Wist je dat ransomwarebendes openstaan ​​voor onderhandeling? Als de omstandigheden het vereisen, moet u het losgeld betalen, niet zomaar doorrollen – onderhandelen over een betere deal. Hier leest u hoe u het moet aanpakken.
Whan Ransomware Strikes
Een ransomware-aanval installeert malware op uw netwerk. Het versleutelt uw gegevens en vraagt ​​om losgeld voor cryptovaluta om deze te ontsleutelen. De meest voorkomende aanvalsvectoren zijn nog steeds een phishing-aanval of het misbruiken van een Remote Desktop Protocol-verbinding, vaak door te profiteren van slecht wachtwoordbeheer.
Vanuit het standpunt van de bedreigingsactoren is ransomware enorm winstgevend en een relatief gemakkelijke cyberaanval om uit te voeren. Volgens een rapport van het European Union Agency for Cybersecurity (ENISA) betaalt 45 procent van de slachtofferorganisaties het losgeld. Het is dan ook geen verrassing dat ransomware-aanvallen toenemen. Het halfjaarlijkse rapport van Bitdefender 2020 stelt dat wereldwijde ransomwareaanvallen jaar op jaar met 715 procent zijn toegenomen.
Het advies van het Federal Bureau of Investigation (FBI) is om het losgeld niet te betalen. Het betalen van het losgeld moedigt alleen maar meer ransomwareaanvallen aan. Als u een robuust disaster recovery-systeem heeft, een uitgeprobeerd incidentplan en uw back-ups zijn niet gecompromitteerd, kunt u uw systemen herstellen naar de staat van vóór de aanval. Dat wil zeggen dat u eenmaal hebt bepaald hoe ze toegang hebben gekregen tot uw netwerk en die kwetsbaarheid hebt gesloten. Maar dat kan dagen en mogelijk weken duren.
Wanneer ziekenhuizen en andere kritieke diensten en infrastructuur worden getroffen door ransomware, moeten ze zo snel mogelijk herstellen. De COVID-19-pandemie heeft de kans vergroot dat ziekenhuizen en zorginstellingen het doelwit worden van ransomware. Als u simpelweg geen downtime kunt verdragen of als het herstelproces meer gaat kosten dan het losgeld, kan het betalen van het losgeld het minste van twee kwaden lijken.
Het No More Ransom-project is opgericht door Interpol en vele partnerorganisaties om decryptors te leveren voor veelvoorkomende ransomware. Mogelijk hebben ze een tool waarmee u uw gecodeerde gegevens kunt decoderen.
Ransomware-aanvallen gaan in toenemende mate gepaard met het exfiltreren van vertrouwelijke of andere gevoelige informatie van het bedrijf. De cybercriminelen dreigen deze informatie openbaar te maken als u het losgeld niet betaalt. Houd er rekening mee dat zelfs als u het losgeld betaalt, u uw gegevens mogelijk niet terugkrijgt. De decryptor die door de bedreigingsactoren wordt gebruikt, werkt mogelijk niet correct. Als het uw gegevens ontsleutelt, bent u nog steeds waarschijnlijk geïnfecteerd met malware.
Sommige organisaties zijn gedekt door cyberverzekering. Dat is prima, maar er zijn aanwijzingen dat als cybercriminelen weten dat een organisatie cyberverzekering heeft, ze ervan uitgaan dat het losgeld wordt betaald, ongeacht of de organisatie over voldoende middelen beschikt of niet. Het betekent dat de losgeldlimiet niet wordt bepaald door de financiën van de organisatie, maar veeleer door de waarde van de dekking die door de verzekeringspolis wordt geboden. Ze kunnen hun losgeld eisen opdrijven en kunnen zich zelfs bij voorkeur richten op verzekerde organisaties.
Het ideale scenario is natuurlijk om niet door ransomware te worden geraakt. Maar als u dat doet, en de omstandigheden vereisen dat u het losgeld moet betalen, kunt u onderhandelen met de cybercriminelen.
Gerelateerd: Hoe u zich kunt voorbereiden op een ransomwareaanval en deze kunt bestrijden
Een mix van vertrouwen en wanhoop
U bent vrijwel zeker niet de beste persoon om de onderhandelingen te voeren, en niemand anders bij uw organisatie ook. U zult genoeg op uw bord hebben om het punt van binnenkomst te identificeren en de kwetsbaarheid te patchen en te proberen de organisatie draaiende te houden met alle mogelijke middelen. Misschien kan het personeel vanuit huis werken. Misschien had u een gesegmenteerd netwerk en werd infectie door een deel van uw IT-infrastructuur en telecommunicatieapparatuur voorkomen.
U moet het bord of de C-suite up-to-date houden, vragen van klanten en klanten beheren, acties uitvoeren die vereist zijn door uw gegevensbeschermingswetgeving, omgaan met PR en vele andere acties die deel uitmaken van uw incidentrespons-playbook. zelfs als u dat niet allemaal op uw rug had, is het nog steeds beter om met experts in gesprek te gaan om de onderhandelingen af ​​te handelen.
Weten hoe u verder moet gaan, is gebaseerd op inzicht in met wie en wat u te maken heeft. Welke ransomware-soort werd tegen u gebruikt. Kunt u de cybercriminelen identificeren en weet u wat hun staat van dienst is?
Sommige ransomwarebendes zijn betrouwbaarder dan andere. Ze hebben decoderingsroutines die correct werken, en ze herstellen uw gegevens daadwerkelijk. Ze keren vervolgens niet terug met het maken van verdere chantageclaims met betrekking tot het blootleggen van de gegevens die ze hebben geëxfiltreerd. Andere bendes zijn dat minder. Als de decryptor hapert en niet werkt, is dat gewoon moeilijk voor je.
Er zijn firma’s die deze onderhandelingen voor u kunnen voeren en hun expertise en ervaring in uw voordeel kunnen gebruiken. Sommige organisaties kunnen het rechtvaardigen om een ​​dergelijk bedrijf vast te houden, maar velen kunnen dat niet. elke organisatie kan onderzoek doen naar cyberaanval-incidentmanagementbedrijven in hun omgeving die een onderhandelingsdienst hebben. De meesten van hen zullen een complete responsdienst voor cyberaanvallen bieden, inclusief onderhandeling.
In de meeste rechtsgebieden bent u verplicht – of wordt u ten minste sterk aangemoedigd – om de politie op de hoogte te stellen en de aanval te melden. Uw wetten inzake gegevensprivacy kunnen u verplichten de betrokken betrokkenen op de hoogte te stellen en een manier op te zetten om ze bij te werken. Mogelijk moet u het incident melden bij een gegevensbeschermingsautoriteit. En als u een cyberverzekering heeft, moet u zo snel mogelijk met hen beginnen te praten. U moet weten of ze verwachten dekking te bieden voor dit incident of niet. Dat is essentiële kennis voor de onderhandelingen.
De onderhandelingen
Stap één: technische details
Zorg ervoor dat u de infectiemiddelen heeft geïdentificeerd en dat u die kwetsbaarheid hebt gesloten, zodat deze niet opnieuw kan worden misbruikt. Zodra u zeker weet dat de bedreigingsactoren buiten uw systeem zijn vergrendeld, moet u de balans opmaken. Wat is er precies versleuteld, wat is de omvang van het compromis?
Is het het hele IT-domein, één subnetwerk, meerdere servers of al uw servers? Als uw netwerk niet in zijn geheel is versleuteld, heeft u een openingszet. Waarom zou u het volledige losgeld betalen als het hele netwerk niet versleuteld was? Maar u moet absoluut zeker zijn dat de cybercriminelen worden buitengesloten. Als ze nog steeds toegang hebben tot uw netwerk en erachter komen dat er gebieden waren die niet werden versleuteld, zullen ze opnieuw verbinding maken en de gemiste apparaten versleutelen.
De manier om met de daders te communiceren, wordt meestal beschreven in het losgeldbericht. Meestal is het een portaal waarop u zich aanmeldt om berichten uit te wisselen. Controleer of u hier toegang toe heeft, maar open nog geen discussies. U kunt een vraag stellen zoals bent u op de goede plek, of een andere onschuldige vraag. Het toont de cybercriminelen die u tot dusver hun bevelen opvolgt zonder iets weg te geven.
Stap twee: onderzoek en verkenning
Iemand moet de soort ransomware identificeren. Dit is de reden waarom een ​​extern incidentresponsbedrijf zinvol is. Ze hebben de vaardigheden en expertise om dit te doen. Ze gebruiken die informatie samen met andere aanwijzingen, zoals het type losgeldbrief, de aanvalsvector en de infectiemethode, het type berichtenportaal dat ze gebruiken om met je te communiceren, en details van andere ransomwaregevallen om de bedreigingsactoren te identificeren. Deze attributiestap is erg belangrijk.
Door de identiteit van de ransomwarebende te kennen, kan het responsteam verwijzen naar gegevens van andere ransomwareaanvallen door deze daders. Ze zullen kunnen zien of deze ransomware-bende doorgaans decryptors levert die werken en of ze in het verleden hun afspraak hebben nagekomen om het slachtoffer vervolgens niet te chanteren voor meer geld door te dreigen de geëxfiltreerde gegevens vrij te geven.
Belangrijk is dat ze er misschien achter kunnen komen welk losgeld deze bende bij eerdere aanvallen heeft geëist en wat het uiteindelijke onderhandelde bedrag was. Losgeld kan uit de lucht worden gehaald en een standaard eis tot opening zijn, of kan worden bepaald door de dreigingsactoren die kijken naar het verloop van de slachtofferorganisatie. Deze beoordelingen kunnen enorm scheef zijn. Soms kijken ze naar de waarde van een holdinggroep in plaats van naar het feitelijke bedrijf dat is versleuteld.
“We hebben onze gegevens terug nodig, we zijn bereid te betalen, maar uw waardering klopt niet en we hebben die fondsen gewoon niet”, is een redelijke eerste stap in de onderhandelingen.
Stap drie: onderhandelen
Voor de ransomwarebende is dit slechts een zakelijke transactie. Het is niet persoonlijk. Een externe onderhandelaar zal neutraal kunnen blijven dan interne vertegenwoordigers van de organisatie. Emotioneel worden zal niet productief zijn.
Zoals bij alle zakelijke transacties met een hoog cijfer, wordt onderhandeling verwacht. Uiteraard willen de cybercriminelen dat alles zo snel mogelijk wordt ingepakt. Door langdurige onderhandelingen is de kans groter dat ze door de politie worden ontdekt. Maar je kunt niet zomaar stoppen. Als ze besluiten dat het te riskant is om door te gaan, lopen ze weg en blijft er een versleuteld netwerk over. Maar als het slachtoffer simpelweg niet aan de losgeldeisen kan voldoen, zal de ransomwarebende hun verwachtingen moeten verlagen. Een bepaald losgeld is tenslotte beter dan geen losgeld.
Zorg ervoor dat u om een ​​demonstratie vraagt ​​en krijgt dat de decryptor correct werkt. U moet ervoor zorgen dat het met succes een selectie van bestanden van verschillende typen van verschillende servers en subnetwerken ontsleutelt. Dit is niet onredelijk en de cybercriminelen zouden dit heel gemakkelijk moeten kunnen doen.
Het is niet meer dan eerlijk dat u het bewijs heeft dat u krijgt waarvoor u betaalt. Het is het equivalent van het vragen om bewijs dat menselijke gijzelaars nog in leven zijn voordat het losgeld wordt betaald.
Stap vier: betaling
Als er een schikking is bereikt, wordt het losgeld betaald. Dit zal in een cryptocurrency zijn. Bitcoin is een favoriet omdat het gemakkelijk te verkrijgen is voor de eerste gebruiker van cryptocurrency. Houd er rekening mee dat deze stap dagen kan duren. Het kan verstandig zijn om een ​​kleine hoeveelheid Bitcoin te bemachtigen als voorzorgsmaatregel om deze in de toekomst niet meer nodig te hebben. Het kost de tijd die nodig is om een ​​digitale portemonnee te verkrijgen en om uw inloggegevens als Bitcoin-gebruiker buiten het kritieke pad van het ransomware-incident vast te stellen.
Een transcriptie van de communicatie, de onderhandelingen, de overeenkomst en de bevestiging van de betaling wordt vanuit het portaal geëxporteerd en ter beschikking gesteld van de slachtofferorganisatie. Dit transcript is vaak vereist voor de verzekeringsmaatschappij of om andere juridische of contractuele redenen.
Als gegevens zijn geëxfiltreerd voordat het netwerk werd versleuteld, heb je niets anders dan het woord van de cybercriminelen dat ze de gegevens zullen verwijderen en deze in de toekomst niet zullen gebruiken voor chantage. Het is niet veel, maar de hoop is dat de cybercriminelen begrijpen dat als ze afzien van dergelijke deals, toekomstige slachtoffers minder geneigd zullen zijn om het losgeld te betalen – of evenveel losgeld – als de ransomwarebende de reputatie heeft dat ze hun kant van de overeenkomst.
Het verlies van gegevens op deze manier wordt beschouwd als een datalek en moet waarschijnlijk worden gemeld bij uw gegevensbeschermingsautoriteit. Onder bepaalde wetgeving, zoals de Algemene Verordening Gegevensbescherming, telt de ransomware-aanval zelf als een datalek omdat je de controle over de gegevens bent kwijtgeraakt.
Stap vijf: post-mortem
Je hebt geen tijd om achterover te leunen en je wonden te likken.
U moet minimaal:
- Voer zo snel mogelijk penetratietests en kwetsbaarheidstests uit. Zorg ervoor dat u handelt op basis van de resultaten. Gebruik de testresultaten om uw herstelactiviteiten te begeleiden.
- Als u een cyberverzekering heeft, moet u de kwestie bespreken met uw verzekeringsmaatschappij.
- Behandel officiële communicatie. Heeft u iedereen geïnformeerd die u nodig heeft, inclusief wetshandhavings- en gegevensbeschermingsautoriteiten? U moet een officiële verklaring sturen naar uw handelspartners, klanten en betrokken betrokkenen. Vat de gebeurtenissen van de aanval samen en hoe deze werd beëindigd. Zorg ervoor dat u een sectie toevoegt waarin wordt beschreven wat u hebt gedaan om herhaling te voorkomen.
Plan nu voor de volgende keer
Wat weerhield u ervan om over te schakelen naar een disaster recovery-systeem, of back-ups op te schonen en te herstellen zodat u het losgeld niet hoefde te betalen?
Onderzoek deze en andere opties voor bedrijfscontinuïteit. U zult waarschijnlijk merken dat ze goedkoper zijn dan uw losgeld, dat ze uw verzekeringspremie verlagen en de naleving van de wetgeving inzake gegevensbescherming vergemakkelijken.
