Jak se vyjednává o výkupném?

1. 8. 2021

Sdílet

 Autor: Depositphotos
Popis od zkušených aktérů – co byste měli čekat v případě nutnosti zaplatit výkupné v případě napadení ransomwarem?

Ransomware jejednou z nejničivějších malwarových hrozeb, kterým organizace posledních párlet čelí, a nevypadá to, že by to mělo brzy skončit. Je totiž pro útočníkypříliš ziskový.

Požadavkyvýkupného vzrostly z desítek tisíc dolarů na miliony, a dokonce i desítkymilionů, protože se útočníci dozvěděli, že mnoho organizací je ochotnýchzaplatit.

Při rozhodování oplacení je nutné zohlednit mnoho faktorů a stran, počínaje ředitelem IT adalšími manažery až po externí právníky a pojišťovny, ale rostoucí potřeba  takových plateb vytvořila trh pro konzultantya společnosti, které se specializují na vyjednávání o ransomwaru a na usnadněníplateb v kryptoměnách.

Když ransomware udeří

V ideálním světěby měl útok ransomwaru spustit dobře vyzkoušený plán obnovy po havárii, alebohužel na to je spousta organizací nepřipravených.

Přestože velképodniky mohou mít tým a plán reakce na incidenty (IR, Incident Response) a plánpro řešení kyberútoků, obvykle chybějí postupy pro řešení různých aspektůspecifických pro útok ransomwaru – včetně hrozby úniku dat, externí komunikacese zákazníky a regulačními orgány a rozhodování o vyjednávání s útočníky.

Ale i ve firmách,které trénovaly své IR plány a mají připravené postupy, stále trochu nastáváslepá panika, když ransomware udeří, popisuje Ian Schenkel, viceprezident prooblast EMEA ve společnosti Flashpoint, která nabízí služby pro reakci naransomware.

Nejste vystaveníjen ransomwarovému softwaru, který šifruje soubory a celou síť. V poslední doběje znatelná další forma nátlaku pro získání více peněz hrozbami: ‚Pokudnezaplatíte výkupné, zveřejníme všechny informace, které z vaší organizacemáme.‘“

Jinými slovy,protože více ransomwarových skupin začíná využívat tuto dvojnásobnou metoduvydírání, kdy dochází ke kombinaci zašifrování a krádeže dat, není už útokransomwaru jen odepřením služby, ale stává se také únikem dat, což podléhárůzným regulačním povinnostem v závislosti na vaší lokalitě a typukompromitovaných dat.

Zatímco vminulosti nemusely soukromé společnosti zveřejňovat informace o útocíchransomwaru, mohou k tomu být stále více nucené z důvodu úniku dat.

Když udeříransomware, je potřeba udělat dvě důležité a velmi urgentní věci:

  1. Zjistit, jak se útočníci dostali dovnitř, uzavřít díru a dostat je ze sítě pryč.
  2. Pochopit, čemu čelíte, což znamená zjistit variantu ransomwaru, spojit si ji s útočníky a stanovit jejich důvěryhodnost, zejména pokud také argumentují krádeží dat.

První částvyžaduje tým pro reakce na incidenty, buď interní, nebo externí, zatímco druháčást může vyžadovat společnost, která se specializuje na threat intelligence.

Některé velkéspolečnosti mají takové firmy v záloze, ale mnoho organizací nikoli a často secítí při útoku ransomwaru ztracené, takže tím nakonec přicházejí o drahocennýčas. V těchto případech může být lepším přístupem požádat o pomoc konzultantase znalostmi z oblasti řízení reakcí na kybernetické útoky.

Podle právníků zmezinárodní advokátní kanceláře Orrick dojde v přibližně 75 % případůnejprve k zavolání externího konzultanta a k zahájení procesu reakce, dokterého patří:

  • Oznámení policii
  • Zapojení forenzních specialistů
  • Interní porada s vedením organizace
  • Realizace vyšetřování
  • Posouzení potřebnosti ohlášení stavu vnějšímu světu
  • Pomoc napadené organizaci spojit se se svou pojišťovnou, oznámit jí útok a pomoci se získáním schválení nákladů na konzultace, na forenzní vyšetřování, krizovou komunikaci a na cokoli dále potřebné včetně platby výkupného, pokud k takovému rozhodnutí dojde.

Zaplatit výkupné?

Když jde orozhodování, zda zaplatit výkupné, nebo ne, činí toto rozhodnutí společnostisamostatně a pak oslovují svou pojišťovnu se žádostí o schválení, popisují svouzkušenost právníci advokátní kanceláře Orrick.

V některýchpřípadech se může postižená společnost rozhodnout, že zaplatí bez ohledu na to,zda jejich pojištění platbu za ransomware pokrývá, protože je dopad útoku najejich podnikání tak ničivý, že si nemohou dovolit nezaplatit. Doufají, žepozději peníze nebo jejich část získají od své pojišťovny.

Rozhodovací procesobvykle zahrnuje generálního konzultanta, ředitele IT a provozního ředitele. Generálníkonzultant váží rozhodnutí na základě legálnosti a rizika. Šéf IT a jeho týmmají na starosti proces zálohování a nepřetržitost provozu či plány obnovy pohavárii, provozní ředitel pak rozhoduje podle vlivu dotčených dat na provoz.

Například ředitelIT může zjistit, že zálohy existují, ale počet zasažených systémů je tak velký,že by jejich obnova trvala velmi dlouho, takže provozní ředitel rozhodne, žeprovoz firmy tak dlouhý výpadek nepřežije.

Nakonec je tofiremní rozhodnutí, takže také výkonný ředitel situaci posoudí. V mnohapřípadech je to on, kdo musí udělit rozhodující souhlas se zaplacenímvýkupného, popisují právníci z kanceláře Orrick.

Před schválenímplatby za ransomware se pojišťovny obvykle ptají na různé věci – na stavzálohování, zda došlo při útoku k jejich zničení, zda existuje back-up v jinélokalitě, kolik systémů bylo zasažených a jak dlouho zabere jejich obnova.

Pokud pojišťovnaodmítne pokrýt platbu výkupného, je možné, že se i tak organizace rozhodne hozaplatit, aby zachránila své fungování, ale další překážkou pro ni může býtrozhodnutí zprostředkovatele plateb.

Platby zaransomware probíhají v kryptoměnách a společnosti obvykle nemají k dispozicikryptopeněženky a miliony dolarů v těchto měnách. Při takových platbách semusejí spoléhat na třetí osobu s potřebnou infrastrukturou.

Jak vyjednávání funguje

Podle Mindera zGroupSense je pro IR tým důležité, aby došlo k izolaci útoku a útočníci užneměli přístup k síti, a to dříve, než dojde ke kontaktu s útočníky pomocíjimi poskytnuté metody komunikace (což obvykle bývá nějaká služba se šifrováníme-mailů).

„Představtesi, že vyjednávám s útočníkem a on má stále přístup do sítě. To je pro nějhodně velká výhoda,“ vysvětluje Minder. „Takže jedna z věcí, které se snažímeudělat ihned, je těsná spolupráce s IR týmem, aby bylo jasné, jestli už jsouútočníci pryč a zda už nehrozí jejich návrat.“

Ve druhé části jepodle Mindera potřebné získat všechny informace o útoku, které shromáždil IRtým, a to včetně zkompromitovaných dat, informací o útočnících, jejich profilua jejich chování v poslední s nimi spojené kauze.

Je dobré vědět,jak velká výkupná v minulosti požadovali, stanovit jejich zralost, kolikdalších organizací je pravděpodobně v jejich rukách – jsou to všechno cennéinformace ovlivňující vhodný způsob vyjednávání.

Pokudzkompromitovali třicet až čtyřicet společností, může to změnit jejich chování amohou být při vyjednávání méně trpěliví, protože mají další možnosti,upozorňuje Minder.

Mnoho skupin hackerůpřizpůsobí své požadavky výkupného podle profilu oběti, obvykle s využitímprocenta odhadovaného ročního příjmu, pokud jde o společnost. To však může býtvýrazně nadhodnoceno, pokud takové údaje získají z nespolehlivých zdrojů nebobez dalších podrobností o firemní struktuře.

Mateřskáspolečnost oběti například může být mezinárodním multimiliardovýmkonglomerátem, ale sama oběť může být jen malou obchodní jednotkou v určitézemi. Na vládní úrovni existují značné rozdíly mezi finančními prostředky státníchúřadů a těch z malých měst, což nemusí být útočníkům jasné.

Podle Minderamohou vyjednavači diskutovat s útočníky, aby je informovali o skutečnýchfinančních okolnostech oběti, ale je lepší, aby se s tím pracovalo objektivnějako s jakoukoli jinou obchodní transakcí a nespoléhalo se na emoce, což můžebýt tendence obětí, když se pokusí o vyjednávání samy.

To znamená, ževeškerá komunikace, která nastane s útočníky, je pro organizaci oběti dostupnápřes zabezpečený portál v reálném čase, takže lze konzultovat, posuzovat,komentovat a vyjadřovat názory.

V některýchpřípadech dokáže oběť obnovit některé své systémy ze záloh, což lze použít jakoargument při vyjednávání, protože oběť nebude chtít platit plné výkupné zadešifrování dat jen v několika zbývajících systémech.

To je další důvod,proč je velmi důležité mít schopnost co nejrychleji detekovat útok a mítpřipravený IR plán pro reakci a omezení škod.

„Nejdůležitějšíje v raných fázích při identifikaci útoku či šíření ransomwaruv prostředí  co nejrychleji jeizolovat a zastavit,“konstatuje Tim Bandos, ředitel zabezpečení informací ve společnosti DigitalGuardian, která se zaměřuje na ochranu dat.

„Jepotřeba zjistit rozsah incidentu, zkontrolovat protokoly a zmapovat možná místaúčinné blokace. Měli jsme tu výskyt, který jsme byli schopní zastavit. Zasáhloto deset nebo patnáct serverů z celkového počtu cca 3 000.“ 

V takovýchpřípadech nemusejí oběti ani zaplatit výkupné, protože obnovení deseti nebopatnácti serverů ze záloh nebude trvat dlouho, zatímco v případě tisíců systémůby mohlo být zaplacení výkupného a dešifrování dat možná rychlejším způsobem.

Je také důležitétestovat proces obnovy pro zálohy a vytvořit bitové kopie plně fungujícíhosystému. Schopnosti detekce v místě a software koncového bodu, který dokážedetekovat a blokovat rutiny šifrování souborů a rychle izolovat systémy zesítě, jsou také velmi cenné.

Minder i Schenkelse shodují, že ransomwarové skupiny jsou obecně ochotné vyjednávat a ve většiněpřípadů je výsledné výkupné placené obětí malým procentem původně požadovanéčástky.

Příčinou je, žetaké útočníci jsou pod časovým tlakem. Čím déle se diskuze vleče, tím více časumá IR tým oběti na obnovu zašifrovaných systémů. Kromě toho podle Schenkeladata ukazují, že výkupné bývá placené jen v přibližně 25 až 30 %případů, a to útočníci samozřejmě vědí.

Ať už o útočnícíchmluvíme jakkoli negativně, jsou to stále jen lidé pokoušející se něco prodat,takže budou mít výchozí cenu. Vždy jsou otevření k jednání a k ‚rozumnému‘chování, pokud se to vůbec dá říct, protože v takové situaci není vůbec nicrozumného.

Než však dojde kjakékoli transakci, musí útočník prokázat svou schopnost dešifrování souborů.To se obvykle dělá na vzorku dat, ale neznamená to, že neexistuje žádné riziko.

V některýchpřípadech může dešifrovací nástroj poskytnutý útočníky obsahovat chyby, nebonemusí na určitých systémech či svazcích fungovat, anebo mohou být nějaká datapoškozená.

Některéspolečnosti se specializují na reverzní inženýrství takových dekryptorů areimplementují je do efektivnějšího nástroje, který používá dešifrovací klíčposkytnutý útočníky.

Mohla by takénastat situace, kdy by útočníci použili různé klíče pro různé systémy v síti,což je důvod, proč je důležité mít k dispozici forenzní metody a threatintelligence pro pochopení útočníků a jejich způsobu práce.

Jakmile dojde kproplacení výkupného prostřednictvím infrastruktury poskytnuté neboodsouhlasené vyjednavačem, zákazníkovi se poskytne záznam celé komunikace,informace shromážděné o útočnících a informace o transakci, aby si vše mohluchovat pro referenci a pro případné právní potřeby.

Hrozby zveřejněním dat

Pokud je součástíransomwarového útoku také krádež dat, kdy útočníci vyhrožují i tím, že datazveřejní, je situace o poznání komplikovanější, protože neexistuje žádnýzpůsob, jak zaručit, že útočníci zničí všechna ukradená data.

Bezpečnostní firmaCoveware, která se také specializuje na reakce na ransomware a vyjednávání,ohlásila, že loni viděli mnoho případů, kdy oběti, které už zaplatily výkupné,byly později vydírané stejnými daty nebo že data stejně unikla na internet.

bitcoin školení listopad 24

Protože tutometodu začínají ransomwarové skupiny hojně používat, bude nutné zacházets ransomwarovými incidenty jako s únikem dat a používat všechny procesypožadované v takových případech.

Oběti mohou také uvážit využití služeb nějakéfirmy threat intelligence, která by monitorovala pozemní fóra a tržiště, zdaneobsahují ukradená data. Získaly by tak náskok a bylo by pro ně jasnější, kdea jak může dojít k jejich zneužití, což by se mohlo využít k dalšímpreventivním akcím.

Využíváte už některé z inovativních metod šifrování?