Wilt u het losgeld betalen? Onderhandel eerst

Inhoudsopgave:

Wilt u het losgeld betalen? Onderhandel eerst
Wilt u het losgeld betalen? Onderhandel eerst
Anonim

Wist je dat ransomware-bendes open staan voor onderhandeling? Als de omstandigheden dicteren dat u het losgeld moet betalen, onderhandel dan niet zomaar over een betere deal. Hier leest u hoe u dit kunt doen.

Whan Ransomware Strikes

Een ransomware-aanval installeert malware op uw netwerk. Het versleutelt uw gegevens en eist losgeld voor cryptocurrency om het te decoderen. De meest voorkomende aanvalsvectoren zijn nog steeds een phishing-aanval of het misbruiken van een Remote Desktop Protocol-verbinding, vaak door misbruik te maken van slecht wachtwoordbeheer.

Vanuit het oogpunt van de dreigingsactoren is ransomware enorm winstgevend en een relatief gemakkelijke cyberaanval om uit te voeren. Volgens een rapport van de European Union Agency for Cybersecurity (ENISA) beta alt 45 procent van de slachtofferorganisaties het losgeld. Het is dan ook geen verrassing dat ransomware-aanvallen toenemen. In het halfjaarlijkse rapport van Bitdefender 2020 staat dat de wereldwijde ransomware-aanvallen jaar op jaar toenamen met 715 procent.

Het advies van de Federal Bureau of Investigation (FBI) is om het losgeld niet te betalen. Het betalen van het losgeld moedigt alleen maar meer ransomware-aanvallen aan. Als je een robuust systeem voor noodherstel hebt, een ingestudeerd incidentplan en je back-ups niet zijn aangetast, kun je je systemen herstellen naar de staat van voor de aanval. Eens, dat wil zeggen, u hebt bepaald hoe ze toegang hebben gekregen tot uw netwerk en die kwetsbaarheid hebben gesloten. Maar dit kan dagen en mogelijk weken duren.

Als ziekenhuizen en andere kritieke diensten en infrastructuur worden getroffen door ransomware, moeten ze zo snel mogelijk herstellen. Door de COVID-19-pandemie is de kans groter dat ziekenhuizen en zorginstellingen het doelwit worden van ransomware. Als je simpelweg geen downtime kunt verdragen of het herstelproces meer gaat kosten dan het losgeld, lijkt het betalen van het losgeld misschien het minste van twee kwaden.

Het No More Ransom-project is opgericht door Interpol en veel partnerorganisaties om decryptors te leveren voor veelvoorkomende ransomware. Ze hebben mogelijk een tool die uw versleutelde gegevens zal ontsleutelen.

Ransomware-aanvallen gaan steeds vaker gepaard met het onderscheppen van vertrouwelijke of andere gevoelige informatie van het bedrijf. De cybercriminelen dreigen deze informatie openbaar te maken als u het losgeld niet beta alt. Houd er rekening mee dat zelfs als u het losgeld beta alt, u uw gegevens mogelijk niet terugkrijgt. De decryptor die door de dreigingsactoren wordt gebruikt, werkt mogelijk niet goed. Als uw gegevens worden ontsleuteld, is de kans groot dat u nog steeds wordt geïnfecteerd met malware.

Sommige organisaties vallen onder een cyberverzekering. Dat is prima voor zover het gaat, maar er zijn aanwijzingen dat als cybercriminelen weten dat een organisatie een cyberverzekering heeft, ze ervan uitgaan dat het losgeld wordt betaald, ongeacht of de organisatie voldoende geld heeft of niet. Het betekent dat de limiet voor losgeld niet wordt bepaald door de financiën van de organisatie, maar eerder door de waarde van de dekking die door de verzekeringspolis wordt geboden. Ze kunnen hun losgeld eisen opdrijven en kunnen zich zelfs bij voorkeur richten op verzekerde organisaties.

Natuurlijk is het ideale scenario om niet geraakt te worden door ransomware. Maar als je dat doet, en de omstandigheden dicteren dat je het losgeld moet betalen, kun je onderhandelen met de cybercriminelen.

Gerelateerd: Voorbereiden op en bestrijden van een ransomware-aanval

Een mix van vertrouwen en wanhoop

Bijna zeker bent u niet de beste persoon om de onderhandelingen te voeren, en ook niemand anders in uw organisatie. Je zult genoeg op je bord hebben om het punt van binnendringen te identificeren en de kwetsbaarheid te patchen en te proberen de organisatie draaiende te houden met alle mogelijke middelen. Misschien kan het personeel vanuit huis werken. Misschien had u een gesegmenteerd netwerk en voorkwam een deel van uw IT-infrastructuur en telecommunicatieapparatuur infectie.

U moet het bestuur of de C-suite up-to-date houden, vragen van klanten en klanten beheren, acties uitvoeren die vereist zijn door uw wetgeving inzake gegevensbescherming, omgaan met PR en vele andere acties die deel uitmaken van uw playbook voor incidentrespons. zelfs als je dat niet allemaal op je rug had, kun je nog steeds beter in contact komen met experts om de onderhandelingen af te handelen.

Weten hoe verder te gaan is gebaseerd op het begrijpen met wie en wat je te maken hebt. Welke ransomware-stam tegen u is gebruikt. Kunt u de cybercriminelen identificeren en weet u wat hun staat van dienst is?

Sommige ransomwarebendes zijn betrouwbaarder dan andere. Ze hebben decoderingsroutines die goed werken en ze herstellen uw gegevens daadwerkelijk. Ze komen vervolgens niet terug met verdere chantageclaims met betrekking tot het blootleggen van de gegevens die ze hebben geëxfiltreerd. Andere bendes zijn dat minder. Als de decryptor hapert en niet werkt, is dat moeilijk voor je.

Er zijn bedrijven die deze onderhandelingen voor u kunnen voeren en hun expertise en ervaring in uw voordeel kunnen gebruiken. Sommige organisaties kunnen het rechtvaardigen om zo'n bedrijf achter de hand te houden, maar veel organisaties kunnen dat niet. elke organisatie kan onderzoek doen naar cyberattack incident management bedrijven in hun omgeving die een onderhandelingsservice hebben. De meeste van hen bieden een complete responsservice voor cyberaanvallen, inclusief onderhandeling.

In de meeste rechtsgebieden bent u verplicht, of in ieder geval sterk aangemoedigd, om de politie op de hoogte te stellen en de aanval te melden. Uw wetgeving inzake gegevensprivacy vereist mogelijk dat u de betrokken betrokkenen op de hoogte stelt en een manier instelt om ze bij te werken. Mogelijk moet u het incident melden bij een gegevensbeschermingsautoriteit. En als u een cyberverzekering heeft, moet u zo snel mogelijk met hen praten. U moet weten of ze verwachten dekking te bieden voor dit incident of niet. Dat is essentiële kennis voor de onderhandelingen.

De onderhandelingen

Afbeelding
Afbeelding

Stap één: technische details

Zorg ervoor dat je de infectiemiddelen hebt geïdentificeerd en dat je die kwetsbaarheid hebt gesloten, zodat deze niet opnieuw kan worden misbruikt. Zodra u zeker weet dat de bedreigingsactoren zijn buitengesloten van uw systeem, moet u de balans opmaken. Wat is er precies versleuteld, wat is de omvang van het compromis?

Is het het hele IT-domein, één subnetwerk, meerdere servers of al uw servers? Als je netwerk niet volledig is versleuteld, heb je een openingszet. Waarom zou je het volledige losgeld betalen als het hele netwerk niet versleuteld was? Maar u moet er absoluut zeker van zijn dat de cybercriminelen worden buitengesloten. Als ze nog steeds toegang hebben tot je netwerk en ontdekken dat er gebieden zijn die niet zijn versleuteld, zullen ze opnieuw verbinding maken en de gemiste apparaten versleutelen.

De manier om met de daders te communiceren wordt meestal beschreven in het losgeldbericht. Meestal is het een portal waarop u zich aanmeldt om berichten uit te wisselen. Controleer of je hier toegang toe hebt, maar open nog geen discussies. U kunt een vraag stellen zoals bent u op de goede plek, of een andere onschuldige vraag. Het toont de cybercriminelen die u tot nu toe hun bevelen opvolgt zonder iets weg te geven.

Stap twee: onderzoek en verkenning

Iemand moet de stam van ransomware identificeren. Dit is de reden waarom een extern incidentresponsbedrijf zinvol is. Zij hebben de vaardigheden en expertise om dit te doen. Ze gebruiken die informatie samen met andere aanwijzingen, zoals het type losgeldbrief, de aanvalsvector en infectiemethode, het type berichtenportaal dat ze gebruiken om met u te communiceren en details van andere gevallen van ransomware om de daders te identificeren. Deze attributiestap is erg belangrijk.

Door de identiteit van de ransomwarebende te kennen, kan het responsteam verwijzen naar gegevens over andere ransomware-aanvallen door deze daders. Ze kunnen zien of deze ransomware-bende doorgaans werkende decryptors levert en of ze historisch gezien hun afspraak hebben nagekomen om het slachtoffer vervolgens niet te chanteren voor meer geld door te dreigen met het vrijgeven van de geëxfiltreerde gegevens.

Belangrijk is dat ze misschien kunnen achterhalen welk losgeld deze bende heeft geëist bij eerdere aanvallen en wat het uiteindelijke onderhandelde bedrag was. Losgeld kan uit de lucht worden geplukt en een standaard openingseis zijn, of ze kunnen worden bepaald door de dreigingsactoren die kijken naar de omzet van de slachtofferorganisatie. Deze beoordelingen kunnen enorm vertekend zijn. Soms kijken ze naar de waarde van een holdinggroep in plaats van naar het daadwerkelijke bedrijf dat is versleuteld.

"We hebben onze gegevens nodig, we zijn bereid te betalen, maar uw waardering is verkeerd en we hebben die fondsen gewoon niet", is een redelijke eerste stap in de onderhandelingen.

Stap drie: onderhandelen

Voor de ransomwarebende is dit slechts een zakelijke transactie. Het is niet persoonlijk. Een externe onderhandelaar zal neutraler kunnen blijven dan interne vertegenwoordigers van de organisatie. Emotioneel worden zal niet productief zijn.

Zoals bij alle zakelijke transacties met een hoog cijfer, wordt onderhandeling verwacht. Natuurlijk willen de cybercriminelen alles zo snel mogelijk hebben afgerond. Door langdurige onderhandelingen is de kans groter dat ze worden ontdekt door de politie. Maar je kunt niet zomaar stoppen. Als ze besluiten dat het te riskant is om door te gaan, lopen ze weg en blijf je achter met een versleuteld netwerk. Maar als het slachtoffer simpelweg niet aan de losgeldeisen kan voldoen, zal de ransomwarebende hun verwachtingen moeten verlagen. Wat losgeld is tenslotte beter dan geen losgeld.

Zorg ervoor dat je een demonstratie vraagt en krijgt dat de decryptor correct werkt. U moet ervoor zorgen dat het met succes een selectie van bestanden van verschillende typen van verschillende servers en subnetwerken decodeert. Dit is niet onredelijk, en de cybercriminelen zouden dit heel gemakkelijk moeten kunnen doen.

Het is niet meer dan eerlijk dat je het bewijs hebt dat je krijgt waar je voor beta alt. Het is hetzelfde als vragen om bewijs dat menselijke gijzelaars nog in leven zijn voordat het losgeld wordt betaald.

Stap vier: Betaling

Wanneer een schikking is overeengekomen, wordt het losgeld betaald. Dit zal in een cryptocurrency zijn. Bitcoin is favoriet omdat het voor de eerste gebruiker van cryptocurrency gemakkelijk te verkrijgen is. Houd er rekening mee dat deze stap dagen kan duren. Het kan verstandig zijn om een kleine hoeveelheid Bitcoin te verkrijgen als voorzorgsmaatregel om deze in de toekomst niet meer nodig te hebben. Het kost tijd om een digitale portemonnee te verkrijgen en om uw referenties als Bitcoin-gebruiker buiten het kritieke pad van het ransomware-incident te plaatsen.

Een transcriptie van de communicatie, de onderhandelingen, de overeenkomst en de bevestiging van de betaling wordt vanuit de portal geëxporteerd en beschikbaar gesteld aan de slachtofferorganisatie. Dit transcript is vaak vereist voor de verzekeringsmaatschappij of andere wettelijke of contractuele redenen.

Als gegevens zijn geëxfiltreerd voordat het netwerk werd versleuteld, heb je niets anders dan het woord van de cybercriminelen dat ze de gegevens zullen verwijderen en in de toekomst niet voor chantage zullen gebruiken. Het is niet veel, maar de hoop is dat de cybercriminelen begrijpen dat toekomstige slachtoffers minder geneigd zullen zijn om het losgeld te betalen, of evenveel losgeld, als de ransomware-bende een record heeft dat ze hun kant van de zaak niet nakomen. de overeenkomst.

Het verlies van gegevens op deze manier telt als een datalek en moet waarschijnlijk worden gemeld aan uw gegevensbeschermingsautoriteit. Onder bepaalde wetgeving, zoals de Algemene Verordening Gegevensbescherming, geldt de ransomware-aanval zelf als een datalek omdat u de controle over de gegevens bent kwijtgeraakt.

Stap vijf: postmortaal

Je hebt geen tijd om achterover te leunen en je wonden te likken.

Je moet minimaal:

  • Voer zo snel mogelijk penetratietests en kwetsbaarheidstesten uit. Zorg dat je handelt naar de resultaten. Gebruik de testresultaten om uw remediërende activiteiten te begeleiden.
  • Als je een cyberverzekering hebt, moet je het probleem met je verzekeringsmaatschappij bespreken.
  • Behandel officiële communicatie. Hebt u iedereen geïnformeerd die u nodig heeft, inclusief wetshandhavings- en gegevensbeschermingsautoriteiten? U moet een officiële verklaring sturen naar uw handelspartners, klanten en betrokken betrokkenen. Vat de gebeurtenissen van de aanval samen en hoe deze werd afgesloten. Zorg ervoor dat u een sectie opneemt waarin wordt beschreven wat u hebt gedaan om herhaling te voorkomen.

Nu plannen voor de volgende keer

Wat weerhield je ervan om over te schakelen naar een noodherstelsysteem, of back-ups op te schonen en te herstellen, zodat je het losgeld niet hoefde te betalen?

Onderzoek deze en andere opties voor bedrijfscontinuïteit. U zult waarschijnlijk merken dat ze goedkoper zijn dan uw losgeld, dat ze uw verzekeringspremie verlagen, dat ze de naleving van de wetgeving inzake gegevensbescherming gemakkelijker maken.

Populair onderwerp

Aanbevolen

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren
2023

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren

Hoe drieweglichtschakelaars werken
2023

Hoe drieweglichtschakelaars werken

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen
2023

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)
2023

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)

Handtekeningen maken en wijzigen in Apple Mail op macOS
2023

Handtekeningen maken en wijzigen in Apple Mail op macOS

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen
2023

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken
2023

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo
2023

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games
2023

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games

Hoe contacten over te zetten tussen Google-accounts
2023

Hoe contacten over te zetten tussen Google-accounts

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen
2023

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi
2023

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat
2023

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken
2023

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken

Download.com is eindelijk gestopt met het bundelen van crapware
2023

Download.com is eindelijk gestopt met het bundelen van crapware

Een Google-agenda delen met andere mensen
2023

Een Google-agenda delen met andere mensen

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf
2023

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf

Hoe offline browsen in Firefox in te schakelen
2023

Hoe offline browsen in Firefox in te schakelen