Evo šta iskusni pregovarači kažu da vaša organizacija treba da očekuje ako ikada treba da plati otkup koji se potražuje softverom za iznudu. Softver za iznudu otkupa je jedna od najrazornijih pretnji zlonamernim softverom sa kojom se organizacije suočavaju u poslednjih nekoliko godina, i nema znakova da će se napadači uskoro zaustaviti. To im je suviše isplativo. Zahtevi za otkupninu porasli su sa desetina hiljada dolara na milione, pa čak i na desetine miliona, jer su napadači utvrdili da su mnoge organizacije spremne da plate. U odlučivanje o plaćanju otkupa se uključuju mnogi faktori i učesnici, od direktora informacionih tehnologija i drugih rukovodilaca do spoljnih savetnika i osiguravajućih kuća, ali sve veća potreba za obavljanjem takvih plaćanja stvorila je tržište za konsultante i kompanije koje su se specijalizovale za pregovaranje o softveru za iznudu otkupa i omogućavanje plaćanja kripto valutama.
Šta se dešava kada vas napadne softver za iznudu otkupa?
U idealnom svetu, napad softverom za iznudu otkupa bi trebalo da pokrene dobro uvežbani plan oporavka od katastrofe, ali nažalost mnoge organizacije budu zatečene nespremne. Iako velika preduzeća možda imaju tim za reagovanje na incidente i plan za bavljenje kibernetičkim napadima, obično nedostaju procedure za rešavanje različitih aspekata specifičnih za napade softverom za iznudu otkupa – uključujući pretnju curenja podataka, spoljnu komunikaciju sa kupcima i regulatorima i donošenje odluke o pregovorima sa akterima pretnje.
„Čak i u velikim kompanijama sa akcijama na javnom tržištu i koje imaju IR planove (planove reagovanja na incidente), ti planovi obično ne pokrivaju detalje vezane sa softver za iznudu otkupa“, kaže za CSO Kurtis Minder, izvršni direktor kompanije za obaveštavanje i pregovaranje o pretnjama softverom za iznudu otkupa GroupSense. „Jednom kada stignemo do procesa pregovora o dešifrovanju (donošenju te poslovne odluke, ko treba da bude uključen) vidimo da puno toga nije dokumentovano. Ne postoji ni plan za razmenu poruka niti PR. U većini kompanija u koje nas pozovu ništa od toga ne postoji , što je žalosno “.
Čak i u kompanijama koje su isprobale IR planove i imaju uspostavljene procedure, i dalje nastaje slepa panika kada ih zadesi softver za iznudu otkupa, kaže Ian Šenkel, potpredsednik EMEA-e u kompaniji Flashpoint, drugom dobavljaču obaveštajnih podataka o pretnjama, koji takođe nudi usluge reagovanja na softver za iznudu otkupa. „Ne bavimo se samo delom softvera za iznudu otkupa koji šifrira fajlove i šifrira čitavu mrežu. Ono što vidimo u poslednje vreme je druga vrsta pretnje, gde zapravo pokušavaju da iznude više novca od vas govoreći: ‘Ako ne platite otkupninu, procuriće sve informacije koje imamo o vašoj organizaciji ‘. “
Drugim rečima, kako sve više grupa koje primenjuju softver za iznudu otkupa usvaja ovu tehniku dvostrukog iznuđivanja tako što kombinuju šifrovanje fajlova sa krađom podataka, napad softverom za iznudu otkupa koji u stvari predstavlja uskraćivanje usluge, takođe postaje i krađa podataka koja podleže raznim zakonskim obavezama u zavisnosti od toga gde se u svetu nalazite i koja vrsta podataka je ugrožena. Iako u prošlosti privatne kompanije nisu morale javno da otkrivaju napade softverom za iznudu otkupa, one bi mogle biti sve više prinuđene na to zbog ove komponente krađe podataka.
Kada se desi napad softverom za iznudu otkupa, moraju se izvršiti dve kritične i vremenski osetljive radnje:
1. Utvrdite kako su napadači ušli, zatvorite tu rupu i izbacite ih iz mreže
2. Shvatite sa čim imate posla, što znači utvrđivanje varijante softvera za iznudu otkupa, povezivanje sa akterom pretnje i utvrđivanje njihove verodostojnosti, posebno ako takođe prete krađom podataka.
Za prvu akciju potreban je tim za odgovor na incidente, bilo interni ili eksterni, dok bi za drugu mogla biti potrebna kompanija koja je specijalizovana za obaveštajne podatke o pretnjama.
Neke velike kompanije imaju ugovore sa takvom firmom, ali mnoge organizacije nemaju i često se nađu u čudu kad se suoče sa napadom softverom za iznudu otkupa i na kraju gube dragoceno vreme. U tim slučajevima bi bolji pristup mogao biti uključivanje spoljnog savetnika stručnog za reagovanje na kibernetičke napade. Prema advokatima međunarodne advokatske kancelarije Orrick koji su razgovarali sa CSO-om, u oko 75% slučajeva najpre se pozove spoljni advokat i započne postupak odgovora, koji uključuje:
- Obaveštavanje policije
- Angažovanje forenzičara
· Interno obaveštavanje rukovodstva organizacije
- Zaštita tajnosti istrage
· Procena koja bi obaveštenja za spoljni svet mogla biti potrebna
· Pomaganje organizaciji žrtve da stupi u kontakt sa svojim osiguranjem kako bi ih obavestili o napadu i dobili odobrenje za troškove, uključujući advokate, forenzičare, krizne komunikacije i sve ostalo što je potrebno, uključujući plaćanje otkupnine ako se donese takva odluka.
Ko odlučuje da li će se otkup platiti?
Diskusije sa pružaocem osiguranja trebalo bi započeti što pre, jer, u zavisnosti od toga šta stoji u polisi, oni mogu imati veći ili manji uticaj na izbor dobavljača IR usluga i drugih učesnika koji se angažuju da pomognu u incidentu. Pružaoci osiguranja obično imaju liste odobrenih dobavljača.
Međutim, kada je reč o odluci da li će platiti otkupninu ili ne, prema iskustvu advokata kompanije Orrick, kompanije donose tu odluku same, a zatim se obraćaju svom dobavljača osiguranja da bi je odobrile. U nekim slučajevima pogođena kompanija može se odlučiti za plaćanje bez obzira na to da li osiguranje pokriva isplatu za napad softverom za iznudu otkupa, jer je uticaj napada na njeno poslovanje toliki da ne može priuštiti da ne plati. Nadaju se da će novac ili deo novca kasnije povratiti od osiguranja.
Proces donošenja odluka obično uključuje opšteg savetnika, direktora informacionih tehnologija i operativnog direktora. Generalni savet odmerava odluku na osnovu zakonitosti i rizika. Direktor informacionih tehnologija i njihov tim zaduženi su za procese sa rezervnim kopijama i planove kontinuiteta poslovanja ili oporavka od katastrofe. Operativni direktor donosi odluku na osnovu toga kako pogođeni podaci utiču na rad kompanije. Na primer, direktor informacionih tehnologija može utvrditi da postoje rezervne kopije, ali je broj pogođenih sistema toliko velik da će njihovo obnavljanje trajati jako dugo, pa operativni direktor može zaključiti da poslovanje ne može da opstane sa tako dugim zastojem. Na kraju, to je poslovna odluka, pa će se često pitati i izvršni direktor, ili će on u mnogim slučajevima morati da da konačno odobrenje za plaćanje otkupnine, tvrde advokati Orrick-a.
Pre nego što odobre plaćanje za iznuđeni otkup, dobavljači osiguranja će postaviti različita pitanja poput statusa rezervnih kopija, da li su uništene tokom napada, postoje li rezervne kopije van lokacije, na koliko sistema je napad uticao ili koliko vremena treba da se oni obnove. Takođe će verovatno istražiti aktere pretnje kako bi utvrdili da li su na sankcionom spisku Ministarstva finansija i ako jesu, možda će odbiti isplatu jer za to imaju izuzetke u svojoj politici.
U oktobru je Kancelarija za kontrolu stranih sredstava Ministarstva finansija (OFAC) izdala savet podsetivši organizacije da im prete državne kazne ako krše sankcije kada plaćaju softver za iznudu otkupa. Međutim, ako dobavljač osiguranja odbije da pokrije plaćanje za napad softverom za iznudu otkupa, moguće je da će organizacija možda ipak odlučiti da to uradi kako bi spasila poslovanje, ali sledeća prepreka s kojom će se suočiti je odluka izvršioca plaćanja.
Plaćanja softverski iznuđenog otkupa se vrše u kripto valutama, a kompanije obično nemaju kripto novčanike i milione dolara u kripto valutama. Moraju se osloniti na posrednika koji ima infrastrukturu za takva plaćanja. Po mišljenju savetnika OFAC-a, ovi posrednici takođe mogu da odbiju isplatu ako je grupa koja preti na spisku sankcija. Često su kompanije koje su se specijalizovale za pregovaranje o softveru za iznudu otkupa takođe pomagači plaćanja u ime žrtve.
Kako funkcioniše pregovaranje o softveru za iznudu otkupa?
Prema upozorenju GroupSense-a, pre nego što se napadačima pristupi korišćenjem metoda komunikacije koji su obezbedili – obično neke usluge šifrovane e-pošte – za IR tim je važno da se uveri da je napad izolovan i da su napadači izbačeni iz mreže.
„Zamislite da pregovaram sa akterom pretnje i taj akter i dalje ima pristup mreži. To je velika prednost protiv nas“, kaže Minder. „Dakle, jedna od stvari koju pokušavamo odmah da uradimo je bliska saradnja sa IR timom kako bi se utvrdilo da li su napadači izbačeni i da ne mogu više da se vrate.“
Prema Minderu, drugi deo je prikupiti sve informacije o napadu koje je prikupio IR tim, uključujući podatke koji su ugroženi, i utvrditi aktera pretnje i njihov postojeći profil i prošlo ponašanje. Znanje o otkupninama koje su tražili u prošlosti, utvrđivanje njihove zrelosti, koliko će drugih organizacija verovatno imati na udaru u bilo kom trenutku, sve su to dragocene informacije koje mogu diktirati kako da se pristupi pregovorima.
Ako su kompromitovali 30 ili 40 kompanija, to može promeniti njihovo ponašanje i mogu biti manje strpljivi u pregovorima jer imaju mnogo drugih mogućnosti, kaže Minder.
Mnoge hakerske grupe podešavaju zahteve za otkupninu u zavisnosti od profila žrtve, obično za neki procenat procenjenog godišnjeg prihoda organizacije ako je reč o kompaniji. Međutim, to može grubo da se preceniti ako se uzima iz nepouzdanih izvora ili bez više detalja o poslovnoj strukturi. Na primer, matična kompanija žrtve može biti međunarodni konglomerat vredan više milijardi dolara, ali da stvarna žrtva bude mala kompanija u nekoj zemlji. Na državnom nivou postoje značajne razlike između finansijskih resursa saveznih agencija i malih opština koje napadačima možda neće biti direktno očigledne.
Prema Minderu, pregovarači mogu razgovarati sa napadačima kako bi ih obavestili o stvarnim finansijskim prilikama žrtve, ali bolje je to objektivno uzeti kao bilo koju poslovnu transakciju i ne oslanjati se na emocije, čemu bi žrtva mogla da bude sklona ako pokuša sama da pregovara.
Uprkos tome, sva komunikacija koja se dešava sa napadačima dostupna je organizaciji žrtve putem bezbednog portala u realnom vremenu, pa oni mogu da procenjuju i daju komentare ili sugestije.
U nekim slučajevima žrtva može da vrati neke od svojih sistema iz rezervnih kopija, a to se može koristiti kao argument u pregovorima, jer žrtva neće biti spremna da plati punu otkupninu samo da bi mogla da dešifruje podatke u nekoliko preostalih sistema. Ovo je još jedan razlog zašto je vrlo važno imati mogućnost otkrivanja napada što je pre moguće i imati IR plan za reagovanje i ograničavanje štete.
„Ogromna stvar koju treba razmotriti u ranijim fazama, dok identifikujete napad u toku ili primetite softver za iznudu otkupa koji se dešava u okruženju, je što brže obuzdavanje i izolovanje“, kaže za OCD Tim Bandos, direktor za bezbednost informacija kompanije za zaštitu podataka Digital Guardian. „To se svodi na utvrđivanje opsega incidenta i pregledanje evidencija i identifikovanje gde je ta stvar krenula i gde možemo efikasno da je presretnemo. Imali smo slučaj kada smo uspeli da je zaustavimo. Ubacila se na 10 ili 15 servera u skupu od oko 3.000 “. U takvim slučajevima žrtva možda neće ni morati da plati otkupninu, jer obnavljanje 10 ili 15 servera iz rezervnih kopija neće oduzeti puno vremena, dok bi u slučaju hiljada sistema plaćanje otkupnine i dešifrovanje podataka moglo da bude brže .
Čak i ako rezervne kopije postoje, moglo bi doći do poteškoća u obnavljanju pogođenog sistema jer su aplikacije i njihov softver zastareli. Bandos je naišao na tu situaciju sa kupcem u proizvodnom sektoru koji je imao rezervne kopije podataka, ali je takođe imao server koji je koristio internu aplikaciju napravljenu za njih u zastareloj verziji Windows servera, tako da bi taj sistem morao potpuno da se obnovi. Zastoji na tom serveru koštali su kompaniju 10.000 dolara na sat, pa su platili otkupninu.
Važno je takođe testirati postupak obnavljanja sa rezervne kopije i stvoriti slike sistema sa svim softverom koji je sistemu potreban da bi pravilno funkcionisao. Takođe je veoma dragoceno imati mogućnosti otkrivanja i softvera krajnje tačke koji može da otkrije i blokira rutine šifrovanja fajlova i brzo izoluje sisteme iz mreže.
I Minder, a takođe i Šenkel iz Flashpointa kažu da su grupe otkupljivača uglavnom voljne da pregovaraju, a u većini slučajeva otkupnine koje na kraju žrtve plate iznose mali procenat iznosa koji je prvobitno zatražen. To je zato što su i napadači pod vremenskim pritiskom. Što se diskusija više oduži, IR tim žrtve ima više vremena za obnavljanje sistema. Povrh toga, prema Šenkelu, podaci pokazuju da se plati samo između 25% i 30% otkupnina i napadači su toga svesni.
„Koliko god mi govorili da su ucenjivači loši, oni su ipak samo ljudi koji pokušavaju nešto da prodaju, pa će imati neku početnu cenu“, kaže Šenkel. „Ponekad je to 10% prihoda, ponekad čak 20% prihoda, ali to je polazna osnova. Oni su uvek otvoreni za pregovore i biće ‘razumni’, ako može tako da se kaže, jer u toj situaciji uopšte nema ništa razumno . “
Međutim, pre nego što se izvrši bilo kakva transakcija, akter pretnje mora da dokaže svoju sposobnost dešifrovanja fajlova. To se obično radi na uzorku skupa podataka, iako to ne znači da nema rizika. U nekim slučajevima dekriptori koje ponudi napadač mogu da imaju greške ili možda neće da funkcionišu na određenim sistemima ili volumenima ili će neki podaci biti oštećeni. Neke kompanije su se specijalizovale za obrnuti inženjering takvih dekriptora i njihovu ponovnu primenu u efikasnijem alatu koji koristi samo ključ za dešifrovanje dobijen od napadača.
Takođe se mogu javiti situacije u kojima napadači koriste različite ključeve u različitim sistemima na mreži, pa je važno imati tu forenzičku i obaveštajnu komponentu pretnje da bi se shvatio napadač i njegov način rada pre nego što mu se obrati.
Jednom kada se plaćanje izvrši putem infrastrukture koju je obezbedio ili dogovorio pregovarač, puni zapis komunikacije, prikupljeni podaci o akteru pretnje i podaci o transakciji daju se kupcu radi evidencije i iz pravnih razloga.
Prijetnje da će se odati podaci komplikuju pregovore i oporavak
Kada se u okviru istog napada radi i o krađi podataka, gde napadači takođe prete da će odati podatke, stvari su malo složenije jer ne postoji način da se garantuje da su napadači uništili ukradene podatke. Sigurnosna firma Coveware, koja se takođe specijalizovala za reagovanje na softver za iznudu otkupa i pregovaranje, izvestila je prošle godine da je naišla na mnogo slučajeva kada su žrtve koje su već platile otkupninu kasnije ucenjivane istim skupom podataka, ili gde su podaci i pored toga procurili na mrežu.
Kako sve više grupa otkupljivača prihvata ovu tehniku, incidenti sa otkupljivačkim softverom moraće da se tretiraju kao krađa podataka i da prođu sve procedure koje su potrebne u takvim slučajevima. Žrtve bi takođe mogle da razmisle o tome da plate obaveštajnoj firmi da njihove ukradene podatke traži na podzemnim forumima i pijacama gde bi mogli da završe i kako bi se mogli koristiti za preduzimanje dodatnih preventivnih akcija.
Konačni pregledi ukazuju na naučene lekcije
Svaki incident će takođe imati zaključni pregled sa svim uključenim stranama – pravnim timom, IR i IT timovima i stručnjakom za pregovore o softveru za iznudu otkupa – gde će se pregledati sve informacije. Lekcije naučene iz ovog procesa treba pretvoriti u projekat za poboljšanje sposobnosti organizacije da u budućnosti blokira ili uspori takve napade.
Izvor: CSO INSIDER