Global trussel

Sådan fungerer ransomware-forhandlinger

Her er, hvad erfarne forhandlere siger, at din organisation skal forvente, hvis den nogensinde står overfor et ransomware-krav.

Ransomware har været en af de mest ødelæggende malware-trusler, som organisationer har stået over for i løbet af de seneste år, og der er ingen tegn på, at hackerne umiddelbart vil stoppe. Det er alt for rentabelt for dem. Kravet om løsepenge er vokset fra titusinder af dollars til millioner og endda millioner fordi hackerne har lært at mange organisationer er villige til at betale.

Mange faktorer og parter er involveret i ransomware betalingsbeslutninger, fra CIO’er og andre ledere til eksterne rådgivere og forsikringsselskaber, men det stigende behov for at foretage sådanne betalinger har skabt et marked for konsulenter og virksomheder, der specialiserer sig i ransomware forhandling og lette cryptocurrency betalinger.

Hvad sker der, når ransomware rammer?

I en ideel verden bør et ransomware angreb udløse en indøvet handlingsplan, men desværre er mange organisationer overrumplet. Mens store virksomheder kan have et team til og en planlægning for håndtering af cyberangreb, samt procedure for håndtering af forskellige aspekter, der er specifikke for et ransomware angreb, herunder truslen om et datalæk. Til gengæld er ekstern kommunikation med kunder og lovgivere, og træffe beslutningen om at forhandle med hackere typisk mangler.

“Selv i store børsnoterede virksomheder, der har IR planer, de normalt ikke dækker detaljer relateret til ransomware,” siger Kurtis Minder, administrerende direktør for trusler og ransomware forhandling firma GroupSense. “Når vi kommer til processen med dekryptering forhandling, for at gøre, at erhvervslivet beslutning, der skal inddrages, en masse af det er ikke dokumenteret. Der er heller ingen besked eller PR-plan. Intet af det eksisterer for de fleste virksomheder, som vi bliver sat i forbindelse med, hvilket er uheldigt.”

Selv for virksomheder, der har praktiseret deres responsplaner og har procedurer på plads, er der stadig en slags blind panik, når ransomware hits, ifølge Ian Schenkel, Vice President for EMEA på Flashpoint, en anden sikerhedsleverandør, der også tilbyder ransomware respons-tjenester. “Vi er ikke bare beskæftiger sig med et stykke ransomware kryptere filer og kryptere et helt netværk. Hvad vi ser, er den anden faktor, hvor de rent faktisk forsøger at afpresse flere penge ud af virksomheden ved at sige: “Hvis ikke løsesummen betales, lækker vi alle de oplysninger, vi har om jeres organisation.”

Med andre ord, da flere ransomware grupper laver denne dobbelt afpresning teknik ved at kombinere filkryptering med datatyveri, en ransomware angreb, der i sidste ende er et brud på datasikkerheden, der er underlagt forskellige lovgivningsmæssige forpligtelser afhængigt af hvor i verden du er, og hvilken type data blev kompromitteret. Tidligere behøvede virksomheder ikke at offentliggøre ransomware angreb, men de kan i stigende grad blive tvunget til på grund af denne love om dataovertrædelse.

To kritiske og tidsfølsomme handlinger skal gøres, når et ransomware-angreb rammer:

  • 1. Identificer, hvordan angribere kom ind, luk hullet og spark dem ud af netværket
  • 2. Forsøg at bestemme ransomware og knyt det til en hackerorganisation, og etablere deres troværdighed, især hvis de også fremsætter datatyveri-krav.

Den første handling kræver svar og kommunikation, enten interne eller eksterne, mens den anden kan kræve et selskab, der har specialiseret sig i cybertrusler.

Nogle store virksomheder har den slags partnere tilknyttet, men mange organisationer ikke og vil stå på usikker grund, når de står over for en ransomware angreb og ender med at miste kostbar tid.

Hvem bestemmer, om løsesummen bliver betalt?

Drøftelser med forsikringsselskabet bør åbnes tidligt, fordi de kan have væsentlige input om udvælgelsen af partner for respons og andre parter, der skal hjælpe i håndtering af hændelsen.

Men når det kommer til at beslutte, om man skal betale løsesum eller ej, er erfaringerne fra Orrick advokater, at virksomheder træffer beslutningen på egen hånd og derefter kontakter deres forsikringsselskab for at se, om de godkender det. I nogle tilfælde, kan det berørte selskab beslutte at betale, uanset om deres forsikring dækker en ransomware-betaling, fordi angrebets indvirkning på virksomheden er så slemt, at der ikke er ”råd” til ikke at betale. De håber senere at inddrive pengene eller en del af det fra forsikringsselskabet.

Beslutningsprocessen involverer normalt den generelle rådgiver, CIO’en og COO’en. CIO’en er ansvarlige for backupprocesserne og planerne for forretningskontinuitet. COO træffer beslutningen baseret på, hvordan de berørte data påvirker driften. For eksempel kan CIO’en bestemme, at der findes sikkerhedskopier, men antallet af påvirkede systemer er så stort, at det vil tage meget lang tid at gendanne dem, og COO kan beslutte, at forretningsaktiviteterne ikke kan overleve med en lang nedetid. I sidste ende er det en forretningsbeslutning, så den administrerende direktør vil ofte veje ind så godt, eller i mange tilfælde er nødt til at give den endelige godkendelse til at betale løsesummen, ifølge Orrick advokater.

Før godkendelse af en ransomware betaling, forsikringsselskaber vil stille forskellige spørgsmål som status for sikkerhedskopier, om de blev ødelagt under angrebet, om offsite sikkerhedskopier eksisterer, hvor mange systemer blev påvirket, eller hvor lang tid det vil tage at gendanne dem.

Hvis forsikringsselskabet afviser dækning for en ransomware betaling, er det muligt, at organisationen stadig kan beslutte at gå videre med det for at redde virksomheden, men den næste forhindring, de vil stå over for, er hvordan betalingen skal gennemføres.

Ransomware betalinger foretages i cryptocurrencies, og virksomheder har typisk ikke krypto tegnebøger og millioner af dollars i cryptocurrencies om rundt. De skal stole på en tredjepart med infrastrukturen til at foretage sådanne betalinger.

Hvordan fungerer en ransomware-forhandling?

Ifølge GroupSense’s Minder, før hackerne bliver kontaktet ved den anviste kommunikationsmetode, er det vigtigt at sikre at angrebet er blevet isoleret, og hackerne er blevet sparket ud af netværket.

“Tænk, hvis jeg forhandler med en hacker og hackeren stadig har adgang til netværket. Det har en stor indflydelse mod os,” siger Minder. “Så en af de ting, vi forsøger at gøre lige fra start, er konstatering om hvorvidt hackerne er blevet lukket ude og ikke kan komme tilbage.”

Den anden del, ifølge Minder, er at få alle de oplysninger om angrebet, der blev indsamlet, herunder hvilke data er blevet kompromitteret, og bestemme truslen fra hackerne og deres eksisterende profil og tidligere drejebog. At vide, hvilke løsepenge de har bedt om tidligere, at fastslå deres modenhed, hvor mange andre organisationer de sandsynligvis har på krogen på et givet tidspunkt, er alle værdifulde oplysninger, der kan diktere, hvordan man nærmer sig forhandlingerne.

Hvis de har kompromitteret 30 eller 40 virksomheder, der kan ændre deres adfærd, og de kan være mindre tålmodige, når de forhandler, fordi de har mange andre muligheder, siger Minder.

Mange hackergrupper tilpasse deres løsesum krav afhængigt af ofrets profil, normalt går til en vis procentdel af organisationens anslåede årlige indtægter, hvis det er et selskab. Det kan dog groft overvurderes, hvis det opnås fra upålidelige kilder eller uden flere detaljer om forretningsstrukturen. For eksempel kunne ofrets moderselskab være et internationalt konglomerat til flere milliarder dollars, men det faktiske offer kunne være en lille virksomhed i et bestemt land. På regeringsniveau er der betydelige forskelle mellem de finansielle ressourcer i føderale agenturer og små kommuner, der måske ikke er direkte synlige for angriberne.

Ifølge Minder, forhandlerne kan have en diskussion med angriberne til at uddanne dem om de faktiske økonomiske forhold for offeret, men det er bedre at bare objektivt behandle det som enhver forretningstransaktion og ikke stole på følelser, hvilket er, hvad et offer kan være tilbøjelige til at gøre, hvis de forsøger at forhandle på egen hånd.

Når det er sagt, al den kommunikation, der sker med angriberne er tilgængelige for offeret organisation gennem en sikker portal i realtid, og de kan veje ind og komme med kommentarer eller forslag.

I nogle tilfælde offeret kan gendanne nogle af deres systemer fra sikkerhedskopier, og det kan bruges som løftestang i forhandlingerne, fordi offeret ikke vil være villig til at betale den fulde løsesum bare for at være i stand til at dekryptere data på et par resterende systemer. Dette er en anden grund til, at det er meget vigtigt at have kapacitet til at opdage angreb så hurtigt som muligt og have en IR-plan til at reagere og begrænse skaden.

“En ting, der skal overvejes i de tidligere faser, er identificering af et igangværende angreb eller se ransomware bliver indsat på tværs af miljøet, og isolere det så hurtigt som muligt,” Tim Bandos, CISO af databeskyttelse selskab Digital Guardian, fortæller CSO. “Det kommer ned til at afsøge hændelsen og gennemgå logfilerne og identificere, hvor denne ting er gået, og hvor vi effektivt kan afskære det. Vi har haft det tilfælde, hvor vi var i stand til at stoppe det. Det flyttede til 10 eller 15 servere i en flåde på omkring 3.000.” I tilfælde som det, offeret måske ikke engang nødt til at betale løsesummen, fordi genoprette 10 eller 15 servere fra sikkerhedskopier vil ikke tage en masse tid, hvor i tilfælde af tusindvis af systemer, betale løsesummen og dekryptere data kan være hurtigere.

Selvom der findes sikkerhedskopier, kan der være problemer med at gendanne et berørt system, fordi applikationerne og deres softwarestakke er forældede. Bandos stødte på denne situation med en kunde i fremstillingssektoren, der havde datasikkerhedskopier, men havde også en server, der kørte et internt program til dem på en forældet Windows-serverversion, så systemet skulle have været fuldstændig genopbygget. Nedetid af denne server kostede virksomheden $ 10.000 i timen, så de betalte løsesummen.

Det er vigtigt også at teste gendannelsesprocessen for sikkerhedskopier og oprette systembilleder med al den software, et system skal fungere korrekt. Det er også meget værdifuldt at have registreringsfunktioner og slutpunktssoftware, der hurtigt kan registrere og blokere filkrypteringsrutiner og isolere systemer fra netværket.

Både Minder og Flashpoint’s Schenkel sagde, at ransomware grupper er generelt villige til at forhandle, og i de fleste tilfælde de løsepenge, der ender med at blive betalt af ofrene er en lille procentdel af det oprindelige beløb, som de spørger. Det skyldes, at angriberne også er under tidspres. Jo længere diskussionen trækker ud, jo mere tid har ofret til at gendanne systemer. Oven i det, ifølge Schenkel, data viser, at kun mellem 25% og 30% af løsepenge bliver betalt, og angriberne er klar over dette.

“Så meget som vi siger, hvor dårlig trussel aktører er, de er stadig bare folk, der forsøger at sælge noget, så de vil have en startpris,” Schenkel siger. “Nogle gange er det 10% af omsætningen, nogle gange så højt som 20% af omsætningen, men det er et udgangspunkt. De er altid åbne for forhandling og være ‘rimelige’, hvis det overhovedet er det rigtige ord, fordi der slet ikke er noget rimeligt i den situation.”

Men, før en transaktion finder sted, truslen skuespiller skal bevise deres evne til at dekryptere filer. Det sker normalt på et eksempelsæt af data, men det betyder ikke, at der ikke er nogen risiko. I nogle tilfælde decryptor leveres af angriberne kan have fejl eller kan undlade at arbejde på visse systemer eller diskenheder eller nogle data kan være beskadiget. Nogle virksomheder specialiserer sig i reverse engineering sådanne decryptors og reimplementere dem i et mere effektivt værktøj, der kun bruger dekrypteringsnøglen fra angriberne.

Der kan også være situationer, hvor angribere bruger forskellige nøgler på tværs af forskellige systemer på netværket, hvorfor det er vigtigt at have, at forensics og trussel intelligens komponent til at forstå angriberen og deres modus operandi før nærmer sig dem.

Når betalingen er foretaget gennem den infrastruktur, der leveres af eller aftalt med forhandleren, den fulde registrering af meddelelsen, oplysninger indsamlet om truslen aktør, og oplysninger om transaktionen er givet til kunden for registrering og juridiske årsager.

Trusler om lækage af data komplicerer forhandlinger

Når man beskæftiger sig med et tyveri af data som en del af det samme angreb, hvor angriberne også truer med at lække data, bliver det en smule mere kompliceret, fordi der ikke er nogen måde at garantere, at angriberne har ødelagt de stjålne data. Sikkerhedsfirma Coveware, som også har specialiseret sig i ransomware-respons og -forhandling rapporterede sidste år, at de har set mange tilfælde, hvor ofre der allerede har betalt løsepenge blev afpresset med det samme datasæt senere, eller hvor dataene blev lækket online alligevel.

Efterhånden må ransomware-hændelser nødvendigvis blive behandlet som brud på datasikkerheden og gå gennem alle de processer, der kræves i sådanne tilfælde. Ofre kan også nødt til at overveje at betale andre til at overvåge underjordiske fora og markedspladser for deres stjålne data for at være på forkant med, hvor det kan ende, og hvordan det kan bruges til at træffe yderligere forebyggende foranstaltninger.

Nogle ransomware-bander har taget yderligere midler i brug og anvender en tredobbelt afpresning taktik. En ransomwaregruppe tidligere kendt for DoppelPaymer-ransomware, har advaret ofrene om, at hvis de kontakter retshåndhævelse eller engagere professionelle ransomware forhandlere eller data recovery eksperter, vil de ødelægge dekrypteringsnøglen.

Hvis retshåndhævelse eller ransomware forhandlere kontaktes, er der en stor chance for offeret vil lære, hvem de har at gøre med, og de vil være langt mindre tilbøjelige til at betale løsesummen, fordi de kunne stå over for civile sanktioner og deres forsikringsselskab kan ikke dække betalingen. Evil Corp har f.eks. klare incitamenter til at afskrække deres ofre fra at kontakte tredjeparter, men det er ikke den eneste ransomwaregruppe, der for nylig har brug den tilgang. Andre grupper har hævnet fordi løsesumsforhandling undertiden er lækket og dukke op i medierne artikler eller på Twitter.

“Det faktum, at hackere ikke ønsker, at deres ofre til at kontakte retshåndhævelse er en meget stærk indikation af, at de bør,” fortæller Brett Callow, en analytiker hos Emsisoft. “Retshåndhævende myndigheder kan give ofrene værdifuld bistand og i nogle tilfælde endda hjælpe dem med at gendanne deres data uden at skulle betale løsesummen.”

Post mortems identificerer erfaringer

Hver hændelse vil også have en post mortem gennemgang blandt de forskellige parter, der er involveret i ransomwareforhandlinger og hvor alle oplysninger vil blive gennemgået. Erfaringerne fra denne proces bør gøres til et projekt for at forbedre organisationens muligheder for at blokere eller bremse sådanne angreb i fremtiden.

Kilde: CSOonline