Поиск по сайту:

Нужно заплатить выкуп? Сначала договоритесь

Знаете ли вы, что банды вымогателей открыты для переговоров? Если обстоятельства диктуют, что вы должны заплатить выкуп, не просто продлите срок — договоритесь о более выгодной сделке. Вот как это сделать.

При атаке программ-вымогателей

Атака программы-вымогателя устанавливает вредоносное ПО в вашей сети. Он шифрует ваши данные и требует выкуп в криптовалюте для их расшифровки. Наиболее распространенными векторами атак по-прежнему являются фишинговые атаки или использование подключения по протоколу удаленного рабочего стола, часто с использованием плохого управления паролями.

С точки зрения злоумышленников, программы-вымогатели чрезвычайно прибыльны, и их относительно легко осуществить в кибератаке. Согласно отчету Агентства кибербезопасности Европейского Союза (ENISA), выкуп платят 45 процентов организаций-жертв. Поэтому неудивительно, что количество атак программ-вымогателей растет. В полугодовом отчете Bitdefender 2020 указывается, что глобальные атаки программ-вымогателей увеличились в годовом исчислении на 715 процентов.

Совет Федерального бюро расследований (ФБР) – не платить выкуп. Плата за выкуп только поощряет новые атаки программ-вымогателей. Если у вас есть надежная система аварийного восстановления, отрепетированный план на случай инцидента и ваши резервные копии не были скомпрометированы, вы можете восстановить свои системы до их состояния до атаки. То есть однажды вы определили, как они получили доступ к вашей сети и закрыли эту уязвимость. Но на это могут уйти дни и, возможно, недели.

Когда программы-вымогатели поражают больницы и другие критически важные службы и инфраструктуру, им необходимо восстанавливаться как можно быстрее. Пандемия COVID-19 повысила вероятность того, что больницы и медицинские учреждения станут мишенью программ-вымогателей. Если вы просто не можете терпеть простои или процесс восстановления будет стоить больше, чем выкуп, уплата выкупа может показаться меньшим из двух зол.

Проект No More Ransom был основан Интерполом и многими партнерскими организациями для предоставления дешифраторов для распространенных программ-вымогателей. У них может быть инструмент, который расшифрует ваши зашифрованные данные.

Атаки программ-вымогателей все чаще сопровождаются кражей конфиденциальной или другой конфиденциальной информации компании. Киберпреступники угрожают раскрыть эту информацию, если вы не заплатите выкуп. Имейте в виду, что даже если вы заплатите выкуп, вы можете не вернуть свои данные. Дешифратор, используемый злоумышленниками, может работать неправильно. Если он расшифрует ваши данные, вы все равно можете быть заражены вредоносным ПО.

Некоторые организации застрахованы киберстрахованием. Это нормально, но есть основания полагать, что если киберпреступники знают, что у организации есть киберстраховка, они предполагают, что выкуп будет выплачен независимо от того, есть ли у организации достаточно средств или нет. Это означает, что лимит выкупа определяется не финансами организации, а стоимостью покрытия, предоставляемого страховым полисом. Они могут завышать свои требования о выкупе и даже могут отдавать предпочтение застрахованным организациям.

Конечно, идеальный сценарий — не попасть под действие программ-вымогателей. Но если вы это сделаете, и обстоятельства диктуют, что вы должны заплатить выкуп, вы можете договориться с киберпреступниками.

По теме: Как подготовиться к атаке программы-вымогателя и бороться с ней

Смесь доверия и отчаяния

Почти наверняка вы не лучший человек для ведения переговоров, как и никто другой в вашей организации. У вас будет достаточно усилий, чтобы определить точку проникновения и исправить уязвимость, а также попытаться сохранить работу организации, используя любые доступные средства. Возможно, персонал сможет работать из дома. Возможно, у вас была сегментированная сеть, и часть вашей ИТ-инфраструктуры и телекоммуникационного оборудования избежала заражения.

Вы должны постоянно обновлять совет директоров или топ-менеджеров, управлять запросами клиентов и заказчиков, выполнять действия, требуемые вашим законодательством о защите данных, заниматься связями с общественностью и выполнять многие другие действия, которые станут частью вашего сценария реагирования на инциденты. даже если у вас не было всего этого на спине, вам все равно будет лучше привлечь экспертов для ведения переговоров.

Знание того, как действовать, зависит от понимания того, с кем и с чем вы имеете дело. Какой штамм программы-вымогателя был использован против вас. Можете ли вы идентифицировать киберпреступников и знаете ли вы их послужной список?

Некоторые банды вымогателей более надежны, чем другие. У них есть процедуры расшифровки, которые работают правильно, и они фактически восстанавливают ваши данные. Впоследствии они не возвращаются с дальнейшими заявлениями о шантаже относительно раскрытия похищенных ими данных. В других бандах меньше. Если расшифровщик икает и не работает, это просто тяжело для вас.

Существуют фирмы, которые могут провести эти переговоры для вас и использовать свои знания и опыт в ваших интересах. Некоторые организации могут оправдать содержание такой фирмы на гонораре, но многие не могут. каждая организация может исследовать компании по управлению инцидентами кибератак в своем районе, у которых есть служба переговоров. Большинство из них предложат полный комплекс услуг по реагированию на инциденты кибератак, включая переговоры.

В большинстве юрисдикций от вас требуется — или, по крайней мере, настоятельно рекомендуется — уведомить правоохранительные органы и сообщить о нападении. Ваши законы о конфиденциальности данных могут потребовать от вас уведомить затронутых субъектов данных и настроить средства их обновления. Возможно, вам придется сообщить об инциденте в орган по защите данных. И если у вас есть киберстраховка, вы должны начать с ними общаться как можно скорее. Вам нужно знать, рассчитывают ли они предоставить прикрытие для этого инцидента или нет. Это жизненно важное знание для переговоров.

Переговоры

Шаг первый: технические детали

Убедитесь, что вы идентифицировали средства заражения и закрыли эту уязвимость, чтобы ее нельзя было использовать снова. Как только вы убедитесь, что злоумышленники заблокированы в вашей системе, вам нужно подвести итоги. Что именно было зашифровано, какова степень компрометации?

Это вся ИТ-инфраструктура, одна подсеть, несколько серверов или все ваши серверы? Если ваша сеть не была зашифрована полностью, у вас будет начальный гамбит. Почему вы должны платить весь выкуп, если вся сеть не была зашифрована? Но вы должны быть абсолютно уверены, что киберпреступники заблокированы. Если они все еще могут получить доступ к вашей сети и обнаружат, что есть области, которые не были зашифрованы, они повторно подключатся и зашифруют устройства, которые они пропустили.

Способ общения с преступниками обычно описывается в сообщении о выкупе. Обычно это портал, на который вы входите для обмена сообщениями. Убедитесь, что у вас есть доступ к этому, но пока не открывайте обсуждения. Вы можете задать вопрос, например, находитесь ли вы в нужном месте, или другой невинный вопрос. Он показывает киберпреступникам, что вы выполняете их приказы, ничего не выдавая.

Шаг второй: исследование и разведка

Кто-то должен определить штамм программы-вымогателя. Вот почему имеет смысл создание внешней компании по реагированию на инциденты. У них есть для этого навыки и опыт. Они будут использовать эту информацию вместе с другими подсказками, такими как тип записки о выкупе, вектор атаки и метод заражения, тип портала сообщений, который они используют для связи с вами, а также сведения из других случаев программ-вымогателей, чтобы идентифицировать злоумышленников. Этот шаг атрибуции очень важен.

Знание личности группы вымогателей позволяет группе реагирования ссылаться на записи других атак вымогателей, совершенных этими преступниками. Они смогут увидеть, предоставляет ли эта банда программ-вымогателей работающие дешифраторы и соблюдают ли они исторически свое соглашение не шантажировать жертву с целью получения дополнительных денег, угрожая раскрыть похищенные данные.

Важно отметить, что они могут узнать, какой выкуп эта банда требовала в ходе предыдущих нападений, и какова была окончательная сумма, оговоренная в ходе переговоров. Выкупы могут быть получены из воздуха и быть стандартным начальным требованием, или они могут быть определены субъектами угрозы, смотрящими на оборот организации-жертвы. Эти оценки могут быть сильно искажены. Иногда они смотрят на ценность холдинговой группы, а не на реальный бизнес, который был зашифрован.

«Нам нужны наши данные обратно, мы готовы заплатить, но ваша оценка неверна, и у нас просто нет этих средств», — разумный первый шаг в переговорах.

Шаг третий: переговоры

Для банды вымогателей это просто деловая сделка. Это не личное. Внешний переговорщик сможет оставаться более нейтральным, чем внутренние представители организации. Эмоциональность не будет продуктивной.

Как и во всех крупных деловых сделках, ожидаются переговоры. Естественно, злоумышленники хотят, чтобы все было сделано как можно быстрее. Затянувшиеся переговоры повышают вероятность их обнаружения правоохранительными органами. Но нельзя просто останавливаться. Если они решат, что продолжать слишком рискованно, они уйдут, и вы останетесь с зашифрованной сетью. Но если жертва просто не может удовлетворить требования о выкупе, банде вымогателей придется снизить свои ожидания. В конце концов, немного выкупа лучше, чем его отсутствие.

Убедитесь, что вы запросили и получили демонстрацию того, что дешифратор работает правильно. Вам нужно убедиться, что он успешно расшифровывает подборку файлов разного типа с разных серверов и подсетей. Это вполне разумно, и киберпреступники должны быть в состоянии сделать это очень легко.

Будет справедливо, если у вас есть доказательства того, что вы получите то, за что платите. Это равносильно запросу доказательств того, что люди-заложники все еще живы, прежде чем будет выплачен выкуп.

Шаг четвертый: оплата

Когда мировое соглашение достигнуто, выкуп выплачивается. Это будет в криптовалюте. Биткойн является фаворитом, потому что его легко получить начинающему пользователю криптовалюты. Имейте в виду, что этот шаг может занять несколько дней. Возможно, было бы разумно получить небольшое количество биткойнов в качестве меры предосторожности против необходимости их использования в будущем. Потребуется время, необходимое для получения цифрового кошелька и подтверждения ваших учетных данных в качестве пользователя биткойнов вдали от критического пути инцидента с программой-вымогателем.

Стенограмма общения, переговоров, соглашения и подтверждения платежа экспортируется с портала и предоставляется организации-жертве. Эта выписка часто требуется для страховой компании или по другим юридическим или договорным причинам.

Если данные были украдены до того, как сеть была зашифрована, у вас нет ничего, кроме слов киберпреступников, что они удалят данные и не будут использовать их в будущем для шантажа. Это немного, но есть надежда, что киберпреступники понимают, что, если они откажутся от таких сделок, будущие жертвы будут менее склонны платить выкуп — или столько же выкупа — если у банды вымогателей есть репутация не отстаивания своей стороны. соглашение.

Потеря данных таким образом будет считаться утечкой данных и, скорее всего, о ней необходимо будет сообщить вашему органу по защите данных. В соответствии с определенным законодательством, например Общим регламентом по защите данных, атака программ-вымогателей сама по себе считается утечкой данных, поскольку вы потеряли контроль над данными.

Шаг пятый: вскрытие

У тебя нет времени сидеть сложа руки и зализывать раны.

Как минимум вы должны:

  • Как можно скорее проведите тестирование на проникновение и тестирование на уязвимости. Убедитесь, что вы действуете на результаты. Используйте результаты тестирования, чтобы определить свои корректирующие действия.
  • Если у вас есть киберстрахование, вам необходимо урегулировать вопрос со своей страховой компанией.
  • Ведение официальных сообщений. Сообщили ли вы всем, кому нужно, включая правоохранительные органы и органы по защите данных? Вам необходимо отправить официальное заявление своим торговым партнерам, клиентам и затронутым субъектам данных. Кратко опишите события нападения и то, как оно завершилось. Не забудьте включить раздел, описывающий, что вы сделали, чтобы предотвратить повторение.

Теперь план на следующий раз

Что мешало вам перейти на систему аварийного восстановления или очистить и восстановить резервные копии, чтобы не платить выкуп?

Изучите эти и другие варианты обеспечения непрерывности бизнеса. Вы, вероятно, обнаружите, что они дешевле, чем ваш выкуп, что они снижают вашу страховую премию и облегчают соблюдение законодательства о защите данных.