Co pytamy, robimy i dokumentujemy w pierwszych sześćdziesięciu minutach incydentu ransomware — i dlaczego kolejne sześćdziesiąt godzin niemal całkowicie zależy od tej pierwszej godziny.
Tom Berghuis
Head of Incident Response
Kto był na pierwszej rozmowie podczas incydentu ransomware, zna temperaturę w pomieszczeniu. Sześć spanikowanych osób, CEO pytający, czy 'backupy są okej', i telefon do regulatora albo organów ścigania — czasem do obu. Kolejne decyzje pracują przez tygodnie.
Instynkt każe wyrwać kabel; dyscyplina każe izolować. Izoluj sieciowo, nie wyłączaj zasilania — pamięć ulotna i procesy w toku to złoto śledcze. Drugą parę oczu nad EDR — zanim ktoś dotknie hosta.
Zidentyfikuj segmenty objęte incydentem, prawdopodobnie skompromitowane poświadczenia oraz to, czy dane zostały przygotowane do eksfiltracji. Aktywny proces Rclone lub MEGA jest w naszym portfelu spraw najpewniejszym predyktorem podwójnej ekstorsji.
Wewnątrz: postaw kanał out-of-band; zakładaj, że e-mail i czat są skompromitowane. Na zewnątrz: kancelaria, ubezpieczyciel cyber, regulator (zegar 72h z RODO już tyka). Łącznik z policją to równoległy telefon, nie sekwencyjny.
Forensyczne zabezpieczenie reprezentatywnych endpointów, capture pamięci kontrolera domeny, centralizacja logów. Równolegle: ocena wariantów odszyfrowywalnych, możliwość restore'a oraz (osobno) tor negocjacji, jeśli ma zastosowanie.
Oba strumienie muszą biec razem. Restore do tej samej skompromitowanej infrastruktury kupuje Ci drugi incydent — często w ciągu tygodnia. Rebuild tożsamości, rotacja poświadczeń i strategia clean-network są nienegocjowalne.