BlackMatter Ransomware - poradnik jak reagować na atak

Cyberataki typu ransomware są dziś jednym z największych zagrożeń dla organizacji. Jednym z przykładów szczególnie zaawansowanego złośliwego oprogramowania był BlackMatter ransomware, który specjalizował się w ukierunkowanych atakach na środowiska firmowe. Poniżej wyjaśniamy, jak działa ten ransomware, jak przebiega atak oraz jakie działania należy podjąć w przypadku jego wykrycia.

Czym jest BlackMatter?

BlackMatter ransomware to zaawansowane oprogramowanie ransomware zaprojektowane do ataków na środowiska przedsiębiorstw korzystających z systemów Microsoft Windows oraz infrastruktury domenowej Active Directory. Ataki tego typu nie są przypadkowe. Są to tzw. targeted attacks, w których cyberprzestępcy najpierw uzyskują dostęp do sieci organizacji, a dopiero później przygotowują właściwą fazę szyfrowania danych.

Najczęściej pierwsze włamanie następuje poprzez:

• phishing i złośliwe załączniki,
• słabe lub przejęte hasła użytkowników,
• niezabezpieczony dostęp Remote Desktop Protocol,
• podatności w usługach dostępnych z internetu.

Po uzyskaniu dostępu do jednego komputera w domenie rozpoczyna się właściwa faza ataku. Atak rozpoczyna się od kompromitacji pojedynczego komputera w organizacji. Może to być stacja pracownika lub serwer. Po wejściu do środowiska napastnicy: kradną poświadczenia użytkowników, przejmują konta administratorów i przemieszczają się pomiędzy systemami. Celem atakujących jest często przejęcie infrastruktury Active Directory, ponieważ umożliwia to: dostęp do wszystkich kont użytkowników, kontrolę nad stacjami roboczymi i centralne uruchamianie złośliwego kodu. W końcowej fazie ataku ransomware szyfrowane są pliki lokalne i sieciowe, usuwane są kopie zapasowe i często pojawia się notatka z żądaniem okupu.

W przypadku BlackMatter ransomware nie istnieje jeden skuteczny mechanizm odszyfrowania danych, dlatego odzyskanie informacji bez kopii zapasowej jest bardzo trudne.

Co ważne, samo wykrycie pliku ransomware przez antywirusa nie oznacza, że środowisko jest już bezpieczne. W wielu przypadkach infrastruktura domenowa jest już w pełni skompromitowana. Poniżej udostępniamy Państwu poradnik składający się z zalecanej listy działań, które należy podjąć po wykryciu ataku ransomware BlackMatter.

Zalecana lista działań (kolejność operacyjna):

1. Natychmiastowe odłączenie wszystkich stacji roboczych i serwera domeny od sieci.

2. Wstrzymanie logowania do istniejącej domeny Active Directory.

3. Wykonanie offline backupu danych użytkowników z odłączonych stacji roboczych, kopiować pliki zwracając uwagę, żeby absolutnie nie kopiować plików z rozszerzeniami: .exe, .dll, .sys, .msi, .bat, .cmd, .ps1, .vbs, .js, .hta, .scr.

4. Klasyfikacja stacji roboczych na zaszyfrowane i niezaszyfrowane.

5. Instalacja nowego systemu Windows Server z czystego nośnika.

6. Utworzenie nowej domeny Active Directory (nowy forest, nowa nazwa).

7. Ręczne utworzenie użytkowników w nowej domenie z nowymi hasłami.

8. Analiza ransomware w celach dokumentacyjnych (identyfikacja wariantu, notatka okupu, zakres szyfrowania).

9. Reinstalacja systemu operacyjnego na wszystkich stacjach roboczych, które były w starej domenie.

10. Aktualizacja systemów i instalacja oprogramowania zabezpieczającego.

11. Dołączenie wyłącznie czystych, przeinstalowanych stacji roboczych do nowej domeny.

12. Przywrócenie danych użytkowników z wcześniej wykonanych kopii offline.

13. Stopniowe przywracanie pracy użytkowników w nowym środowisku.

14. Monitorowanie środowiska po odbudowie pod kątem nieautoryzowanych działań.

Nasze kompetencje i doświadczenie to realne wsparcie w dostosowaniu Twojej organizacji do wymogów prawnych, technologicznych i operacyjnych.  

Zacznij działać już teraz!  Zapraszamy do kontaktu: DARMOWA KONSULTACJA