Нужно заплатить выкуп? Сначала переговоры – CloudSavvy IT

1 min


Shutterstock / vchal

Знаете ли вы, что банды вымогателей открыты для переговоров? Если обстоятельства диктуют, вы должны заплатить выкуп, а не просто откладывать деньги – договоритесь о более выгодной сделке. Вот как это сделать.

Whan Ransomware Strikes

Атака программы-вымогателя устанавливает вредоносное ПО в вашу сеть. Он шифрует ваши данные и требует выкуп в криптовалюте для их расшифровки. Наиболее распространенными векторами атак по-прежнему остаются фишинговая атака или используя Протокол удаленного рабочего стола соединение, часто используя плохое управление паролями.

С точки зрения злоумышленников, программы-вымогатели очень прибыльны, и их относительно легко осуществить. В соответствии с отчет посредством Агентство Европейского Союза по кибербезопасности (ENISA), 45 процентов организаций жертв платят выкуп. Поэтому неудивительно, что количество атак программ-вымогателей растет. Bitdefender Полугодовой отчет за 2020 год заявляет, что глобальные атаки программ-вымогателей увеличились в годовом исчислении на 715 процентов.

Совет, данный Федеральное Бюро Расследований (ФБР) должно не платить выкуп. Выплата выкупа только способствует увеличению числа атак программ-вымогателей. Если у вас есть надежная система аварийного восстановления, отрепетированный план инцидентов и ваши резервные копии не были скомпрометированы, вы можете восстановить свои системы до состояния до атаки. То есть однажды вы определили, как они получили доступ к вашей сети, и закрыли эту уязвимость. Но на это могут уйти дни, а возможно, и недели.

Когда больницы и другие критически важные службы и инфраструктура подвергаются атаке программ-вымогателей, им необходимо как можно быстрее восстанавливаться. Пандемия COVID-19 повысила вероятность того, что больницы и медицинские фирмы станут жертвами программ-вымогателей. Если вы просто не можете выдержать простоя или процесс восстановления будет стоить больше, чем выкуп, уплата выкупа может показаться меньшим из двух зол.

В Нет больше выкупа Проект был основан Интерполом и многими партнерскими организациями для предоставления дешифраторов для распространенных программ-вымогателей. У них может быть инструмент, который расшифрует ваши зашифрованные данные.

Атаки программ-вымогателей все чаще сопровождаются кражей конфиденциальной информации компании или другой конфиденциальной информации. Киберпреступники угрожают раскрыть эту информацию, если вы не заплатите выкуп. Имейте в виду, что даже если вы заплатите выкуп, вы можете не получить свои данные обратно. Декриптор, используемый злоумышленниками, может работать некорректно. Если он расшифрует ваши данные, вы все равно можете быть заражены вредоносным ПО.

Некоторые организации имеют киберстрахование. Это нормально, но есть основания полагать, что если киберпреступники знают, что у организации есть киберстрахование, они предполагают, что выкуп будет выплачен независимо от того, имеет ли организация достаточно средств или нет. Это означает, что лимит выкупа определяется не финансами организации, а размером покрытия, предусмотренного страховым полисом. Они могут раздуть свои требования о выкупе и даже могут нацеливаться на застрахованные организации.

Конечно, идеальный сценарий – не попасть под удар программы-вымогателя. Но если вы это сделаете, и обстоятельства диктуют, что вы должны заплатить выкуп, вы можете вести переговоры с киберпреступниками.

Смесь доверия и отчаяния

Почти наверняка вы не лучший человек для ведения переговоров, как и никто другой в вашей организации. У вас будет достаточно информации, чтобы определить точку проникновения и исправить уязвимость, а также попытаться сохранить работу организации любыми доступными средствами. Возможно, сотрудники смогут работать из дома. Возможно, у вас была сегментированная сеть, и некоторая часть вашей ИТ-инфраструктуры и телекоммуникационного оборудования избежала заражения.

Вы должны обновлять доску или C-Suite, управлять клиентскими запросами и запросами клиентов, выполнять действия, которые требуются вашим законодательством о защите данных, обрабатывать PR и многие другие действия, которые будут частью вашего сценария реагирования на инциденты. даже если у вас не было всего этого на спине, вам все равно будет лучше обратиться к экспертам для ведения переговоров.

Знание того, как действовать, зависит от понимания того, с кем и с чем вы имеете дело. Какой штамм вымогателей был использован против вас. Можете ли вы идентифицировать киберпреступников и знаете ли вы, каковы их послужной список?

Некоторые банды вымогателей более надежны, чем другие. У них есть процедуры дешифрования, которые работают правильно, и они фактически восстанавливают ваши данные. Впоследствии они не возвращаются с дальнейшими заявлениями о шантаже, касающимися разоблачения украденных ими данных. Другие банды в меньшей степени. Если дешифратор икает и не работает, это просто тяжело для вас.

Существуют фирмы, которые могут вести эти переговоры за вас и использовать свои знания и опыт в ваших интересах. Некоторые организации могут оправдать сохранение такой фирмы на гонораре, но многие – нет. каждая организация может исследовать ближайшие компании по управлению инцидентами кибератак, у которых есть служба переговоров. Большинство из них предложат полную услугу реагирования на инциденты кибератак, включая переговоры.

В большинстве юрисдикций от вас требуется – или, по крайней мере, настоятельно рекомендуется – уведомлять правоохранительные органы и сообщать об атаке. Ваши законы о конфиденциальности данных могут потребовать от вас уведомить затронутых субъектов данных и настроить средства их обновления. Возможно, вам потребуется сообщить об инциденте в орган по защите данных. И если у вас есть киберстрахование, вы должны начать с ними разговаривать как можно скорее. Вам нужно знать, ожидают ли они прикрытия для этого инцидента или нет. Это жизненно важное знание для переговоров.

Переговоры

Shutterstock / vchal

Шаг первый: технические подробности

Убедитесь, что вы определили средства заражения и закрыли эту уязвимость, чтобы ее нельзя было использовать снова. Если вы уверены, что злоумышленники заблокированы для доступа к вашей системе, вам необходимо подвести итоги. Что именно было зашифровано, какова степень взлома?

Это все ИТ-подразделения, одна подсеть, несколько серверов или все ваши серверы? Если ваша сеть не была полностью зашифрована, у вас будет начальный гамбит. Зачем платить весь выкуп, если вся сеть не была зашифрована? Но вы должны быть абсолютно уверены, что киберпреступники заблокированы. Если они все еще могут получить доступ к вашей сети и обнаружат, что есть области, которые не были зашифрованы, они повторно подключатся и зашифруют устройства, которые они пропустили.

Способ общения с преступниками обычно описывается в сообщении о выкупе. Обычно это портал, на который вы входите для обмена сообщениями. Убедитесь, что у вас есть доступ к нему, но пока не открывайте обсуждения. Вы можете задать вопрос, например, вы в нужном месте, или другой невинный вопрос. Он показывает киберпреступникам, что вы до сих пор выполняете их приказы, не выдавая ничего.

Шаг второй: исследование и разведка

Кто-то должен определить штамм вымогателей. Вот почему имеет смысл привлекать стороннюю компанию по реагированию на инциденты. У них есть для этого навыки и опыт. Они будут использовать эту информацию вместе с другими подсказками, такими как тип записки с требованием выкупа, вектор атаки и метод заражения, тип портала сообщений, который они используют для связи с вами, а также детали из других случаев использования программ-вымогателей для выявления злоумышленников. Этот шаг атрибуции очень важен.

Знание личности банды вымогателей позволяет группе реагирования ссылаться на записи о других атаках вымогателей, совершенных этими злоумышленниками. Они смогут увидеть, предоставляет ли эта банда вымогателей обычно работающие дешифраторы, и соблюдали ли они исторически свое соглашение не шантажировать жертву с целью получения дополнительных денег, угрожая опубликовать украденные данные.

Важно отметить, что они могут узнать, какой выкуп требовала эта банда во время предыдущих атак и какова была окончательная согласованная цифра. Выкупы могут быть выбраны из воздуха и могут быть стандартным вступительным требованием, или они могут быть определены участниками угрозы, смотрящими на оборот организации-жертвы. Эти оценки могут быть сильно искажены. Иногда они смотрят на стоимость холдинговой группы, а не на реальный бизнес, который был зашифрован.

«Нам нужны наши данные, мы готовы платить, но ваша оценка неверна, и у нас просто нет этих средств», – это разумный первый шаг в переговорах.

Шаг третий: переговоры

Для банды вымогателей это всего лишь бизнес-операция. Это не личное. Внешний переговорщик сможет оставаться более нейтральным, чем внутренние представители организации. Эмоции не будут продуктивными.

Как и в случае со всеми крупными бизнес-операциями, переговоры ожидаются. Естественно, злоумышленники хотят, чтобы все было закрыто как можно быстрее. Затяжные переговоры повышают вероятность их обнаружения правоохранительными органами. Но вы не можете просто заглохнуть. Если они решат, что продолжать работу слишком рискованно, они уйдут, и у вас останется зашифрованная сеть. Но если жертва просто не может удовлетворить требования о выкупе, банде вымогателей придется снизить свои ожидания. В конце концов, выкуп лучше, чем его отсутствие.

Убедитесь, что вы запросили и получили демонстрацию того, что дешифратор работает правильно. Вы должны убедиться, что он успешно расшифровывает набор файлов разных типов с разных серверов и подсетей. Это небезосновательно, и киберпреступники должны иметь возможность сделать это очень легко.

Справедливо, что у вас есть доказательства того, что вы получите то, за что платите. Это эквивалентно запросу доказательств того, что заложники все еще живы, до выплаты выкупа.

Шаг четвертый: оплата

Когда соглашение об урегулировании достигнуто, выплачивается выкуп. Это будет в криптовалюте. Биткойн является фаворитом, потому что для начинающего пользователя криптовалюты легко получить. Имейте в виду, что этот шаг может занять несколько дней. Было бы разумно получить небольшое количество биткойнов в качестве меры предосторожности, чтобы не потребовать их в будущем. Потребуется время, необходимое для получения цифрового кошелька и установления ваших учетных данных в качестве пользователя Биткойн на критическом пути инцидента с программой-вымогателем.

Стенограмма сообщений, переговоров, соглашения и подтверждения платежа экспортируется с портала и предоставляется организации-жертве. Эта стенограмма часто требуется для страховой компании или по другим юридическим или договорным причинам.

Если данные были вывезены до того, как сеть была зашифрована, у вас есть только слова киберпреступников о том, что они удалят данные и не будут использовать их в будущем для шантажа. Это не так много, но есть надежда, что киберпреступники понимают, что, если они откажутся от таких сделок, будущие жертвы будут менее склонны платить выкуп – или столько же, – если банда вымогателей зарекомендовала себя как не поддерживающая их сторону. соглашение.

Такая потеря данных будет считаться утечкой данных, и о ней, вероятно, необходимо будет сообщить в ваш орган по защите данных. В соответствии с определенным законодательством, например Общие правила защиты данных, атака программы-вымогателя считается утечкой данных, потому что вы потеряли контроль над данными.

Шаг пятый: вскрытие

У тебя нет времени сидеть сложа руки и зализывать раны.

Как минимум вам следует:

  • Как можно скорее проведите тестирование на проникновение и тестирование уязвимостей. Убедитесь, что вы действуете в соответствии с результатами. Используйте результаты теста, чтобы направлять свои корректирующие действия.
  • Если у вас есть киберстрахование, вам необходимо решить вопрос со своей страховой компанией.
  • Обращайтесь к официальным сообщениям. Сообщили ли вы всем, что вам нужно, включая правоохранительные органы и органы по защите данных? Вам необходимо отправить официальное заявление своим торговым партнерам, клиентам и затронутым субъектам данных. Кратко опишите события нападения и то, как оно было завершено. Обязательно включите раздел, описывающий, что вы сделали, чтобы предотвратить повторение.

Теперь спланируйте следующий раз

Что мешало вам переключиться на систему аварийного восстановления или очистить и восстановить резервные копии, чтобы вам не пришлось платить выкуп?

Изучите эти и другие варианты обеспечения непрерывности бизнеса. Вы, вероятно, обнаружите, что они дешевле, чем был ваш выкуп, что они уменьшают ваш страховой взнос, они и облегчают соблюдение законодательства о защите данных.


0 Comments

Добавить комментарий