Пять ключевых подходов, которые организации должны использовать во время переговоров с вымогателями для улучшения результатов, были изложены Пепийном Хаком, аналитиком по кибербезопасности Fox-TT, входящей в группу NCC, на мероприятии Black Hat Europe 2021.
Хак заметил, что, когда происходит успешная атака программы-вымогателя и выставляется требование об оплате, злоумышленники немедленно получают преимущество в последующих переговорах, пишет издание Infosecurity Magazine.
Это, во-первых, потому, что они уже знают свою жертву благодаря исследованиям, проведенным до атаки, что помогает им понять, готова ли жертва платить вообще и сколько она может себе позволить. Во-вторых, в прошлом они не единожды бывали в таких ситуациях, а жертва, по всей видимости, впервые попадает в такую ситуацию.
Представляя исследование, проведенное с коллегой из Fox-TT, Хак подчеркнул те моменты, которые злоумышленники учтут во время переговоров о выкупе. Это окончательная цена выкупа, заплатит ли жертва или нет, стоимость и риск для себя, а также количество успешно проведенных атак.
Затем было проведено сравнение двух групп программ-вымогателей на основе данных, собранных в период с конца 2019 года по начало 2021 года. Для первой группы наблюдались записи о 681 переговорах. По второй группе было 105 переговоров. В обоих случаях выкуп уплатили примерно 15% жертв. Однако средняя выплачиваемая сумма выкупа была намного ниже в первой группе, чем во второй, причем последняя была ориентирована на более крупные компании и выдвигала более высокие требования. Это говорит о том, что сосредоточение внимания на меньшем количестве, но более важных целях является более плодотворным подходом для злоумышленников.
Еще один интересный вывод из этого анализа заключается в том, что «у двух компаний с одинаковым доходом, независимо от первоначального требования о выкупе, выплаты объем выплат оказался схожим». Это интересно, поскольку это показывает, что злоумышленники «приняли стратегию оптимизации», в соответствии с которой они подсчитывают, «сколько жертва готова заплатить в конечном итоге», согласно Хаку.
Несмотря на то, что организации в этом положении находятся в ужасном положении, Хак сказал, что есть несколько действий, которые они могут предпринять, чтобы улучшить свое положение, независимо от того, планируют ли они платить или стремятся выиграть время. Следует помнить, что «противники имеют преимущество, но они по-прежнему всего лишь люди, и мы можем этим воспользоваться». Используя идеи, полученные в результате исследований многочисленных переговоров с вымогателями, Хак предложил пять стратегий, которые организациям следует использовать в переговорах.
1. Будьте вежливы - хотя Хак признал, что это может показаться странным, учитывая, что ваша компания была взломана, он подчеркнул, что соблюдение вежливости и уважения при общении со злоумышленниками с большей вероятностью приведет к лучшим результатам. «Одна вещь, которую мы видели, заключалась в том, что когда жертвы злились или разочаровывались в противнике, чаты закрывались - в таком случае вам будет крайне тяжело получить свои файлы», - заявил он. «Посмотрите на это как на бизнес-транзакцию», - добавил Хак.
2. Попросите больше времени - Хак предупредил, что злоумышленники будут пытаться заставить вас принимать быстрые решения, что с большей вероятностью приведет к плохим результатам для жертв. Однако «почти во всех случаях они были готовы продлить время, если вы все еще вели переговоры». Это может дать жертвам больше возможностей оценить свои варианты, например, если они ожидают, чтобы выяснить, могут ли они получить резервные копии украденных данных.
3. Пообещайте заплатить небольшую сумму сейчас или большую сумму позже - Хак снова подчеркнул, что во главе любых кибератак стоят люди, и, как и все люди, они «не так хороши, когда выплаты откладываются». Кроме того, противники, вероятно, захотят завершить переговоры как можно быстрее. Поэтому жертвы должны попытаться воспользоваться этим во время переговоров. Например, если они решили, что у них нет другого выбора, кроме как заплатить, жертва может дать понять, что может гораздо более низкую цену сейчас, а большую сумму получится заплатить позже.
4. Убедить противника, что не сможете выплатить всю сумму выкупа - Хак привел один пример переговоров, которые он проанализировал в рамках исследования, в котором жертва заявила, что максимальная сумма, которую они могут заплатить, составляет 500 000 долларов (из требования в 13 миллионов долларов). В конце концов, это все, что они в итоге заплатили, эта сумма была намного ниже первоначального требования. Такой подход может сработать даже для более крупных компаний: Хак рассказал, что компания из списка Fortune 500 получила ключ дешифрования, несмотря на то, что заплатила гораздо меньшую сумму, чем первоначально запрашивалась.
5. Не говорите никому, что у вас есть киберстрахование. «Если противники узнают, что у вас есть киберстрахование, ваши переговоры будут проходить намного сложнее», - сказал Хак. Он показал сообщения злоумышленников, в которых они заявили, что знали, что жертва может заплатить крупную сумму, потому что у нее есть киберстраховка. Поскольку эту информацию часто можно получить из украденных файлов, Хак посоветовал: «Держите тот факт, что у вас есть киберстрахование, в секрете, не храните файлы в своей сети. Возможно, вы даже захотите пойти дальше и заключить со своей страховой компанией соглашение о том, что они также будут держать это в секрете со своей стороны».
В заключение Хак повторил, что компании всегда будут в невыгодном положении во время переговоров с вымогателями-взломщиками. Тем не менее, все еще есть подходы, которые можно использовать для уменьшения ущерба от последствий атаки. «В зависимости от того, какова ваша цель во время переговоров - вы хотите потратить время на создание резервных копий или вы решили, что единственный выход - это заплатить - вы можете использовать другую стратегию», - отметил Хак.
Он добавил, что очень важно давать этот совет организациям, потому что, к сожалению, «вымогатели никуда не денутся, это слишком выгодный бизнес».
Мы в VK: https://vk.com/darkwebex