Tagits som gisslan? Så här går en ransomware-förhandling till

Detta inlägg post publicerades ursprungligen på denna sida this site ;

Ransomware har varit ett av de värsta hoten av skadlig programvara som företag och organisationer har mött de senaste åren, och det finns inget tecken på att angriparna kommer att sluta: det är helt enkelt för lönsamt. Lösenkraven har vuxit från tiotusentals dollar till miljoner och till och med tiotals miljoner dollar eftersom angriparna har lärt sig att många organisationer är villiga att betala.

Många faktorer och parter är inblandade i ett beslut om att betala ransomware, från cio:er och andra chefer till externa rådgivare och försäkringsbolag, men det ökande behovet av att göra sådana betalningar har skapat en marknad för konsulter och företag som är specialiserade på ransomware-förhandlingar och underlättar kryptovalutabetalningar.

Vad händer när gisslanprogrammet slår till?

I en idealvärld bör en ransomware-attack utlösa en väl inövad katastrofåterställningsplan, men tyvärr är många organisationer oförberedda. Stora företag kan ha en insatsgrupp och en plan för att hantera cyberattacker, men oftas saknas processer för att hantera olika aspekter som är specifika för en ransomware-attack – som hotet om dataläckage, kommunikation med kunder och tillsynsmyndigheter och för att fatta beslutet att förhandla med angriparna.

– Även om stora börsnoterade företag har incident responce-planer täcker de vanligtvis inte detaljer relaterade till ransomware, säger Kurtis Minder, vd på Groupsense som jobbar med ransomware-förhandlingar.

– När vi väl har kommit till processen för dekrypteringsförhandlingar, att fatta affärsbeslutet, och om vem som ska vara inblandad, så är mycket av det inte dokumenterat. Det finns ingen kommunikations- eller pr-plan heller. Inget av det finns i de flesta företag som vi kommer in i, vilket är olyckligt.

Även för företag som har övat på sin incidenthantering och har rutiner på plats inträffar det fortfarande en slags blind panik när ransomware slår till, enligt Ian Schenkel, vice vd för emea-regionen på Flashpoint, en annan leverantör som också erbjuder ransomware-svarstjänster.

– Det är inte bara det att ransomware krypterar filer och krypterar ett helt nätverk. Det vi ser på sistone är en ytterligare faktor där de faktiskt försöker pressa ut mer pengar genom att säga: om du inte betalar lösen så läcker vi all information vi har om din organisation.

Med andra ord, eftersom allt fler ransomwaregrupper antar denna teknik för dubbelutpressning genom att kombinera filkryptering med datastöld, blir en ransomware-attack också ett dataintrång som är föremål för olika regulatoriska skyldigheter beroende på var i världen du är och vilken typ av data som komprometterades.

Två kritiska och tidskänsliga åtgärder måste göras när en ransomware-attack inträffar:

  1. Identifiera hur angriparna kom in, stäng hålet och sparka ut dem från nätverket.
  2. Förstå vad du har att göra med, vilket innebär att du identifierar ransomware-varianten, kopplar den till en hotaktör och fastställer deras trovärdighet, särskilt om de också säger sig ha stulit data.

Den första åtgärden kräver ett incidenthanteringsteam, antingen internt eller externt, medan det andra kan kräva ett företag som är specialiserat på hotinformation.

Vissa stora företag har nära kontakt med sådana leverantörer, men många organisationer känner sig vilsna när de står inför en ransomware-attack och förlorar därför dyrbar tid. I sådana fall kan det vara bättre att ta in extern rådgivare med expertis inom hantering av cyberattacker. Enligt advokater från det internationella advokatbyrån Orrick som vi pratat med, är det i ungefär 75 procent av fallen externa advokater som kallas in för att starta svarsprocessen, som inkluderar:

  • Anmälan till brottsbekämpande myndigheter.
  • Få igång forensiska undersökningar.
  • Köra en genomgång internt med företagsledningen.
  • Se till att utredningen täcks av sekretess.
  • Bedöma kommunikationen till omvärlden som kan behövas.
  • Hjälpa den drabbade organisationen att ta kontakt med sitt försäkringsbolag för att meddela dem om attacken och få godkännande för utgifter, inklusive rådgivning, forensiska undersökningar, kriskommunikation och allt annat som krävs, däribland att betala lösen om det beslutet har fattats.

Vem bestämmer om lösen ska betalas?

Diskussioner med försäkringsbolaget bör inledas tidigt eftersom de, beroende på vad försäkringen innehåller, kan ha en större eller mindre inverkan på valet av vilken extern leverantör som tas in för att hjälpa till med händelsen. Försäkringsbolag har vanligtvis listor över godkända leverantörer.

Men när det gäller att beslutet om att betala lösen eller inte tar företagen enligt Orrick-advokaterna ofta beslutet på egen hand och kontaktar därefter sitt försäkringsbolag för att se om de godkänner det. I vissa fall kan det drabbade företaget besluta att betala oavsett om försäkringen täcker en ransomware-betalning eftersom attackens inverkan på verksamheten är så stor att företaget inte har råd att inte betala. De hoppas att senare få tillbaka pengarna, eller en del av dem, från försäkringsbolaget.

Beslutsprocessen involverar vanligtvis chefsjuristen, cio:n och den operative chefen. Chefsjuristen väger beslutet utifrån laglighet och risk. Cio:n ansvarar för säkerhetskopieringsprocesserna och planerna för kontinuitet eller katastrofåterställning. Den operative chefen fattar sedan beslut baserat på hur de data som drabbats påverkar verksamheten. En cio kan till exempel konstatera att säkerhetskopior finns, men antalet påverkade system är så stort att det tar mycket lång tid att återställa dem och den operative chefen kan då besluta att affärsverksamheten inte kan överleva en långt stillestånd. I slutändan är det ett affärsbeslut, så i många fall måste ett slutgiltigt godkännande för att betala lösen ges av vd, enligt Orrick-advokaterna.

Innan godkännande av en ransomware-betalning kommer försäkringsföretag att ställa olika frågor som status för säkerhetskopior, om de förstördes under attacken, om externa säkerhetskopior finns, hur många system som påverkades och hur lång tid det tar att återställa dem. Är företaget amerikanskt kommer försäkringsbolaget sannolikt också att utreda hotaktören för att avgöra om de är med på amerikanska finansdepartementets sanktionslista och om det är en grund för att neka betalningen.

Hur går en ransomwareförhandling till?

Enligt Kurtis Minder på Groupsense är det viktigt för incidenthanteringsteamet att se till att attacken har isolerats och angriparna har sparkats ut från nätverket innan angriparna kontaktas via den kommunikationsmetod som tillhandahållits – vanligtvis någon krypterad e-posttjänst.

– Tänk dig att jag förhandlar med en angripare och den angriparen fortfarande har tillgång till nätverket. Det är en stor hävstång mot oss, säger Kurtis Minder.

– Så en av de saker som vi försöker göra direkt är att arbeta riktigt nära incidenthanteringsteamet för att säkerställa om ingriparna stängts ut och inte kan komma in igen.

Den andra delen, enligt Kurtis Minder, är att få tillgång till all information om attacken som samlats in av incidenthanteringsteamet, inklusive vilka data som har komprometterats, och identifiera hotaktören, dess profil och hur de gått illväga tidigare. Att veta vilka lösen som de har bett om tidigare, fastställa angriparns mognad, hur många andra organisationer de sannolikt kommer har på kroken vid varje tidpunkt är all värdefull information som kan diktera hur man ska närma sig förhandlingarna.

Om de har tagit sig in 30 eller 40 företag kan det påverka deras beteende och de kan vara mindre tålmodiga när de förhandlar eftersom de har många andra alternativ, säger Kurtis Minder.

Många hackargrupper anpassar sina lösenkrav beroende på offrets profil. Vanligtvis går man för en viss procentandel av organisationens beräknade årliga intäkter om det är ett företag. Detta kan dock överskattas grovt om informationen hämtats in från opålitliga källor eller utan information om affärsstrukturen. Exempelvis kan offrets moderföretag vara ett internationellt konglomerat som omsätter flera miljarder dollar, men det faktiska offret kan vara ett mindre företag i ett visst land. På myndighetsnivå finns det betydande skillnader i ekonomiska resurser mellan amerikanska federala myndigheter och små svenska kommuner som kanske inte är direkt uppenbara för angriparna.

Enligt Kurtis Minder kan förhandlarna ta en diskussion med angriparna för att utbilda dem om offrets faktiska ekonomiska förhållanden, men det är bättre att bara objektivt behandla det som en affärstransaktion och inte förlita sig på känslor, vilket är vad ett offer kan vara benägna att göra om de försöker förhandla på egen hand.

Med det sagt, all kommunikation mellan förhandlarna och angriparna är tillgänglig att följa för den drabbade organisationen via en säker portal i realtid, så att de kan väga in och ge kommentarer eller förslag.

I vissa fall kan offret återställa en del av sina system från säkerhetskopior, och det kan då användas som hävstång i förhandlingarna, eftersom offret inte kommer att vara villigt att betala hela lösensumman för att kunna dekryptera data på några få återstående system. Detta är en annan anledning till att det är mycket viktigt att ha möjligheter att upptäcka attacker så snart som möjligt och ha en incidenthanteringsplan för att agera och begränsa skadan.

– En enormt viktig sak som måste övervägas i de tidigare stadierna, när du identifierar en pågående attack eller ser att ransomware distribueras över hela miljön, är att begränsa och isolera så snabbt som möjligt, säger Tim Bandos, säkerhetschef på dataskyddsföretaget Digital Guardian.

– Det handlar om att granska händelsen och titta på loggarna och identifiera hur attacken rört sig och var vi kan stoppa den. Vi har haft tillfällen där vi kunde stoppa den. Den flyttade till 10 eller 15 servrar i en flotta på cirka 3000.

I sådana fall kan offret inte ens behöva betala lösen, eftersom det inte tar mycket tid att återställa 10 eller 15 servrar från säkerhetskopior. Men nör det handlar om tusentals system kan kan det gå snabbare att betala lösen och dekryptera datan.

Även om det finns säkerhetskopior kan det vara svårt att återställa ett berört system eftersom applikationerna och deras programvarustackar är föråldrade. Tim Bandos stötte på den situationen med en kund i tillverkningsindustrin som hade säkerhetskopior av sina data, men också hade en server som kör en intern applikation gjord för dem på en föråldrad Windows-serverversion, och det systemet skulle behöva byggas om helt. Driftstoppet för den servern kostade företaget 10 000 dollar per timme, så de betalade lösen.

Det är viktigt att testa återställningsprocessen för säkerhetskopior och skapa systembilder med all programvara som ett system behöver för att fungera korrekt. Att ha detektionsfunktioner på plats och ha programvara som snabbt kan upptäcka och blockera filkrypteringsrutiner och snabbt isolera system från nätverket är också mycket värdefullt.

Både Kurtis Minder och Flashpoints Ian Schenkel säger att ransomwaregrupper i allmänhet är villiga att förhandla, och i de flesta fall är lösensumman som slutligen betalas av offren bara en liten andel av det ursprungliga belopp som de begär. Det beror på att också angriparna är under tidspress. Ju längre diskussionen drar ut på tiden, desto mer tid har offrets indicenthanteringsteam för att återställa system. Dessutom visar statistik enligt Ian Schenkel att endast 25–30 procent av lösenkraven betalas, något som angriparna är medvetna om.

– Hur hemska angriparna är så är de fortfarande bara människor som försöker sälja något, så de kommer att ha ett utgångspris, säger Ian Schenkel.

– Ibland är det 10 procent av intäkterna, ibland så högt som 20 procent av intäkterna, men det är en utgångspunkt. De är alltid öppna för förhandlingar och för att vara ”rimliga”, om det är det rätta ordet eftersom det inte finns något rimligt i den situationen alls.

Innan någon transaktion äger rum måste angriparen dock bevisa sin förmåga att dekryptera filerna. Det görs vanligtvis på en mindre uppsättning data, men det betyder inte att det inte finns någon risk. I vissa fall kan dekrypteraren som tillhandahålls av angriparna ha buggar eller så kanske den inte fungerar på vissa system. Vissa företag är specialiserade på att bygga om sådana dekrypterare och implementera dem på nytt i ett mer effektivt verktyg som bara behöver den dekrypteringsnyckel som angriparna tillhandahåller.

Det kan också finnas situationer där angripare använder olika krypteringsnycklar på olika system i nätverket, och därför är det viktigt att ha forensisk kunskap och hotinformation för att förstå angriparen och hur de jobbar innan man närmar sig dem.

När betalningen har gjorts via den infrastruktur som tillhandahålls av eller överenskommits med förhandlaren, får kunden den fullständiga dokumentationen av kommunikationen, all information som samlats in om hotaktören och informationen om transaktionen.

Hot om att läcka data komplicerar förhandlingarna

När man hanterar en stöld av data som en del av samma attack, där angriparna också hotar att läcka ut data, är saker lite mer komplicerade eftersom det inte finns något sätt att garantera att angriparna förstört de stulna uppgifterna. Säkerhetsföretaget Coveware rapporterade förra året att de har sett många fall där offer som redan betalat lösenordet utpressades med samma datamängd senare eller där uppgifterna ändå läcktes ut online.

När fler ransomwaregrupper använder sig av denna teknik måste ransomware-incidenter behandlas som dataintrång och tas igenom alla processer som krävs i sådana fall. Offren kan också behöva överväga att betala ett hotinformationsföretag för att övervaka forum och marknadsplatser på nätet för att få koll på var deras stulna data kan hamna och hur de kan användas. Detta för att vidta ytterligare förebyggande åtgärder.

Dra lärdomar efteråt

Varje händelse behöver också att granskas efteråt bland de olika parter som var inblandade – det juridiska teamet, incidenthanterings- och it-teamen, förhandlingsspecialisten – där all information kommer att gås igenom. Lärdomarna från denna process bör användas till ett projekt för att förbättra organisationens möjligheter att blockera eller bromsa liknande attacker i framtiden.

Computer Sweden RSS

http://feeds.idg.se/~r/ComputerSweden20SenasteNyheter/~3/06ef614N3S0/ransomware-forhandling-losensumma-tips