Jak działają negocjacje w sprawie ransomware

Co zrobić, jeśli nasza organizacja padła ofiarą ransomware? Rady doświadczonych negocjatorów

Jak działają negocjacje w sprawie ransomware

Metamorworks/Nature/Getty Images

Ransomware jest jednym z najbardziej niszczycielskich zagrożeń, z jakimi organizacje musiały się zmierzyć w ciągu ostatnich kilku lat i nic nie wskazuje na to, aby atakujący mieli się w najbliższym czasie zatrzymać. Jest to dla nich po prostu zbyt opłacalne. Żądania okupu wzrosły z kilkudziesięciu tysięcy dolarów do nawet dziesiątek milionów, ponieważ atakujący przekonali się, jak wiele organizacji jest skłonnych im zapłacić.

Decyzje dotyczące płatności za ransomware nie zapadają jednoosobowo, zależą od CIO i innych członków kadry kierowniczej, jak również zewnętrznych doradców i ubezpieczycieli, ale rosnąca potrzeba dokonywania takich płatności stworzyła rynek dla konsultantów i firm, które specjalizują się w negocjacjach dotyczących ransomware i ułatwianiu płatności w kryptowalutach.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Raport Sophos - hakerzy celują w Active Directory

Przebieg ataku ransomware

W idealnym świecie atak ransomware powinien uruchomić dobrze przećwiczony plan odzyskiwania danych po awarii, ale niestety wiele organizacji daje się zaskoczyć. Podczas gdy duże przedsiębiorstwa mogą posiadać zespół reagowania na incydenty i plan radzenia sobie z cyberatakami, procedury radzenia sobie z różnymi aspektami specyficznymi dla ataku ransomware - w tym z zagrożeniem wycieku danych, komunikacją zewnętrzną z klientami i organami regulacyjnymi oraz podejmowaniem decyzji o negocjacjach z podmiotami stanowiącymi zagrożenie - są zazwyczaj nieobecne. „Nawet w dużych firmach, notowanych na giełdzie, które mają plany IR (cybersecurity incident response plan), zazwyczaj nie obejmują one szczegółów związanych z ransomware” - mówi Kurtis Minder, dyrektor generalny firmy GroupSense, zajmującej się badaniem zagrożeń i negocjacjami w sprawie ransomware. „Kiedy dochodzimy do procesu negocjacji deszyfrowania, podejmowania decyzji biznesowych, kto powinien być zaangażowany, wiele z tych rzeczy nie jest udokumentowanych. Nie ma też żadnego planu komunikacji czy PR. Nic z tego nie istnieje w większości firm, do których trafiamy, co jest niefortunne”. Nawet firmy, które przećwiczyły swoje plany IR i mają wdrożone procedury, wpadają w panikę, gdy uderza ransomware, według Iana Schenkela, wiceprezesa na region EMEA w firmie Flashpoint, innego dostawcy usług badania zagrożeń, który również oferuje usługi reagowania na ransomware. Nie mamy do czynienia tylko z kawałkiem ransomware szyfrującym pliki i szyfrującym całą sieć. Ostatnio obserwujemy próby wyłudzenia od użytkownika więcej pieniędzy za pomogą gróźb ujawnienia wykradzionych danych.

Innymi słowy, ponieważ coraz więcej grup ransomware stosuje technikę podwójnego wymuszenia, łącząc szyfrowanie plików z kradzieżą danych, atak ransomware, który ostatecznie jest odmową usługi, staje się również naruszeniem danych, które podlega różnym obowiązkom regulacyjnym w zależności od tego, w jakim miejscu na świecie się znajdujesz i jaki rodzaj danych został narażony. Podczas gdy w przeszłości firmy prywatne nie musiały publicznie ujawniać ataków ransomware, mogą być coraz częściej zmuszane do tego ze względu na ten element naruszenia danych.

W przypadku ataku ransomware należy wykonać dwa krytyczne i wrażliwe na czas działania:

• Zidentyfikować, w jaki sposób napastnicy dostali się do sieci, zamknąć dziurę i wyrzucić ich z sieci.

• Zrozumieć, z czym mamy do czynienia, co oznacza określenie wariantu oprogramowania ransomware, powiązanie go z podmiotem stanowiącym zagrożenie i ustalenie jego wiarygodności, zwłaszcza jeśli twierdzi on również, że dokonał kradzieży danych.

Pierwsze z tych działań wymaga wewnętrznego lub zewnętrznego zespołu reagowania na incydenty, natomiast drugie może wymagać skorzystania z usług firmy specjalizującej się w analizie zagrożeń.

Niektóre duże firmy utrzymują takie firmy na stałe, ale wiele organizacji tego nie robi i często czują się zagubione w obliczu ataku ransomware i tracą cenny czas. W takich przypadkach lepszym podejściem może być zatrudnienie zewnętrznego doradcy, który posiada doświadczenie w zarządzaniu reakcjami na cyberataki. Według prawników z międzynarodowej firmy prawniczej Orrick, którzy rozmawiali z CSO, w około 75% przypadków doradcy zewnętrzni są wzywani jako pierwsi i rozpoczynają proces reagowania, który obejmuje:

• Powiadomienie organów ścigania

• Zaangażowanie pracowników działu kryminalistyki

• Przeprowadzenie wewnętrznej odprawy z udziałem kierownictwa organizacji

• Objęcie dochodzenia ochroną na podstawie przywilejów

• Ocenę powiadomień dla świata zewnętrznego, które mogą być potrzebne

Pomoc organizacji będącej ofiarą w nawiązaniu kontaktu z ubezpieczycielem w celu powiadomienia go o ataku i uzyskania zgody na pokrycie kosztów, w tym kosztów doradztwa, ekspertyzy sądowej, komunikacji kryzysowej i wszelkich innych niezbędnych kosztów, w tym zapłacenia okupu, jeśli taka decyzja została podjęta.

Kto decyduje o tym, czy zapłacić okup?

Powyższą kwestię należy jak najwcześniej przedyskutować z ubezpieczycielem, ponieważ w zależności od zapisów w polisie, może on mieć większy lub mniejszy wpływ na wybór dostawcy usług IR i innych stron, które są sprowadzane do pomocy przy incydencie. Ubezpieczyciele zazwyczaj mają swoje listy zatwierdzonych sprzedawców.

Jednakże, jeśli chodzi o decyzję, czy zapłacić okup, czy nie, z doświadczenia prawników Orrick, firmy podejmują tę decyzję samodzielnie, a następnie zwracają się do swojego ubezpieczyciela, aby sprawdzić, czy ją zatwierdził. W niektórych przypadkach poszkodowana firma może zdecydować się na zapłatę niezależnie od tego, czy jej ubezpieczenie obejmuje płatność za ransomware, ponieważ wpływ ataku na jej działalność jest tak duży, że nie może sobie pozwolić na brak zapłaty. Firma ma nadzieję, że później odzyska pieniądze lub ich część od ubezpieczyciela.

W procesie decyzyjnym zazwyczaj uczestniczą radca prawny, dyrektor ds. informatyki i dyrektor operacyjny. Radca prawny rozważa decyzję na podstawie legalności i ryzyka. CIO i jego zespół są odpowiedzialni za procesy tworzenia kopii zapasowych oraz plany ciągłości biznesowej i odzyskiwania danych po awarii. Dyrektor operacyjny podejmuje decyzję na podstawie tego, w jaki sposób dane, których dotyczy problem, wpływają na działalność operacyjną. Na przykład dyrektor ds. informatyki może stwierdzić, że kopie zapasowe istnieją, ale liczba dotkniętych systemów jest tak duża, że ich przywrócenie zajmie bardzo dużo czasu, a dyrektor operacyjny może zdecydować, że operacje biznesowe nie przetrwają długiego przestoju. Ostatecznie jest to decyzja biznesowa, więc dyrektor generalny często również bierze w niej udział, a w wielu przypadkach musi wydać ostateczną zgodę na zapłacenie okupu - twierdzą prawnicy z Orrick. Przed zatwierdzeniem płatności za ransomware, ubezpieczyciele będą zadawać różne pytania, takie jak status kopii zapasowych, czy zostały zniszczone podczas ataku, czy istnieją kopie zapasowe poza firmą, jak wiele systemów zostało dotkniętych lub jak długo potrwa ich przywrócenie. Prawdopodobnie zbadają również podmiot stwarzający zagrożenie, aby ustalić, czy znajduje się on na liście sankcji Departamentu Skarbu, a jeśli tak, mogą odmówić zapłaty, ponieważ mają wyjątki od tej zasady w swojej polityce.

W październiku Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu (OFAC) wydało poradnik, w którym przypomina organizacjom, że grożą im kary cywilne, jeśli naruszą sankcje podczas dokonywania płatności za oprogramowanie ransomware. Jeśli jednak ubezpieczyciel odmówi pokrycia płatności związanych z oprogramowaniem ransomware, możliwe jest, że organizacja zdecyduje się na dokonanie płatności, aby ratować firmę, ale kolejną przeszkodą będzie decyzja pośrednika płatności.

Płatności Ransomware są dokonywane w kryptowalutach, a firmy zazwyczaj nie mają portfeli kryptowalutowych i milionów dolarów w kryptowalutach na podorędziu. Muszą polegać na stronie trzeciej, która posiada infrastrukturę umożliwiającą dokonywanie takich płatności. W świetle zaleceń OFAC, te strony trzecie mogą również odmówić dokonania płatności, jeśli dana grupa zagrożeń znajduje się na liście sankcji. Często firmy, które specjalizują się w negocjacjach dotyczących ransomware, są również pośrednikami w dokonywaniu płatności w imieniu ofiary.

Jak przebiegają negocjacje w sprawie ransomware?

Według GroupSense’s Minder, zanim atakujący zostaną skontaktowani przy użyciu podanej przez nich metody komunikacji - zwykle zaszyfrowanej poczty elektronicznej - ważne jest, aby zespół IR upewnił się, że atak został odizolowany, a atakujący zostali wyrzuceni z sieci. „Wyobraźmy sobie, że prowadzę negocjacje z podmiotem stanowiącym zagrożenie, a ten podmiot nadal ma dostęp do sieci. To spora przewaga nad nami” - mówi Minder. „Dlatego jedną z rzeczy, które staramy się robić od razu, jest ścisła współpraca z zespołem IR, aby ustalić, czy zostali oni odcięci od sieci i nie mogą się do niej dostać z powrotem”. Drugą częścią, jest uzyskanie wszystkich informacji na temat ataku, które zostały zebrane przez zespół IR, w tym jakie dane zostały skompromitowane, a także określenie aktora zagrożenia i jego istniejącego profilu oraz dotychczasowego „podręcznika” (playbook). Wiedza o tym, jakich okupów żądali w przeszłości, ustalenie ich dojrzałości, jak wiele innych organizacji mogą mieć w danym momencie na haczyku, to cenne informacje, które mogą podyktować sposób podejścia do negocjacji. Jeśli naruszyli oni 30 lub 40 firm, może to zmienić ich zachowanie i mogą być mniej cierpliwi w negocjacjach, ponieważ mają wiele innych opcji, mówi Minder. Wiele grup hakerów dostosowuje swoje żądania okupu w zależności od profilu ofiary, zazwyczaj żądając pewnego procentu szacowanego rocznego przychodu organizacji, jeśli jest to firma. Jednak to może być rażąco zawyżone, jeśli uzyskane z niewiarygodnych źródeł lub bez więcej szczegółów na temat struktury biznesowej. Na przykład, firma macierzysta ofiary może być międzynarodowym konglomeratem wartym wiele miliardów dolarów, ale rzeczywista ofiara może być małym przedsiębiorstwem działającym w danym kraju. Na poziomie rządowym, istnieją znaczące różnice pomiędzy zasobami finansowymi agencji federalnych i małych gmin, które mogą nie być bezpośrednio widoczne dla atakujących. Według Mindera, negocjatorzy mogą podjąć dyskusję z napastnikami, aby poinformować ich o rzeczywistej sytuacji finansowej ofiary, ale lepiej jest po prostu obiektywnie potraktować to jak każdą transakcję biznesową i nie polegać na emocjach, do czego ofiara może być skłonna, jeśli będzie próbowała negocjować na własną rękę. Cała komunikacja z napastnikami jest dostępna dla organizacji poszkodowanej poprzez bezpieczny portal w czasie rzeczywistym. W niektórych przypadkach ofiara może przywrócić niektóre systemy z kopii zapasowych, co może być wykorzystane jako dźwignia w negocjacjach, ponieważ ofiara nie będzie skłonna zapłacić pełnego okupu tylko po to, aby móc odszyfrować dane na kilku pozostałych systemach. Jest to kolejny powód, dla którego posiadanie możliwości wykrywania ataków tak szybko, jak to możliwe, oraz posiadanie planu reagowania kryzysowego w celu ograniczenia szkód jest bardzo ważne. „Ważną rzeczą, którą należy rozważyć na wcześniejszych etapach, kiedy identyfikujemy trwający atak lub widzimy, że ransomware jest wdrażane w całym środowisku, jest powstrzymanie i odizolowanie go tak szybko, jak to możliwe” - powiedział CSO Tim Bandos, CISO z firmy Digital Guardian, zajmującej się ochroną danych. „Sprowadza się to do określenia zakresu incydentu, przejrzenia logów i zidentyfikowania, gdzie to wszystko się podziało i gdzie możemy to skutecznie odciąć. Mieliśmy przypadek, w którym udało nam się to powstrzymać. Przeniósł się na 10 lub 15 serwerów we flocie liczącej około 3000”. W takich przypadkach ofiara może nawet nie być zmuszona do zapłacenia okupu, ponieważ przywrócenie 10 lub 15 serwerów z kopii zapasowych nie zajmie dużo czasu, gdzie w przypadku tysięcy systemów zapłacenie okupu i odszyfrowanie danych może być szybsze.

Nawet jeśli istnieją kopie zapasowe, mogą wystąpić trudności z przywróceniem dotkniętego systemu, ponieważ aplikacje i ich stosy oprogramowania są przestarzałe. Bandos spotkał się z taką sytuacją w przypadku klienta z sektora produkcyjnego, który posiadał kopie zapasowe danych, ale miał również serwer z wewnętrzną aplikacją wykonaną dla niego na przestarzałej wersji serwera Windows, więc system ten musiałby zostać całkowicie przebudowany. Przestój tego serwera kosztował firmę 10 000 USD za godzinę, więc zapłacono okup.

Ważne jest również testowanie procesu przywracania kopii zapasowych i tworzenie obrazów systemu z całym oprogramowaniem potrzebnym do prawidłowego funkcjonowania systemu. Bardzo cenne jest również posiadanie możliwości detekcji i oprogramowania na punktach końcowych, które może wykryć i zablokować procedury szyfrowania plików i szybko odizolować systemy od sieci.

Zarówno Minder, jak i Schenkel z Flashpointa powiedzieli, że grupy ransomware są zazwyczaj skłonne do negocjacji i w większości przypadków okup, który ostatecznie jest płacony przez ofiary, stanowi niewielki procent pierwotnej kwoty, o którą proszą. Dzieje się tak dlatego, że osoby atakujące działają również pod presją czasu. Im dłużej trwa dyskusja, tym więcej czasu ma zespół IR ofiary na przywrócenie systemów do działania. Co więcej, według Schenkela, dane pokazują, że tylko 25% do 30% okupów jest płaconych i napastnicy są tego świadomi. „Choć mówimy, jak źli są aktorzy zagrożeń, to wciąż są to tylko ludzie próbujący coś sprzedać, więc będą mieli cenę wywoławczą” - wyjaśnia Schenkel. „Czasami jest to 10% przychodów, czasami nawet 20% przychodów, ale jest to punkt wyjścia. Zawsze są otwarci na negocjacje i bycie 'rozsądnym', jeśli to w ogóle jest właściwe słowo, bo w tej sytuacji nie ma nic rozsądnego”.

Zanim jednak dojdzie do jakiejkolwiek transakcji, podmiot stanowiący zagrożenie musi udowodnić swoją zdolność do odszyfrowywania plików. Zazwyczaj odbywa się to na próbnym zestawie danych, ale nie oznacza to, że nie ma żadnego ryzyka. W niektórych przypadkach deszyfrator dostarczony przez atakujących może posiadać błędy lub nie działać na niektórych systemach lub woluminach, albo niektóre dane mogą być uszkodzone. Niektóre firmy specjalizują się w odwzorowywaniu takich deszyfrów i reimplementowaniu ich w bardziej efektywne narzędzie, które wykorzystuje tylko klucz deszyfrujący dostarczony przez atakujących. Mogą się również zdarzyć sytuacje, w których atakujący używają różnych kluczy w różnych systemach w sieci, dlatego ważne jest, aby mieć ten komponent kryminalistyki i wywiadu zagrożeń, aby zrozumieć atakującego i jego modus operandi przed zbliżeniem się do niego.

Po dokonaniu płatności za pośrednictwem infrastruktury dostarczonej przez negocjatora lub uzgodnionej z nim, pełny zapis komunikacji, informacje zebrane na temat podmiotu stanowiącego zagrożenie oraz informacje o transakcji są przekazywane klientowi w celu zachowania dokumentacji i ze względów prawnych.

Groźby wycieku danych komplikują negocjacje i odzyskiwanie danych

Kiedy mamy do czynienia z kradzieżą danych w ramach tego samego ataku, w którym napastnicy grożą również wyciekiem danych, sprawy są nieco bardziej skomplikowane, ponieważ nie ma sposobu, aby zagwarantować, że napastnicy zniszczyli skradzione dane. Firma bezpieczeństwa Coveware, która specjalizuje się również w reagowaniu na ransomware i negocjacjach, poinformowała w zeszłym roku, że widziała wiele przypadków, w których ofiary, które już zapłaciły okup, były później wymuszane przy użyciu tego samego zestawu danych lub gdy dane i tak wyciekły do sieci.

Ponieważ coraz więcej grup ransomware stosuje tę technikę, incydenty ransomware będą musiały być traktowane jako naruszenia danych i przechodzić przez wszystkie procesy, które są wymagane w takich przypadkach. Ofiary mogą również rozważyć opłacenie firmy zajmującej się badaniem zagrożeń, aby monitorować podziemne fora i rynki skradzionych danych, aby wyprzedzić to, gdzie mogą one trafić i jak mogą zostać wykorzystane do podjęcia dodatkowych działań zapobiegawczych.

Niektóre gangi ransomware posunęły się jeszcze dalej, stosując taktykę potrójnego wymuszania okupu. Grief, grupa ransomware znana wcześniej z ransomware DoppelPaymer, ostrzegła ofiary, że jeśli skontaktują się z organami ścigania lub zaangażują profesjonalnych negocjatorów ransomware lub ekspertów ds. odzyskiwania danych, zniszczą klucz deszyfrujący.

Grief ransomware jest powiązany z Evil Corp, grupą, która została umieszczona na liście sankcji przez Departament Skarbu USA. W przypadku kontaktu z organami ścigania lub negocjatorami ransomware, istnieje bardzo duża szansa, że ofiara dowie się, z kim ma do czynienia i będzie znacznie mniej skłonna do zapłacenia okupu, ponieważ może narazić się na kary cywilne, a jej ubezpieczyciel może nie pokryć kosztów. Evil Corp ma wyraźne powody, aby zniechęcać ofiary do kontaktowania się z osobami trzecimi, ale nie jest to jedyna grupa ransomware, która ostatnio przyjęła taką postawę. Inne grupy są zdenerwowane, ponieważ logi negocjacji okupu niekiedy wyciekają i pojawiają się w artykułach medialnych lub na Twitterze. „Fakt, że aktorzy zagrożeń nie chcą, aby ich ofiary kontaktowały się z organami ścigania, jest bardzo silną wskazówką, że powinni” - powiedział CSO Brett Callow, analityk zagrożeń w Emsisoft. „Organy ścigania mogą zapewnić ofiarom cenną pomoc, a w niektórych przypadkach nawet pomóc im odzyskać dane bez konieczności płacenia okupu”.

Zaktualizowane doradztwo OFAC z września kładzie jeszcze większy nacisk na kontakt z organami ścigania, przedstawiając go jako jeden z podstawowych czynników łagodzących przy rozważaniu reakcji egzekwowania prawa za złamanie sankcji.

Ocena post factum pozwala na wyciągnięcie wniosków

Każdy incydent powinien być również poddany ocenie pośmiertnej w gronie różnych zaangażowanych stron - zespołu prawnego, zespołów IR i IT, specjalisty ds. negocjacji ransomware - gdzie wszystkie informacje zostaną przejrzane. Wnioski wyciągnięte z tego procesu powinny zostać przekształcone w projekt mający na celu poprawę zdolności organizacji do blokowania lub spowalniania takich ataków w przyszłości.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200