, đặc biệt nếu có nguy cơ tin tặc biết rằng thông báo đã được gửi. Ngoài ra, cơ quan thực thi pháp luật có thể khuyến nghị chỉ thông báo cho các cá nhân hoặc doanh nghiệp bị ảnh hưởng trước, sau đó mới có thể thông báo công khai.
- Việc đưa ra thông báo công khai quá sớm có thể khiến bạn hoảng sợ, tùy thuộc vào bản chất công việc kinh doanh của bạn và loại thông tin bạn có.
- Bạn cũng muốn đảm bảo rằng bạn không tiết lộ thông tin thông qua các thông báo có khả năng cản trở cuộc điều tra của cơ quan thực thi pháp luật.
Bước 3. Chỉ định người liên hệ để biết thông tin liên quan đến vi phạm
Một người duy nhất trong doanh nghiệp của bạn phải chịu trách nhiệm xử lý tất cả các thông tin liên lạc bên ngoài liên quan đến việc lây nhiễm ransomware và khả năng vi phạm dữ liệu. Chọn một người nào đó ở cấp quản lý có khả năng giải quyết các thắc mắc của công chúng và điều phối phản ứng của cơ quan thực thi pháp luật, cũng như đối phó với các hành động từ bất kỳ cơ quan quản lý nào.
- Tùy thuộc vào quy mô doanh nghiệp của bạn và số lượng cá nhân hoặc doanh nghiệp có thể bị ảnh hưởng, bạn có thể muốn thiết lập một trang web chuyên dụng hoặc số điện thoại miễn phí mà mọi người có thể sử dụng để nhận thông tin về việc lây nhiễm và vi phạm dữ liệu tiềm ẩn.
- Nếu bạn không có thông tin liên hệ của tất cả những người có khả năng bị ảnh hưởng, bạn có thể cần phải khởi động một chiến dịch quan hệ công chúng quan trọng hơn để đảm bảo rằng bất kỳ ai có khả năng bị ảnh hưởng đều có thông báo đầy đủ. Ví dụ: nếu bạn là nhà bán lẻ, bạn có thể không có thông tin liên hệ của tất cả khách hàng đã sử dụng thẻ tín dụng tại cửa hàng của bạn.
Bước 4. Liên hệ với các văn phòng tín dụng lớn nếu có nguy cơ bị đánh cắp danh tính
Nếu dữ liệu liên quan đến tên và số An sinh xã hội, có nguy cơ danh tính của những người đó có thể bị đánh cắp. Các văn phòng tín dụng lớn có thể cung cấp cho bạn thêm thông tin và lời khuyên về cách thông báo cho mọi người về rủi ro. Thông thường, các cá nhân bị ảnh hưởng nên đặt cảnh báo gian lận hoặc đóng băng tín dụng trên tệp của họ. Sử dụng thông tin sau cho 3 văn phòng tín dụng chính:
- Equifax: https://equifax.com/ hoặc 1-800-685-1111
- Experian: https://experian.com/ hoặc 1-888-397-3742
- TransUnion: https://transunion.com/ hoặc 1-888-909-8872
Bước 5. Gửi thông báo bằng văn bản cho các cá nhân và doanh nghiệp bị ảnh hưởng
Soạn thảo một bức thư bao gồm mô tả rõ ràng về việc lây nhiễm ransomware, các bước bạn đã thực hiện để bảo vệ dữ liệu của chúng và dữ liệu có khả năng bị ảnh hưởng. Kết thúc bằng lời khuyên về những gì họ nên làm để bảo vệ bản thân khỏi hành vi trộm cắp danh tính hoặc các rủi ro liên quan khác.
FTC có mẫu chữ cái mà bạn có thể sử dụng tại
Mẹo:
Nhờ luật sư xem qua thông báo của bạn trước khi bạn gửi nó. Họ có thể đảm bảo rằng nó tuân thủ tất cả các luật hiện hành chi phối tình huống của bạn.
Phương pháp 3/3: Bảo vệ doanh nghiệp của bạn
Bước 1. Thuê một chuyên gia bảo mật dữ liệu để phân tích hệ thống của bạn
Một chuyên gia bảo mật dữ liệu có thể xem xét cách thức ransomware ảnh hưởng đến hệ thống của bạn và tạo ra các giao thức sẽ bảo vệ dữ liệu của bạn khỏi các sự lây nhiễm tương tự trong tương lai. Chúng cũng có thể hoạt động để vô hiệu hóa ransomware và lấy dữ liệu của bạn.
Bạn có thể tìm thấy các chuyên gia với một tìm kiếm trực tuyến đơn giản. Tuy nhiên, mặc dù thời gian là điều cốt yếu, đừng chỉ thuê cái tên đầu tiên xuất hiện. Hãy xem lý lịch và danh tiếng của bất kỳ chuyên gia bảo mật nào mà bạn đang nghĩ đến việc tuyển dụng. Kiểm tra tài liệu tham khảo của họ và nếu họ có giấy chứng nhận, hãy tra cứu những giấy chứng nhận đó để đảm bảo rằng họ vẫn đang hoạt động và ở trạng thái tốt
Bước 2. Hạn chế quyền tải xuống hoặc cài đặt phần mềm của người dùng mạng
Thông thường, việc lây nhiễm ransomware xảy ra khi một nhân viên nhấp vào một liên kết trong email mà có vẻ như nó đến từ một nguồn đáng tin cậy. Nếu nhân viên đó chỉ có quyền truy cập vào các phần của hệ thống của bạn mà họ cần phải có, thì sẽ có ít khả năng phần mềm ransomware sẽ ảnh hưởng đến toàn bộ hệ thống và xâm phạm dữ liệu của bạn.
Chỉ 1 hoặc 2 người trong công ty của bạn là nhân viên CNTT được đào tạo hoặc quản trị viên mạng mới được phép tải xuống và cài đặt phần mềm mới. Bạn có thể loại bỏ quyền này khỏi tất cả các tài khoản người dùng nhân viên khác
Mẹo:
Huấn luyện nhân viên của bạn về cách không nhấp vào các liên kết đang hoạt động trong email, ngay cả khi chúng dường như đến từ đồng nghiệp. Khi nghi ngờ, nhân viên phải luôn liên hệ với người gửi bị cáo buộc để tìm hiểu xem email có phải do họ gửi hay không.
Bước 3. Thực hiện sao lưu hàng ngày hoặc hàng tuần dữ liệu bạn lưu giữ
Duy trì các bản sao lưu trên ổ cứng ngoài không kết nối với internet. Nếu bạn trở thành nạn nhân của một cuộc tấn công ransomware trong tương lai, bạn có thể tải lên bản sao lưu dữ liệu của mình và tiếp tục công việc kinh doanh như bình thường.
Mặc dù bạn vẫn cần phải gửi báo cáo với cơ quan thực thi pháp luật và thông báo cho khách hàng hoặc khách hàng nếu bất kỳ dữ liệu nào bị hỏng hoặc bị đánh cắp, nhưng ít nhất cuộc tấn công sẽ không làm gián đoạn hoạt động kinh doanh của bạn trong thời gian chờ đợi
Bước 4. Cập nhật phần mềm và hệ điều hành của bạn
Các bản cập nhật thường xuyên bao gồm các bản vá bảo mật nhằm cải thiện các lỗ hổng mà tin tặc có thể khai thác. Nếu bạn chưa tải xuống bản cập nhật mới nhất, tin tặc có thể cho biết rằng hệ thống của bạn vẫn dễ bị tấn công và có thể cố gắng lợi dụng.
- Tốt nhất, hãy thiết lập tất cả phần mềm và hệ điều hành để tự động cập nhật vào thời điểm doanh nghiệp của bạn không mở cửa. Bằng cách đó, bạn có thể chắc chắn rằng mình luôn chạy phần mềm cập nhật nhất trên hệ thống của mình.
- Đảm bảo rằng phần mềm chống vi-rút của bạn cũng được cập nhật và chạy quét hàng ngày hoặc hàng tuần. Điều này sẽ giúp bạn tìm và cách ly vi rút trước khi chúng lây nhiễm vào toàn bộ mạng của bạn.
Bước 5. Lập một kế hoạch bằng văn bản để ứng phó với bất kỳ cuộc tấn công nào trong tương lai
Thật không may, việc bị tấn công bằng ransomware có thể khiến doanh nghiệp của bạn trở thành mục tiêu cho các cuộc tấn công tiếp theo. Tin tặc có thể cố gắng đóng giả là chuyên gia bảo mật dữ liệu hoặc đưa ra các giải pháp để bảo vệ doanh nghiệp của bạn trong khi thực sự họ chỉ đang thiết lập bạn cho một cuộc tấn công khác. Nếu bạn biết mình sẽ phản hồi như thế nào, bạn sẽ đi trước họ một bước.
- Đảm bảo tất cả nhân viên đọc và hiểu kế hoạch cũng như vai trò của họ nếu hệ thống của bạn bị tấn công.
- Xem lại gói của bạn ít nhất 6 tháng một lần và cập nhật gói khi cần thiết để tính đến các thay đổi đối với hệ thống hoặc nâng cấp công nghệ của bạn.
