Οι οργανισμοί που πέφτουν θύματα επίθεσης ransomware δεν θα πρέπει να ενημερώνουν τους χάκερ ότι έχουν cyber insurance – γιατί αν οι εισβολείς γνωρίζουν ότι το θύμα τους έχει ασφαλιστήριο συμβόλαιο, είναι πιο πιθανό να απαιτήσουν γιγαντιαία ποσά λύτρων.
Ερευνητές κυβερνοασφάλειας στην Fox-IT, μέρος του NCC Group, εξέτασαν πάνω από 700 διαπραγματεύσεις μεταξύ επιτιθέμενων ransomware και θυμάτων, προκειμένου να αναλύσουν τα οικονομικά στοιχεία πίσω από τις επιθέσεις ψηφιακής εκβίασης που απαιτούν πληρωμή σε λύτρα – συχνά εκατομμύρια δολάρια σε Bitcoin – σε αντάλλαγμα για ένα κλειδί αποκρυπτογράφησης.
Διαπίστωσαν ότι εάν το θύμα έχει cyber insurance και ο εισβολέας το γνωρίζει, τότε δεν μπορεί να γίνει καμία διαπραγμάτευση για μικρότερη πληρωμή λύτρων, επειδή οι εισβολείς θα εκμεταλλευτούν την ύπαρξη της cyber insurance για να λάβουν την πληρωμή που ζητούν.
Μια άλλη σημείωση από έναν απροσδιόριστο χειριστή ransomware φαίνεται να δείχνει ότι οι εγκληματίες του κυβερνοχώρου έχουν αυξήσει τα λύτρα που ζητούν επειδή γνωρίζουν για την πολιτική ασφάλισης του θύματος.
Μια εταιρεία θα μπορούσε να ισχυριστεί ότι η ασφαλιστική εταιρεία δεν θα πλήρωνε για τη ζήτηση λύτρων, αλλά είναι απίθανο να το πιστέψει ο εισβολέας ως αλήθεια.
Ενώ οι ερευνητές προτείνουν ότι το να πει κανείς στον εισβολέα ransomware για ένα ασφαλιστήριο συμβόλαιο κυβερνοασφάλισης δεν είναι καλή κίνηση για τις διαπραγματεύσεις, υπάρχει η πιθανότητα ο εισβολέας να μάθει για οποιαδήποτε cyber insurance που έχει η εταιρεία μόλις εισέλθει στο δίκτυο πριν από την επίθεση ransomware.
Το cyber insurance έχει γίνει ένας τρόπος για τα θύματα να αντιμετωπίζουν τη ζημιά μιας επίθεσης ransomware, αλλά όπως δείχνει η έρευνα της Fox-IT, η γνώση της μπορεί να φέρει τους χάκερ σε ακόμη πιο ισχυρή θέση απαιτώντας περισσότερα λύτρα.
Ενώ η πληρωμή λύτρων σε εγκληματίες του κυβερνοχώρου γενικά δεν συνιστάται επειδή ενθαρρύνει περαιτέρω επιθέσεις, αφού ανέλυσαν εκατοντάδες διαπραγματεύσεις, οι ερευνητές της Fox-IT πρότειναν μερικές προτάσεις σχετικά με το τι πρέπει να κάνετε εάν η επιχείρησή σας χτυπηθεί με ransomware.
Αυτή η προσέγγιση ξεκινά με την προετοιμασία των εργαζομένων για το πώς να αντιδράσουν σε μια επίθεση ransomware και ουσιαστικά με το να μην κάνουν κλικ σε links σε σημειώσεις λύτρων, έτσι ώστε να μην ξεκινήσουν πρόωρα οι διαπραγματεύσεις.
Πριν ξεκινήσετε τις διαπραγματεύσεις, είναι επίσης χρήσιμο να γνωρίζετε ποιος είναι ο τελικός σας στόχος – μπορεί ο οργανισμός να κάνει επαναφορά από αντίγραφα ασφαλείας ή θα πρέπει να πληρωθούν λύτρα; Εάν το θύμα είναι διατεθειμένο να πληρώσει λύτρα, θα πρέπει να έχει μια ιδέα για το μέγιστο ποσό που θα πλήρωνε.
Και η έρευνα για τον εισβολέα μπορεί να βοηθήσει στην προετοιμασία των θυμάτων για διαπραγματεύσεις. Είναι πιθανό να είναι διαθέσιμο ένα δωρεάν εργαλείο αποκρυπτογράφησης για το συγκεκριμένο είδος ransomware, αποτρέποντας την ανάγκη πληρωμής λύτρων.
Πολλοί χειριστές ransomware προσπαθούν να πιέσουν τα θύματα να πληρώσουν μέσα σε μια καθορισμένη περίοδο, συχνά με την απειλή διαρροής δεδομένων εάν δεν το κάνουν. Υπάρχει επίσης η επιλογή να προσπαθήσετε να πείσετε τον εισβολέα ότι δεν μπορείτε να πληρώσετε τα λύτρα, αλλά εάν ο εισβολέας έχει πρόσβαση στο δίκτυο, μπορεί να δει οικονομικά έγγραφα ή πολιτικές ασφάλισης στον κυβερνοχώρο – και πιθανότατα να έχει στο μυαλό του ένα ποσό με βάση αυτό το έγγραφο που θα αποτελέσει τη βάση για τις διαπραγματεύσεις.
