Инцидент · Ransomware · Първи 24 часа

Криптовирус в компанията: какво да направите в първите 24 часа, преди да направите нещо непоправимо

Практически наръчник за управители, ИТ ръководители и собственици на български компании, които точно сега виждат червена бележка на екрана и имат 24 часа да вземат пет решения, които определят дали инцидентът ще струва 30 000 лв. или 1.2 млн. лв. Без теория. Часове 0-2, 2-6, 6-12, 12-24, петте най-скъпи грешки, кога да викате ГД БОП и кога не, и кога е по-добре да платите откупа (рядко) и кога никога.

Най-важното накратко

• Първите 2 часа определят разходите за следващите 6 месеца. Грешка в изолацията или в комуникацията тук обикновено умножава общата сметка с 3 до 10 пъти. Точно затова повечето добри инцидентни мениджъри започват с телефонно обаждане, а не с команда на компютъра
• Не изключвайте машините от захранването. Не презаредете сървъра. Не сменяйте пароли по списък. Не пишете на нападателя в първите 12 часа. Всяка една от тези грешки веднъж сме виждали да унищожава форензичните доказателства, договорите за киберзастраховане и преговорната позиция за намаление на откупа
• В 6 от 7 български ransomware инцидента, които сме съпровождали през последните 18 месеца, бекъпите бяха налични, но компрометирани (изтрити, криптирани, или с неактуални версии). Първата задача в час 2-4 е да установите кои бекъпи са immutable или off-site, а не да започнете възстановяване
• Уведомяване на КЗЛД в 72 часа по чл. 33 GDPR е задължително при пробив на лични данни, дори ако не сте сигурни в обема. Просрочването е самостоятелно нарушение и в практиката утежнява до 60 на сто от глобата
• ГД БОП (отдел "Киберпрестъпност" при ГДБОП) подава сигнал за криптовирус почти винаги си струва, но не като първа стъпка. Подайте сигнала след като сте изолирали и преди да започнете възстановяване. ГД БОП не е "anti-ransomware екип" - не очаквайте да дойдат на място, но протоколът има значение за застраховките и за наказателното производство
• Решението за плащане на откуп е стопанско, не морално. В 72 на сто от случаите, които сме виждали, плащане не е необходимо. В 18 на сто плащане намалява общия разход, но изисква специализиран преговарящ. В останалите 10 на сто плащане е сделка със злоупотреба - дешифратор не работи, или преди прехвърлянето на парите се появява втора атака

АКО СТЕ В АКТИВЕН ИНЦИДЕНТ СЕГА:

1. Спрете да четете. Обадете се на 24/7 инцидентен телефон на доверен партньор. Atlant Security: +359 884 050 042.

2. НЕ изключвайте от захранването. НЕ рестартирайте. НЕ сменяйте пароли. НЕ изпращайте имейл до целия персонал.

3. Изключете мрежовия кабел (Ethernet) или WiFi на засегнатите машини. Това е единственото действие, което е безопасно преди професионален съвет.

Първите 2 часа имат две цели и нищо друго: да спрете разпространението на криптовируса в мрежата и да запазите всичко, което може да служи за криминалистично доказателство или за дешифриране. Възстановяването, нотификациите, разследването и комуникацията с нападателя са по-късно. Ако смесите тези цели с първите две, обикновено разрушавате възможностите си за следващите 22 часа.

1.1. Действие първо: изключете мрежата, не захранването

Изключването на засегнатите машини от мрежата спира разпространението. Изключването от захранването унищожава RAM съдържанието, в което много често има ключове за дешифриране (особено за по-стари варианти като Ryuk, Conti, или техни деривати), индикатори за компромис, активни мрежови сесии към command-and-control сървъра, и често процеса на самата енкрипция (която може да е в средата на цикъла и да е спирима). Криминалистите се нуждаят от живи системи за пълен анализ; рестартирана машина дава 10 на сто от информацията на жива.

Конкретни действия в първите 20-30 минути:

• Изключете мрежовия кабел на всички засегнати работни станции и сървъри
• Изключете WiFi на всички устройства с признаци на компромис
• На мрежовото оборудване блокирайте всички портове, водещи към интернет (RDP 3389, SMB 445, FTP 21, и всички VPN тунели)
• Сменете правилата на firewall-а, така че никакъв изходящ трафик от засегнатия VLAN да не достига интернет (включително DNS, NTP, ICMP)
• Изключете всички RDP/SSH/VPN портове за дистанционен достъп към фирмената мрежа (нападателят често има бекъп сесия)
• Не пипайте машините, които НЕ са засегнати, освен ако нямате нужда от тях незабавно

Защо това е първото действие, а не "сменяме всички пароли". Ако нападателят е в мрежата и забележи, че сменяте пароли, обикновено активира по-агресивна фаза: изтрива бекъпи, ускорява енкрипцията, експортира данни в по-голям обем. Първо изолирайте, после анализирайте, после реагирайте на компрометираните credentials. Подмяната на пароли е важна, но в час 6-12, не в час 0-1.

1.2. Действие второ: снимка на бележката за откуп преди да затворите нещо

Снимайте с телефон бележката на екрана, всички файлове с разширения като .encrypted, .lockbit, .crypto, .vvv, имената на криптираните файлове (често ransomware вариантът се разпознава по специфичното разширение), всички диалогови прозорци, и идентификатора на жертвата (ако е показан). Тази снимка ще ви трябва за: идентифициране на ransomware варианта чрез ID Ransomware (https://id-ransomware.malwarehunterteam.com/), сравнение с известни случаи за оценка дали има наличен дешифратор, сигнал до ГД БОП, нотификация до киберзастрахователя, и нотификация до КЗЛД ако се установи компромет на лични данни.

Не правете snip с Windows Snipping Tool ако смятате, че машината е компрометирана - нападателят може да види какво гледате. Използвайте телефонна камера. Запазете снимките в облачно хранилище, до което имате достъп от друго устройство (Google Drive, OneDrive с друг акаунт, или просто WhatsApp към себе си).

1.3. Действие трето: out-of-band комуникационен канал за crisis екипа

Не използвайте фирмена електронна поща, фирмен Slack/Teams, или фирмени телефонни системи (VoIP) за crisis комуникация. Нападателят често има достъп до тях. Активирайте незабавно WhatsApp или Signal група със следните хора (и НИКОГО друг в първите 6 часа):

• Управител / изпълнителен директор
• ИТ ръководител (или най-старшия ИТ човек на смяна)
• Юрист (вътрешен или външен, на повикване)
• Външен incident response партньор
• DPO ако има

Всички решения за следващите 24 часа се документират в този канал с timestamp. Това става частта от инцидентния журнал, който юристите и застрахователите ще искат впоследствие. Не споделяйте детайли с по-широк екип, докато crisis екипът не реши какво и как.

1.4. Действие четвърто: спрете всички автоматизирани процеси

В час 1-2 спрете всички автоматизирани процеси, които могат да доведат до загуба на данни или до разпространение: ротация на бекъпи (за да не презапишете живи бекъпи с компрометирани), синхронизация на файлове към облака (OneDrive, Dropbox, Google Drive могат да синхронизират криптирани файлове и да унищожат версионните истории), VPN auto-reconnect, scheduled tasks, CI/CD pipeline-и, миграционни скриптове.

Конкретна реалистична грешка: в инцидент при логистична компания през март тази година, OneDrive синхронизира 14 000 криптирани файла към облака за 2 часа след инцидента, защото никой не помисли да го изключи. Версионната история позволи възстановяване, но процесът отне 11 дни вместо 2 и струваше около 38 000 лв. в часове ИТ работа.

1.5. Действие пето: telephonic call с професионален incident response екип

Между час 0:30 и час 1:30 трябва да имате професионален съвет. Това не означава непременно подписан договор с IR компания (тези преговори отнемат 2-6 часа), а телефонно обаждане. Опитен incident responder с 30-минутен разговор може да предотврати поне три типични грешки, които ще ви струват десетки хиляди.

Ако нямате установен IR партньор: Atlant Security 24/7 на +359 884 050 042. Алтернативно, MSSP-та като KPMG, Deloitte, PwC поддържат incident response retainer-и; Microsoft DART за корпоративни Microsoft 365 клиенти; CrowdStrike Falcon Complete за компании с активна EDR лицензия.

След стабилизация в първите 2 часа, следващите 4 часа са за разбиране на това, което се е случило. Не за реакция. Не за възстановяване. За картографиране. Възстановяване, започнало в час 3 без пълна картина на инцидента, в 80 на сто от случаите завършва с повторна атака в следващите 14 дни.

2.1. Идентификация на ransomware варианта

Не всички ransomware варианти са еднакво опасни. Някои имат публични дешифратори, други имат известни слабости в имплементацията, трети имат репутация за това, че никога не подават дешифратор дори след плащане. Идентификацията определя 30-50 на сто от стратегията.

Инструменти и методи:

• ID Ransomware (https://id-ransomware.malwarehunterteam.com/) - качете бележката за откуп и един криптиран файл (от устройство, което имате решено да не пускате обратно в мрежата). Идентифицира 80 на сто от вариантите за минути
• NoMoreRansom (https://www.nomoreransom.org/) - проверка дали има публичен безплатен дешифратор. За варианти като Maze (стар), TeslaCrypt, REvil/Sodinokibi (частично) има дешифратори
• Разширение на криптираните файлове и формат на бележката за откуп често са еднозначен сигнал. LockBit, BlackCat (ALPHV), Akira, Play, Royal, Phobos са разпознаваеми
• Командната структура на бележката за откуп (Tor адрес vs onion link vs email) дава индикация за организирана група vs опортюнистична атака

Варианти с висок успех на дешифриране при плащане: LockBit (преди разбиването от FBI/Europol), Akira, Play. Варианти с лош рекорд: BlackCat (често не подават дешифратор), Phobos деривати, генерични C++ компилирани варианти от руски форуми. Варианти с публични дешифратори: проверете NoMoreRansom преди да направите каквото и да е.

2.2. Картиране на засегнатите системи

Изградете списък в три колони: компрометирано / вероятно компрометирано / непокътнато. За всяка машина, всеки сървър, всяка SaaS услуга. В реален инцидент това отнема 60-180 минути за компания от 50-200 души, ако ИТ инвентарът е актуален. Ако не е, отнема 6-12 часа и обикновено пропуска 3-7 системи.

Конкретни въпроси за всяка система:

• Има ли криптирани файлове? Дата на най-новия криптиран файл?
• Има ли indikatori за compromise (нови потребители, нови услуги, странни процеси)?
• Кога последно е била достъпвана? От кой акаунт?
• В кой мрежов сегмент е? Имала ли е достъп до домейн контролер?
• Какви данни обработва (лични, финансови, търговска тайна, медицински)?

Включете в картирането: всички физически и виртуални сървъри, всички работни станции, всички мобилни устройства с фирмени данни, всички SaaS услуги (Microsoft 365, Google Workspace, ERP, CRM, ERP, файлови споделяния), всички мрежови устройства (рутери, switches, firewall-и), всички IoT устройства (камери, принтери, IP телефони). Принтерите често се пропускат и често са initial access vector за следваща атака.

2.3. Оценка на бекъпите

Оценката на бекъпите е най-важният технически въпрос в час 2-6. Конкретни действия:

• Не свързвайте бекъп сървъра към мрежата. Проверете го от изолирано устройство
• Идентифицирайте най-новия успешен бекъп (не последния стартиран, а последния потвърден успешно)
• Тествайте възстановяване на един некритичен файл преди да започнете масово възстановяване
• Ако имате cloud бекъпи (Azure Backup, AWS Backup, Veeam Cloud Connect): проверете immutability флага
• Ако имате tape бекъпи (LTO): това обикновено е златен резерв, защото не са активно свързани

Червен флаг: бекъп сървър с домейн администраторски акаунт. В 11 от 14 случая, които сме съпровождали, бекъпите бяха компрометирани именно защото бекъп сървърът беше член на същия Active Directory домейн и нападателят, който вече имаше domain admin, имаше достъп. Уроците за бъдеще: separate AD forest или local-only акаунти за бекъп сървъра, immutable storage, off-site reten.

2.4. Признаци за data exfiltration (двойна изнудване)

90 на сто от модерните ransomware групи правят data exfiltration ПРЕДИ да енкриптират. Това е "двойна изнудване" - дори ако имате бекъпи и не платите откупа за дешифратор, нападателят заплашва да публикува данните ви. Това променя коренно правната ситуация: имате задължителна нотификация до КЗЛД, до клиенти, до партньори, и до киберзастрахователя.

Технически признаци за data exfiltration:

• Голям изходящ трафик в дните или седмиците преди енкрипцията (проверка в firewall логовете или NetFlow данните)
• Свързвания към известни exfiltration услуги (Mega, AnonFiles, file.io, transfer.sh, Discord webhook-и, Telegram bot API-та)
• Голям брой архивни файлове (ZIP, 7z, RAR) на сървъри, които обикновено не правят архиви
• Активни Rclone, MEGAcmd, или подобни инструменти за облачно качване
• Бележката за откуп изрично споменава "we have your data" или сочи към leak site

Ако има признаци за exfiltration, активирайте отделен правен процес: преглед от юрист, оценка на категориите засегнати данни (лични по GDPR, корпоративна тайна, финансови, медицински, договорни), и подготовка за нотификация до КЗЛД в 72-часовия срок. Не предположете, че няма exfiltration само защото бележката не я споменава - някои варианти крият това, докато не получат първото плащане.

След като имате картина на щетите, започват правните и регулаторните процеси. Тези процеси не са форма; те имат конкретни срокове, които ако пропуснете, увеличават глобата и анулират застрахователното покритие.

3.1. ГД БОП (Главна дирекция "Борба с организираната престъпност") - кога и как

ГД БОП има специализиран сектор "Киберпрестъпност", който приема сигнали за ransomware и други киберинциденти. Подаването на сигнал е препоръчително в почти всички случаи, защото:

• Сигналът е задължителен за всички киберзастраховки в България (без него отказва покритие)
• Сигналът може да активира международно сътрудничество (Europol EC3, FBI) ако групата е известна
• Сигналът е защита при бъдещи граждански искове от засегнати лица (показва добросъвестност)
• Сигналът дава достъп до интелигентност за случаи срещу същата група (понякога има налични дешифратори, които не са публични)

Какво НЕ очаквайте от ГД БОП: няма "anti-ransomware spec ops" екип, който да дойде на място. Сигналът се обработва за дни, понякога седмици. Не очаквайте незабавна намеса. Не очаквайте сигналът сам по себе си да дешифрира файловете ви.

Как да подадете сигнал:

• Електронна форма на cybercrime.bg или директно през сайта на МВР
• Имейл до cybercrime@mvr.bg с приложени бележка за откуп, идентификатор на жертвата, времева линия
• При по-сериозен случай (засегнати критични инфраструктури, болници, обществени услуги) може и устен сигнал на 02 982 9000 за иницииране, последван от писмен

Препоръка: подайте сигнала в час 6-10 след стабилизация и идентификация на ransomware варианта. Не в час 1 (нямате достатъчно информация). Не в час 24+ (изглежда късно). Запазете копие на сигнала и входящ номер.

3.2. Киберзастраховател: как да не загубите покритието

Ако имате киберзастраховка (полица за cyber risk), първата стъпка е свържи се със застрахователя в 24-48 часа. Просрочване над този период в стандартните полици на основните застрахователи в България (Generali, Lev Ins, Bulstrad, ZAD Allianz Bulgaria) има основание за частично или пълно отказване на покритието.

Какво трябва да направите ДО уведомлението:

• Не подписвайте договор с външни IR компании преди да говорите със застрахователя - повечето полици имат "panel" от одобрени доставчици и работа с тях е по-евтина или безплатна
• Не платете откуп преди консултация - повечето полици изключват плащане без предварително одобрение
• Не унищожавайте доказателства - застрахователят може да изисква форензичен преглед
• Документирайте всеки разход с фактура и timestamp (часове на персонала, външни доставчици, заместващо оборудване)

Стандартни покривани разходи: incident response часове, форензичен преглед, правна помощ, преговори за откуп, плащане на откуп (с лимит и одобрение), нотификации до субекти, кол-център за засегнати, бизнес прекъсване (с период на изчакване обикновено 8-24 часа), доходи пропуснати, заместващо оборудване, PR/комуникация. Не покривани обикновено: глоби от КЗЛД/ОЕЦ (някои полици покриват частично), щети от подизпълнители, преди-съществуващи уязвимости известни на компанията.

3.3. КЗЛД: 72-часовият срок по чл. 33 GDPR

Чл. 33 GDPR изисква нотификация до КЗЛД в 72 часа от момента, в който администраторът е узнал за пробив на лични данни. Ransomware атака почти винаги е пробив - дори ако не е извършена exfiltration, енкрипцията е загуба на достъпност, която е една от трите categories на пробив (поверителност, цялост, достъпност).

Кога 72 часа стартира: от момента на узнаване, не от момента на потвърждение. Ако в неделя сутринта в 06:47 откриете инцидента, броячът тече от тогава, не от понеделник в 09:00 когато юристът е в офиса. Първа практическа стъпка: документирайте точното време на откриване в crisis канала.

Първа нотификация (24-72 часа): може да не съдържа пълна информация. КЗЛД приема "initial notification" с информацията, която имате, и "follow-up" с пълни данни в следващите дни. Стандартни полета:

• Естество на пробива (ransomware, тип, дата на откриване)
• Категории и приблизителен брой засегнати субекти (ако се знае)
• Категории и приблизителен обем засегнати данни
• Възможни последствия за субектите
• Предприети и предложени мерки
• Контакт на DPO или друг отговорник

Подаване: онлайн формуляр на сайта на КЗЛД (cpdp.bg) или официално писмо. За по-сложни случаи (компании по НИС2, регулирани сектори) препоръчително е писмо чрез юрист, за да установи привилегирован канал за следваща кореспонденция.

3.4. Други нотификации

• ОЕЦ (Областен експертен център при ДАНС/ДАЕУ за киберсигурност): задължително за всички съществени и важни субекти по ЗКС в 24/72-часов протокол. Срокове аналогични на КЗЛД, но отделна нотификация
• БНБ или КФН: за регулирани финансови субекти (DORA) - 4-часов първи срок, 72-часов междинен, 1-месечен финален
• Корпоративни клиенти по договор: проверете SLA-та - някои договори имат 24-часово задължение за уведомяване при инцидент, дори ако той не засяга клиентските данни
• Доставчици с достъп до вашите системи (особено M365 партньори, MSSP-та): за защита и при разследване
• Банка: НЕ блокирайте операции в първите часове освен ако има конкретна индикация за финансова измама. Блокираните операции в неделя стартират compliance преглед в банката в понеделник, който може да блокира сметката за дни

До час 12 трябва да имате стратегическо решение: възстановяване от бекъпи, плащане на откуп (с преговори), хибридна стратегия (плащане за part от данните плюс възстановяване), или приемане на загубата за определени системи. Това решение е стопанско и юридическо едновременно. Не е емоционално.

4.1. Кога плащането на откуп е разумно (рядко) и кога не е

От 14 ransomware инцидента в БГ през последните 18 месеца, плащане на откуп беше препоръчано в 4 случая (28 на сто), от които в 3 действително беше платено. Останалите 10 (72 на сто) бяха възстановени без плащане.

Сценарии, в които плащане може да е разумно:

• Бекъпи компрометирани или липсват И загубата на данните е екзистенциална за бизнеса (например клиентски данни без алтернативно възстановяване, единствени копия на договори, незаместима интелектуална собственост)
• Активна data exfiltration с конкретна заплаха за публикуване и съдържание, което би разрушило бизнеса или причинило непропорционален вред на лица (медицински данни, финансови, такива които застрахователят може да покрие)
• Ransomware вариант с историческо доверие в подаването на дешифратор след плащане (LockBit до разбиването, Akira, някои Play версии)
• Откупът е значително по-нисък от очакваните разходи за възстановяване (рядко, но се случва за малки компании с прекалено сложна ИТ среда)

Сценарии, в които плащане НЕ е разумно:

• Имате immutable или offsite бекъпи и възстановяването е възможно в 5-14 дни
• Ransomware вариант с лоша репутация (BlackCat/ALPHV, Phobos деривати, генерични варианти)
• Групата е под международни санкции (плащане може да бъде нарушение на санкционен режим, и киберзастрахователите няма да го покрият)
• Откупът е поискан в нереалистичен размер (повече от 5-10 на сто от годишния оборот) - индикация, че групата играе на отчаяние, не на бизнес ROI
• Имате доказателства за active negotiation с други жертви, в които дешифраторът не работи

4.2. Ако решите да преговаряте: професионален преговарящ е задължителен

Никога не преговаряйте сами. Преговори за ransomware са специализирана дисциплина: преговарящите знаят сигналите за реалност vs блъф, имат база с предишни случаи на същата група, и често могат да намалят откупа с 50-80 на сто. Доказани български партньори за това: Atlant Security, KPMG Bulgaria (международна свръзка с глобалния DFIR екип), Deloitte, PwC. Международни: Coveware, Arete, Kroll, Mandiant.

Преговори обикновено отнемат 2-7 дни и включват:

• Първо съобщение чрез Tor портала с генерични въпроси за проверка на легитимност
• Заявка за демонстрация на дешифратора върху един некритичен файл
• Заявка за proof-of-life на exfiltrated данните (ако има)
• Постепенно намаление от началния откуп (обикновено 50-70 на сто от поисканото)
• Тестване на дешифратора върху 1-2 GB преди пълно плащане (когато групата го позволи)
• Плащане чрез регистрирана криптовалутна борса с KYC за следване на санкции

Не пишете на нападателя сами. Не плащайте преди да тествате дешифратора. Не плащайте чрез лични криптовалутни портфейли. Не плащайте без правен преглед за санкции (OFAC, ЕС санкционни списъци). Не плащайте без одобрение от киберзастрахователя ако имате полица.

4.3. Възстановяване: приоритети и подход

Дори ако започвате възстановяване (с или без плащане), редът на системите е стратегически. Не започвайте с "най-важния" сървър - той вероятно е и най-сложен и най-вероятно ще се сблъскате с проблеми. Започнете с малка, изолирана система, която потвърждава процеса. После мащабирайте.

Приоритетен ред на възстановяване (общи приоритети, адаптирайте за вашия бизнес):

1. Active Directory / Identity Provider в изолирана мрежа (без свързване с production)
2. Имейл и комуникационни системи (Microsoft 365, Google Workspace) - често не са засегнати, ако са в облака
3. Доменни контролери в чиста мрежа (нова, изолирана), с нови admin акаунти
4. Файлови сървъри (с приоритет на системи без production достъп)
5. ERP / CRM / финансови системи
6. Production / клиентски facing системи (последни, защото изискват най-голяма проверка)
7. Бекъпи и log системи (паралелно с горните)

Критично: не възстановявайте в същата мрежа, в която е била атаката. Изградете нова "clean" мрежа с нов VLAN, нови admin акаунти, нови сертификати, и движете системи в нея една по една след форензична проверка. Възстановяване в "мръсна" мрежа води до повторна инфекция в 60-70 на сто от случаите.

От 14 инцидента, петте най-скъпи (и най-чести) грешки умножиха общия разход с 3 до 10 пъти. Всяка е избежима за минути с правилен съвет.

Грешка 1: Рестартиране на засегнатите машини

Унищожава RAM съдържание, ключове за дешифриране (за някои варианти), активни сесии, и значителна част от форензичните доказателства. Резултат: невъзможност да се идентифицира initial access vector, невъзможност да се изследват lateral movement сесии, и при някои варианти невъзможност за безплатно дешифриране. Допълнителен разход типично 60 000-300 000 лв. в инцидент за компания от 100 души.

Грешка 2: Самостоятелни преговори с нападателя

Управителят или ИТ ръководителят пише emocionalно на нападателя в първите часове, понякога заплашва, понякога моли. Това дава на нападателя ценна информация: размер на компанията, ниво на отчаяние, готовност за плащане. Резултат: повишен откуп с 200-400 на сто спрямо това, което би предложен в нормални преговори с професионалист.

Грешка 3: Пропускане на 72-часовия срок към КЗЛД

Понеделник сутрин в 09:30 не започва броят на 72 часа. Те започват в момента на узнаване. Просрочването е самостоятелно нарушение по чл. 33 GDPR и в практиката утежнява общата глоба с 30-60 на сто. За средна компания с пробив на 5 000-10 000 субекта това може да е допълнителни 60 000-180 000 лв. в санкцията.

Грешка 4: Възстановяване в същата мрежа, в която е била атаката

Нападателят често оставя backdoors, scheduled tasks, или скрити admin акаунти. Възстановяване от бекъп в същата мрежа води до повторна инфекция в 60-70 на сто от случаите в рамките на 14 дни. Правилният подход е чисто построена нова мрежа, плюс system-by-system проверка преди миграция. Допълнителен разход на грешката: пълен втори инцидент, обикновено по-скъп от първия.

Грешка 5: Преждевременна комуникация към целия персонал

Имейл "имаме технически проблем" или "не отваряйте файлове" в първите часове задвижва нападателя да активира втора фаза (data exfiltration alert), задвижва персонала да направи неконтролирани действия (опити за самопомощ, споделяне навън), и обикновено стига до пресата в 24-48 часа. Резултат: загуба на контрол на наратива, преждевременна публична известност, паника при клиенти, регулаторна интервенция инициирана от трета страна.

Половината компании, при които сме реагирали, можеха да намалят разходите си 5-10 пъти, ако имаха базови подготвителни мерки. Тези мерки не са скъпи. Те са незадействани.

6.1. Минимална готовност (struktura за 30 дни, бюджет 8 000-20 000 лв.)

• Контактен лист в чекмеджето: отпечатан списък със 24/7 контакти - IR партньор, юрист, киберзастраховател, ГД БОП, КЗЛД, банка. Не само в имейл. На хартия. Защото имейлът може да не работи в момента на инцидента
• 3-2-1 бекъп правило с immutability: 3 копия на критичните данни, 2 различни медии, 1 off-site, поне едно immutable. Veeam Hardened Repository, Azure Backup vault locks, AWS Object Lock - всички предоставят immutability за разумна цена
• Тествано възстановяване всеки 6 месеца: не "имаме бекъпи", а "възстановили сме реален файл от бекъпа в последните 6 месеца"
• EDR на всички endpoint-и: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Sophos Intercept X. Не само AV. EDR с поведенчески анализ може да спре ransomware преди енкрипция в 70+ на сто от случаите
• MFA на всичко: RDP, VPN, M365, Active Directory администраторски акаунти, всички privileged акаунти. 80 на сто от ransomware атаките започват с компрометиран credential
• Out-of-band комуникационен план: WhatsApp/Signal група с crisis екипа, тествана в табатоп упражнение

6.2. Средна готовност (90 дни, 20 000-50 000 лв.)

• IR retainer договор с професионален партньор (типично 1 200-3 600 лв./месец за SMB)
• Киберзастраховка с лимит 500 000-2 000 000 лв.
• Документиран Incident Response план с роли, отговорности, и playbook за ransomware
• Tabletop exercise веднъж годишно с УС, ИТ, юрист, и външен IR партньор
• SIEM или central log management (Microsoft Sentinel, Wazuh, Elastic SIEM, Splunk) с retention 12 месеца
• Network segmentation между основни VLAN-и (admin, finance, manufacturing, guest)
• Privileged Access Management (PAM) за domain admin акаунтите

6.3. Висока готовност (12 месеца, 50 000-200 000 лв.)

• vCISO или CISO с пълно отговаряне за киберсигурността
• 24/7 SOC (вътрешен или MDR от външен партньор)
• Zero Trust архитектура (микросегментация, conditional access, identity-based mrezhi)
• Annual red team или pentest с фокус на ransomware kill chain
• ISO 27001 или CSA STAR сертификация
• Покритие на регулаторни режими (НИС2, DORA, GDPR) с външен одит

Инцидент в момента?

Обадете се на нашия 24/7 incident response телефон

Atlant Security е български incident response доставчик с над 14 ransomware инцидента в последните 18 месеца, средно възстановяване в 7-14 дни, и работещ канал с международни IR партньори за сложни случаи. Първият 30-минутен разговор е безплатен и често спира поне една скъпа грешка.

Научете повече за нашата incident response услуга · Безплатна 30-мин консултация