Ransomware sieje coraz większe spustoszenie – oto kilka wskazówek dla potencjalnych ofiar
Złośliwe oprogramowanie typu ransomware to coraz większy problem dla prywatnych oraz firmowych sieci. Przy jego pomocy cyberprzestępcy eskalują swoje żądania, a najwyższe okupy dochodzą nawet do kilku milionów dolarów. Jak negocjować z gangsterami, by zminimalizować groźne następstwa ataku?
Złośliwe oprogramowanie typu ransomware to wciąż ewoluujące zagrożenie, które wyrządza coraz większe szkody. Jego działanie uniemożliwia użytkownikowi normalne korzystanie z komputera, dopóki nie uiści on fikcyjnej opłaty za rzekome poważne naruszenie prawa. Część użytkowników oskarżana jest o posiadanie nielegalnego oprogramowania, pobieranie zawartości chronionej prawami autorskimi lub też o próby uzyskania dostępu do dziecięcej pornografii. Aby uwiarygodnić swoje działania, ransomware podszywa się pod lokalne służby policyjne poprzez użycie ustawień regionalnych użytkownika - innymi słowy komunikuje się w lokalnym języku i wykorzystuje logotypy lokalnej policji.
Wprawdzie dostawcy systemów bezpieczeństwa IT deklarują, iż posiadają rozwiązania chroniące przed ransomwarem, to jednak wciąż wiele organizacji pada ofiarą tego typu ataków. Oczywiście trudno za taki stan rzeczy winić wyłącznie dostawców, bowiem niejednokrotnie przestępcy włamują się do firmowej sieci dzięki niefrasobliwość pracowników. Tak czy inaczej organizacje coraz częściej stają przed dylematem: czy zapłacić napastnikom za odszyfrowanie danych i jak poprowadzić negocjacje, aby okup był jak najniższy. Niestety, nawet duże giełdowe spółki, choć mają opracowane plany reagowania na incydenty cybernetyczne, zazwyczaj nie zawierają one szczegółowych wytycznych dotyczących postępowania w przypadku ataków ransomware.
Czasami przedsiębiorcy nie mają wyjścia i muszą negocjować z napastnikami. To bardzo trudne zadanie, ponieważ firmy nie mają doświadczenia w tej materii i znajdują się pod ogromną presją. Sytuacji nie ułatwia taktyka stosowana przez gangi ransomware, które od pewnego czasu stosują technikę podwójnego wymuszenia, łącząc szyfrowanie plików z kradzieżą danych.
Jednak ofiary ataków zawsze mogą nieco poprawić swoją pozycję negocjacyjną, realizując dwa zadania. Pierwszym jest załatanie dziur w systemie i wyrzucenie napastników z firmowej sieci. W dalszej kolejności należy ustalić wariant oprogramowania ransomware i powiązać go z napastnikiem, aby ocenić jego wiarygodność.
Od czego zależy wysokość okupu?
Analitycy z Fox-IT, aby dowiedzieć się, jak gangi ransomware maksymalizują zyski przeanalizowali ponad 700 procesów negocjacji przeprowadzonych w latach 2019-2020. Badacze zauważają, iż na wysokość ostatecznego okupu wpływają przede wszystkim koszty hostingu złośliwego oprogramowania, testów penetracyjnych oraz opracowywania narzędzi dla napastników. Ale haracz musi być na tyle niski, aby wysoki odsetek ofiar był w stanie go zapłacić. Gangi mają do wyboru dwa modele - niewielka liczba ofiar płaci wyższy okup lub większa liczba wnosi niższy haracz. Autorzy badania podzielili ofiary na dwie podgrupy na podstawie uzyskiwanych przez nie rocznych dochodów. Dane pokazują, że jeśli firmy mają podobne wpływy i zostały zainfekowane złośliwym oprogramowaniem, zapłacą bardzo zbliżony okup. Co więcej, małe i średnie firmy płacą mniej pieniędzy, ale relatywnie więcej jako procent własnych przychodów aniżeli korporacje. Napastnicy potrafią też stosunkowo łatwo oszacować, ile zapłacą ofiary. Wynika to z faktu, iż mają doświadczenie w negocjacjach, co daje im bardzo dużą przewagę nad zaatakowaną firmą, zazwyczaj po raz pierwszy znajdującą się niezbyt komfortowym położeniu.
Jak negocjować: wskazówki dla potencjalnych ofiar
W czasie rozmów z gangami ransomware należy zachować zimną krew. Emocje mogą tylko pogorszyć sytuację negocjacyjną, tymczasem pertraktacje trzeba prowadzić tak jak normalne negocjacje biznesowe. Bycie miłym doprowadzi do lepszych wyników. Istnieje też dodatkowa opcja - zatrudnienie zewnętrznego doradcy, który posiada doświadczenie w konsultacjach z cyberprzestępcami.
Napastnicy wywierają presję zmuszając swoje ofiary do szybkiego opłacenia okupu, często grożąc wyciekiem skradzionych plików lub podwojeniem okupu po pewnym czasie. Nie można ulegać tym naciskom i bać się prosić o więcej czasu na podjęcie decyzji, tym bardziej, że badania przeprowadzone przez Fox-IT pokazują, że hakerzy są skłonni przedłużyć czas negocjacji.
Badacze przytaczają przykład gangu ransomware, który początkowo żądał okupu w wysokości 12 milionów USD, a skończyło się na 1,5 miliona dolarów. Ta strategia jest przydatna dla ofiar chcących grać na czas. Inną metodą jest zaoferowanie mniejszej płatności w krótkim czasie zamiast większej później. Analitycy Fox-IT opisują przypadek firmy, której udało się w ten sposób obniżyć haracz z 1 mln USD do 350 tys. USD.
Osobną kwestię stanowi ubezpieczenie cybernetyczne. W Polsce jak na razie niewiele firm korzysta z tej formy polisy, ale za oceanem cieszy się ona dość dużą popularnością. W każdym razie należy utrzymać ten fakt w tajemnicy. Jeśli gangsterzy dowiedzą się, że ofiara wykupiła ubezpieczenie na cyberataki, negocjacje staną się trudniejsze.
