在公司从勒索软件攻击中恢复的时候,很少会让我们看到他们内部的情况。许多人发现保持低调或保密更方便。
一个积极的例外是荷兰管理服务提供商VelzArt,它是周五巨大的,级联供应链攻击Kaseya。该攻击使用零天漏洞来创建一个恶意Kasaya VSA更新,该更新将Revil Ransomware扩展到使用它的一些MSP,然后对这些MSP的客户提供。
VelzArt并没有逃避公众的关注小心翼翼地在博客中写道自上周五以来,该公司一直在谈论它和它的客户是如何受到影响的,以及它采取了哪些步骤让它们启动和运行。
Velzart为客户提供广泛的ICT解决方案,使用远程管理工具提供。其中一个工具是Kaseya VSA。该公司写道,它在攻击时切换到另一个远程管理平台,但Kaseya软件仍然安装在一些客户的系统上。自周五以来,它一直在努力恢复这些客户。
由于VelzArt令人钦佩的透明度,我们可以从勒索软件中获得以下5个教训。
1.知道什么时候沟通
在危机时刻,沟通是关键。VelzArt写道,在7月2日晚上得知持续的攻击后,它立即通过邮件、电话和时事通讯通知使用Kaseya软件管理的客户。它还开创了后来成为本文基础的博客。
这种开放的沟通让它能够更有效地进行分类。一家全天候工作的制片公司在周末需要他们的服务器,比一家需要在周一早上做好一切准备的律师事务所更迫切。
在晚上和晚上,Velzart表示,它将客户联系到电子邮件,以便实际上获得所做的恢复程序。虽然可以理解的是,焦虑客户想要被通知,但必须有时间实际完成所做的工作。
2.备份需要时间
从勒索软件攻击中恢复通常意味着从备份中重建一切。这使得备份成为勒索软件的目标。
Velzart在大多数服务器和一些工作站上写道,它能够从备份中恢复没有任何重大问题。然而,阻止攻击者进入备份只是战斗的一半。被勒索软件攻击的机器可能会含有其他恶意软件,因此需要将备份加载到干净的计算机上,并且需要时间:还原备份不是快速修复。
Velzart说,脱机停止攻击的服务器必须从客户端,检查,重新安装,然后为正常运营做好准备。该公司写道,它需要花费很多努力,并通过队伍在夜晚工作的员工。必须设置额外的电源电路以处理额外的需求。
本公司预计将于周二的初期恢复70%的服务器。周二,他们希望收集收集有备份期权的所有工作站,周三将成为将重新安装工作站获得重新安装的日常运行状态,这意味着他们将获得所需的必要软件,并且连接到网络。
3.帮助可以来自意想不到的地方
从勒索软件中恢复不仅需要时间,也需要人们。如果您正在从勒索软件攻击中恢复,那么您很有可能需要外部帮助。
Velzart写道,它与一名客户在审判中与一个顾客一起进行了自我修复。由于Kaseya的信息缺乏信息,这不确定每个工作站都需要多少工作。该公司希望试验将产生可与其他客户一起使用的方法。
周日下午,他们要求客户在不登录的情况下打开他们的工作站,声称他们找到了一种远程恢复工作站的自动化方法。激活的工作站让VelzArt了解了攻击的影响。我们已向客户发出警告,受影响的工作站的重置程序将导致本地数据和已安装的软件全部丢失。基本上,该系统将被夷为平地并重新安装。
在周一上午,它在一个愿意公司的帮助下工作的自动脚本已准备好帮助他人。
Velzart还指出,友好的竞争对手提供帮助他们解决这种情况。他们很乐意告诉他们的客户已接受的客户,以加快康复。
来自另一个受害者的洞察力
Velzart的不寻常的通信水平使我们能够在从赎金软件攻击中恢复时,这是一家公司必须经历的罕见洞察力。他们的透明度将有助于其他受害者,我们祝愿他们快速康复。
虽然很少,但也有其他组织公开了如何从勒索软件攻击中恢复的细节。
在最新一期的《锁与代码》播客中,主持人大卫·鲁伊斯采访了华盛顿州北岸学区的系统管理员斯基·卡科洛斯基,讨论了勒索软件攻击后的即时反应、计划中的反应以及恢复的漫长道路。你可以在下面听,或者打开Apple Podcasts.那Spotify.,谷歌播客。
评论