จากจำนวนการโจมตีของ Ransomware ยังคงเพิ่มขึ้นทุกปี ตามรายงานการสืบสวนการละเมิดข้อมูลของ Verizon ในปี 2022 พบว่า การโจมตีด้วย Ransomware เพิ่มขึ้น 13% และ ทั้งยังมีส่วนเกี่ยวข้องในการละเมิดข้อมูลทั้งหมดถึง 25% อีกด้วย ดังนั้นจึงจำเป็นอย่างยิ่งที่ควรจะต้องรู้วิธีการตอบสนองและการจัดการกับหลักฐานต่างๆ จากการถูกโจมตี Ransomware
เมื่อบริษัทตกเป็นเหยื่อของการโจมตี วิธีการรับมือโดยทั่วไป คือ การลบและล้างข้อมูลในเครื่องที่ติดไวรัสและพยายามกู้คืนข้อมูลเพื่อให้กลับมาทำงานได้อีกครั้งโดยเร็วที่สุด ด้วยเหตุนี้ ผู้โจมตีจึงมักจะใช้ Ransomware เพื่อทำลายหลักฐานของการโจมตีทั้งหมดหลังจากที่พวกเขาขโมยข้อมูลจากเครือข่ายได้สำเร็จ
บริษัทโอไร้อันมักจะได้รับการติดต่อสอบถามจากบริษัทที่ตกเป็นเหยื่อของการโจมตีจาก Ransomware ว่าทางเรานั้นสามารถกู้คืนข้อมูลที่เข้ารหัสได้หรือไม่ ในเกือบทุกเคสทางเรานั้นไม่สามารถกู้คืนได้ อย่างไรก็ตาม การเก็บหลักฐานและนำวิเคราะห์ต่อ ยังคงเป็นเรื่องสำคัญอย่างยิ่งที่เหยื่อจะต้องดำเนินการตรวจสอบและวิเคราะห์หลักฐานอย่างละเอียด เพราะจะช่วยให้มองเห็นช่องโหว่ของการถูกโจมตี รวมถึงหาวิธีการรับมือและป้องกันได้อย่างถูกต้อง
วัตถุประสงค์ของการสอบสวนคือเพื่อรักษาหลักฐานที่เป็นไปได้เพื่อ:
- เพื่อระบุว่าระบบติด Ransomware ได้อย่างไร
- เพื่อระบุว่าข้อมูลที่สำคัญใดๆ ถูกส่งออกจากระบบหรือไม่
- หาคำตอบกับหน่วยงานกำกับดูแลและแสดงผลการปฏิบัติว่าคุณได้ดำเนินการตามขั้นตอนที่เหมาะสม เพื่อป้องกันไม่ให้เกิดเหตุซ้ำอีก
- ทำการรักษาข้อมูล ในกรณีที่คีย์ถอดรหัสถูกปล่อยออกมาในภายหลัง