Header Ads

Home / Notícias / Precisa pagar o resgate? Negocie primeiro

Precisa pagar o resgate? Negocie primeiro

quarta-feira, março 03, 2021

Shutterstock / vchal

Você sabia que as gangues de ransomware estão abertas a negociações? Se as circunstâncias exigirem que você pague o resgate, não simplesmente role — negocie um acordo melhor. Veja como fazer isso.

Whan Ransomware Strikes

Um ataque de ransomware instala malware em sua rede. Ele criptografa seus dados e exige um resgate de criptomoeda para descriptografá-los. Os vetores de ataque mais comuns ainda são um ataque de phishing ou exploração de uma conexão de protocolo de área de trabalho remota, geralmente aproveitando-se do gerenciamento de senha inadequado.

Dos atores da ameaça &’ ponto de vista, o ransomware é extremamente lucrativo e um ataque cibernético relativamente fácil de realizar. De acordo com um relatório da Agência da União Europeia para Cibersegurança (ENISA), 45% das organizações de vítimas pagam o resgate. Não é nenhuma surpresa, então, que os ataques de ransomware estejam aumentando. O relatório do meio do ano do Bitdefender 2020 afirma que os ataques globais de ransomware aumentaram ano após ano em 715 por cento.

O conselho dado pelo Federal Bureau of Investigation (FBI) é não pagar o resgate. Pagar o resgate apenas incentiva mais ataques de ransomware. Se você tem um sistema de recuperação de desastres robusto, um plano de incidente ensaiado e seus backups não foram comprometidos, você pode restaurar seus sistemas ao estado anterior ao ataque. Uma vez, isto é, você determinou como eles obtiveram acesso à sua rede e eliminou essa vulnerabilidade. Mas fazer isso pode levar dias e possivelmente semanas.

Quando hospitais e outros serviços e infraestrutura críticos são atingidos por ransomware, eles precisam se recuperar o mais rápido possível. A pandemia COVID-19 aumentou a probabilidade de hospitais e empresas de saúde serem alvos de ransomware. Se você simplesmente não consegue suportar nenhum tempo de inatividade ou o processo de recuperação vai custar mais do que o resgate, pagar o resgate pode parecer o menor de dois males.

O projeto No More Ransom foi fundado pela Interpol e muitas organizações parceiras para fornecer descriptografadores para ransomware comum. Eles podem ter uma ferramenta que irá descriptografar seus dados criptografados.

Ataques de ransomware são cada vez mais acompanhados por uma exfiltração de informações confidenciais da empresa ou outras informações sensíveis. Os cibercriminosos ameaçam expor essas informações se você não pagar o resgate. Lembre-se de que, mesmo que você pague o resgate, você não receberá seus dados de volta. O descriptografador usado pelos atores da ameaça pode não funcionar corretamente. Se ele descriptografar seus dados, é provável que você ainda esteja infectado com malware.

Algumas organizações são cobertas por ciberseguro. Tudo bem até o fim, mas há evidências que sugerem que, se os criminosos cibernéticos souberem que uma organização possui seguro cibernético, eles presumem que o resgate será pago independentemente de a organização ter fundos suficientes ou não. Isso significa que o limite do resgate não é definido pelas finanças da organização, mas sim pelo valor da cobertura fornecida pela apólice de seguro. Eles podem inflar seus pedidos de resgate e podem até ter como alvo preferencial as organizações seguradas.

Claro, o cenário ideal é não ser atingido por ransomware. Mas se você fizer isso, e as circunstâncias exigirem que você pague o resgate, você pode negociar com os cibercriminosos.

Relacionado: Como se preparar e lutar contra um ataque de ransomware

Uma mistura de confiança e desespero

Quase com certeza você não é a melhor pessoa para conduzir as negociações, nem qualquer outra pessoa em sua organização. Você terá o suficiente para identificar o ponto de entrada, corrigir a vulnerabilidade e tentar manter a organização operando usando todos os meios que puder. Talvez os funcionários possam trabalhar em casa. Talvez você tenha uma rede segmentada e parte de sua infraestrutura de TI e equipamentos de telecomunicações evitem infecções.

Você deve manter o conselho ou C-suite atualizado, gerenciar as consultas do cliente e do cliente, executar ações que são exigidas por sua legislação de proteção de dados, lidar com PR e muitas outras ações que fará parte do seu manual de resposta a incidentes. mesmo que você não tenha tudo isso nas suas costas, ainda será melhor se envolver com especialistas para lidar com as negociações.

Saber como proceder depende de entender com quem e com o que você está lidando. Que cepa de ransomware foi usada contra você. Você consegue identificar os cibercriminosos e sabe qual é seu histórico?

Algumas gangues de ransomware são mais confiáveis ​​do que outras. Eles têm rotinas de descriptografia que funcionam corretamente e, na verdade, restauram seus dados. Eles não retornam posteriormente, fazendo mais alegações de chantagem em relação à exposição dos dados que exfiltraram. Outras gangues são menos. Se o descriptografador soluçar e não funcionar, isso é difícil para você.

Existem empresas que podem realizar essas negociações para você e usar seus conhecimentos e experiência a seu favor. Algumas organizações podem justificar a manutenção de tal empresa, mas muitas não. todas as organizações podem pesquisar empresas de gerenciamento de incidentes de ataques cibernéticos em suas proximidades que tenham um serviço de negociação. A maioria deles oferecerá um serviço completo de resposta a incidentes de ataque cibernético, com negociação incluída nele.

Na maioria das jurisdições, você é obrigado — ou, pelo menos, fortemente encorajado — a notificar as autoridades policiais e denunciar o ataque. Suas leis de privacidade de dados podem exigir que você notifique os titulares dos dados afetados e configure um meio de atualizá-los. Você pode precisar relatar o incidente a uma autoridade de proteção de dados. E se você tem seguro cibernético, deve começar a falar com eles o mais rápido possível. Você precisa saber se eles esperam fornecer cobertura para este incidente ou não. Esse é um conhecimento vital para as negociações.

As negociações

Shutterstock / vchal

Etapa um: detalhes técnicos

Verifique se você identificou os meios de infecção e se fechou a vulnerabilidade para que não possa ser explorada novamente. Assim que tiver certeza de que os atores da ameaça foram bloqueados em seu sistema, você precisa fazer um balanço. O que exatamente foi criptografado, qual é a extensão do comprometimento?

É todo o estado de TI, uma sub-rede, vários servidores ou todos os seus servidores? Se a sua rede não foi criptografada em sua totalidade, você terá uma jogada inicial. Por que você deve pagar o resgate inteiro se toda a rede não foi criptografada? Mas você deve estar absolutamente certo de que os cibercriminosos estão bloqueados. Se eles ainda conseguirem acessar sua rede e descobrir que há áreas que não foram criptografadas, eles se reconectarão e criptografarão os dispositivos que perderam.

A forma de se comunicar com os perpetradores geralmente é descrita na mensagem de resgate. Normalmente é um portal no qual você se conecta para trocar mensagens. Verifique se você pode acessar, mas não abra as discussões ainda. Você pode fazer uma pergunta como você está no lugar certo ou outra pergunta inocente. Mostra aos cibercriminosos que você está seguindo as ordens deles até agora, sem revelar nada.

Etapa dois: pesquisa e reconhecimento

Alguém deve identificar o tipo de ransomware. É por isso que uma empresa externa de resposta a incidentes faz sentido. Eles têm as habilidades e conhecimentos para fazer isso. Eles usarão essas informações junto com outras pistas, como o tipo de nota de resgate, o vetor de ataque e o método de infecção, o tipo de portal de mensagens que usam para se comunicar com você e detalhes de outros casos de ransomware para identificar a ameaça atores. Esta etapa de atribuição é muito importante.

Saber a identidade da gangue do ransomware permite que a equipe de resposta consulte os registros de outros ataques de ransomware feitos por esses perpetradores. Eles poderão ver se essa gangue de ransomware normalmente fornece descriptografadores que funcionam e se eles honraram historicamente seu acordo de não chantagear a vítima por mais dinheiro, ameaçando liberar os dados exfiltrados.

É importante ressaltar que eles podem descobrir quais resgates essa gangue exigiu em ataques anteriores e qual foi o valor final negociado. Os resgates podem ser escolhidos do ar e ser uma exigência inicial padrão, ou podem ser determinados pelos atores da ameaça observando a rotatividade da organização vítima. Essas avaliações podem ser totalmente distorcidas. Às vezes, eles consideram o valor de um grupo de controle em vez do negócio real que foi criptografado.

“ Precisamos de nossos dados de volta, estamos dispostos a pagar, mas sua avaliação está errada e simplesmente não temos esses fundos, ” é um primeiro passo razoável nas negociações.

Etapa três: negociar

Para a gangue do ransomware, esta é apenas uma transação comercial. Não é pessoal. Um negociador externo será capaz de permanecer mais neutro do que os representantes internos da organização. Ficar emocional não será produtivo.

Tal como acontece com todas as transações comerciais de alto valor, espera-se uma negociação. Naturalmente, os cibercriminosos querem que tudo seja resolvido o mais rápido possível. Negociações prolongadas aumentam a probabilidade de sua detecção pela aplicação da lei. Mas você não pode simplesmente parar. Se eles decidirem que é muito arriscado continuar, eles irão embora e você ficará com uma rede criptografada. Mas se a vítima simplesmente não puder atender aos pedidos de resgate, a gangue do ransomware terá que diminuir suas expectativas. Afinal, algum resgate é melhor do que nenhum resgate.

Certifique-se de pedir e obter uma demonstração de que o descriptografador funciona corretamente. Você precisa ver se ele descriptografa com êxito uma seleção de arquivos de diferentes tipos de diferentes servidores e sub-redes. Isso é razoável, e os cibercriminosos devem ser capazes de fazer isso com muita facilidade.

É justo que você tenha uma prova de que vai conseguir o que está pagando. É o equivalente a pedir evidências de que reféns humanos ainda estão vivos antes de o resgate ser pago.

Etapa quatro: Pagamento

Quando um acordo é feito, o resgate é pago. Isso será em uma criptomoeda. Bitcoin é um dos favoritos porque é fácil de obter para o usuário de criptomoeda pela primeira vez. Esteja ciente de que essa etapa pode levar dias. Pode ser prudente obter uma pequena quantidade de Bitcoin como precaução contra exigi-los no futuro. Levará o tempo necessário para obter uma carteira digital e estabelecer suas credenciais como um usuário Bitcoin fora do caminho crítico do incidente de ransomware.

Uma transcrição das comunicações, as negociações, o acordo e o reconhecimento do pagamento são exportados do portal e disponibilizados para a organização vítima. Essa transcrição geralmente é exigida pela seguradora ou por outros motivos legais ou contratuais.

Se os dados foram exfiltrados antes da rede ser criptografada, você não tem nada além da palavra dos cibercriminosos de que eles excluirão os dados e não os usarão no futuro para chantagem. Não é muito, mas há esperança de que os cibercriminosos entendam que, se renegarem tais acordos, as vítimas futuras estarão menos inclinadas a pagar o resgate — ou o mesmo resgate — se a gangue do ransomware tiver um registro de não defender sua parte do acordo.

A perda de dados dessa forma contará como uma violação de dados e provavelmente precisará ser relatada à sua autoridade de proteção de dados. De acordo com certas legislações, como o Regulamento Geral de Proteção de Dados, o próprio ataque de ransomware conta como uma violação de dados porque você perdeu o controle dos dados.

Etapa Cinco: Post-Mortem

Você não tem tempo para sentar e lamber suas feridas.

No mínimo, você deve:

  • Faça testes de penetração e testes de vulnerabilidade assim que puder. Certifique-se de agir de acordo com os resultados. Use os resultados do teste para orientar suas atividades corretivas.
  • Se você tem seguro cibernético, precisa encaminhar o problema para sua seguradora.
  • Lide com as comunicações oficiais. Você informou a todos que você precisa, incluindo as autoridades policiais e de proteção de dados? Você precisa enviar uma declaração oficial para seus parceiros comerciais, clientes e titulares de dados afetados. Resuma os eventos do ataque e como ele foi concluído. Certifique-se de incluir uma seção que descreve o que você fez para prevenir a recorrência.

Agora, planeje-se para a próxima vez

O que foi que o impediu de mudar para um sistema de recuperação de desastres ou de limpar e restaurar backups para que não precisasse pagar o resgate?

Investigue essas e outras opções de continuidade de negócios. Você provavelmente descobrirá que eles são mais baratos do que o seu resgate, que reduzem o prêmio do seguro e facilitam o cumprimento da legislação de proteção de dados.

Nenhum comentário

Assinar: Postar comentários ( Atom )