0
0
Muitas pessoas fora da TI acreditam que os computadores acabarão com os trabalhos, mas a atual praga do ransomware mostra que novos e mais curiosos tipos de trabalhos são criados pelo menos tão rápido possível. Então, que tipo de plano de fundo você configura para conversar com pessoas que mantêm seus dados para resgate?
Para descobrir, The Reg conversou com Nick Shah, da STORM Guidance, que diz que atua como um canal entre as vítimas e os extorsionários.
Devemos salientar que o conselho atual do governo britânico é não pagar uma demanda de ransomware.
O Centro Nacional de Segurança Cibernética, enquanto isso, instou as empresas britânicas a pensar cuidadosamente ao escolher uma apólice de seguro cibernético – mas não dirá se o seguro que cobre pagamentos de ransomware é uma coisa ruim ou não.
Nick Shah recebeu seu OBE em 2019. Ele lidou com muitos criminosos sérios e tem a circunspecção contundente instintiva de um policial veterano de 30 anos sobre seu trabalho passado, tendo trabalhado em mais de mil casos de sequestro e extorsão em sua carreira na Agência Nacional de Crimes (NCA) e organizações variadas na África. Ele tem feito parte de investigações que abordam criminosos e grupos terroristas que tinham a intenção de causar medo, danos e, em muitos casos, morte – um pouco mais intimidante do que os e-mails passivo-agressivos que recebemos do RH.
O diretor-geral da NCA disse sobre o trabalho de Shah: “Embora os detalhes não possam ser fornecidos aqui, posso dizer com confiança que o público do Reino Unido foi protegido como resultado. Estou muito feliz que seu serviço esteja agora sendo formalmente reconhecido.”
Comprando tempo
O primeiro conselho de Shah é que: “Um negociador nunca deve revelar que eles são um ‘negociador treinado’. Idealmente, pretendemos ser apenas mais um membro da equipe.
“É importante indicar aos atacantes que você (o negociador) não é um membro sênior da equipe que pode tomar decisões”, reduzindo sua capacidade de pressioná-lo enquanto você “pretende ser funcionário de nível administrativo e precisa encaminhar para cima para decisões”.
Ele acrescentou: “Se o incidente exigir negociações de longo prazo, poderíamos em algum momento – para manter o interesse do atacante – sugerir que o escalonamos para um gerente. Novamente, esse gerente não seria sênior. Na realidade, poderia ser apenas o mesmo negociador, usando um nome e estilo de conversa diferentes.”
Negociação não é obter o menor valor possível, trata-se principalmente de obter informações e tempo
Embora os vetores de ataque se repitam, diz ele, as gangues parecem fissão com frequência suficiente para que Shah e sua equipe não reconheçam os mesmos atores em vários ataques, então o “relacionamento” deve ser construído a cada vez.
Isso é parcialmente necessário devido ao estresse sob o qual as vítimas estão.
“Eu vi muitos CEOs e gerentes seniores serem gravemente afetados pelas pressões emocionais de lidar com um incidente de ransomware. Além de alguns sentimentos de culpa por causar ou pelo menos não impedir que criminosos entrem nos sistemas, eles também carregam o fardo da preocupação com o impacto que isso poderia ter na empresa e em sua equipe.”
Para ter uma ideia de como isso é estressante, a STORM descobriu que às vezes precisa de uma equipe de conselheiros confidenciais para fazer com que a equipe passe por isso, já que, mesmo que eles estejam em falta, eles também fazem parte da montagem e, como diz Shah: “Não há tempo ou benefício em apontar o dedo da culpa. É uma missão de resgate.” Mas isso, é claro, não impede que isso aconteça.
Shah vê seu papel como um canal para a empresa conversar com os atacantes, em vez de um intermediário, o que significa que primeiro ele tem que estabelecer que a equipe Storm não se envolve em descobrir quem estava em falta. Eles vão trabalhar com essas pessoas para limpar enquanto ele inicia o processo de negociação. Sua experiência é que a maioria das pessoas está muito relutante em falar com criminosos graves.
Muitas vezes ele descobre que as habilidades de negociação da gangue ransomware são bastante fracas. Portanto, parte de seu papel é garantir que os ransomware-flingers – ou seus capangas – não aprendam nada mais durante as negociações do que já aprendem sobre a empresa que atacaram e os dados que criptografaram e/ou roubaram.
Com quem você está falando?
Shah nos falou sobre seu processo, no qual ele forma um modelo do tipo de pessoa com quem está lidando. Ele disse que, mesmo através do bate-papo criptografado, há muito que você pode aprender. Isso começa com a hora do dia em que eles respondem, bem como a variante do inglês usada, embora uma grande parte das respostas seja cortada e colada.
Ele também nos disse que, em geral, não espera estar lidando com os desenvolvedores do ataque, mas sim com um subconjunto de funcionários dentro da organização criminosa que são basicamente o “Help Desk do Inferno”.
Quanto mais operações amadoras usam o e-mail para se comunicar com suas “marcas”, o que cria lacunas que permitem parar enquanto os esforços de remediação estão sendo realizados. Isso faz parte do ato de equilíbrio que o negociador precisa manter: garantir que os criminosos mantenham contato e estejam conversando sobre algum tipo de solução enquanto os profissionais de TI internos e sua empresa trabalham para tentar colocar as coisas de volta nos trilhos.
A equipe técnica de Storm precisa de tempo para tentar desarmar o ransomware e, se possível, resolver o problema sem pagamento, Shah nos diz, acrescentando: “A negociação não é sobre obter o valor mais baixo possível, trata-se principalmente de obter informações e tempo. Meu trabalho é conseguir tempo sem que os atacantes tomem consciência da tática.”
Mas seja claro quando os dados vazam, eles permanecem vazados.
Shah explica: “Os atacantes aumentarão a pressão com o passar do tempo. Eles estão focados em receber o pagamento o mais rápido possível e, como tal, farão tentativas de apressar as coisas.
“Especialistas em tempestade e o papel do negociador é apoiar os clientes com conhecimento e experiência para ajudá-los a tomar as decisões de negócios apropriadas em tempo hábil. Seremos capazes de avaliar a validade das ameaças e dar conselhos sobre a probabilidade de a ameaça ser realizada.”
Dinheiro falante
Parte da razão para usar um negociador é que, não sendo pessoalmente afetados ou culpados, Shah e sua equipe não soarão tão em pânico e serão muito menos vulneráveis a altas demandas. Um axioma deste trabalho é “não deixá-los saber qual será o seu resultado final – se eles souberem disso, você pagará mais, eles exigirão”.
“A habilidade de um negociador não é fazer ofertas, mas fazer com que os atacantes ‘tragam uma oferta'”, nos diz ele. “Ao discutir sua oferta, poderíamos usar táticas para indicar que as demandas são inacessíveis, irrealistas ou [que] aderir a tais demandas levaria algum tempo. Esses estilos de conversa geram mais debates, fornecendo-nos informações adicionais, atrasos ou um preço de demanda mais baixo. Podemos então potencialmente repetir o ciclo, até atingirmos nossos objetivos.”
Sua experiência com esses criminosos não o deixou muito impressionado, diz ele.
Em primeiro lugar, diz o ex-homem da NCA, eles perdem muito tempo com demandas irrealistas e ganhariam mais dinheiro pedindo um número que pudesse ser reduzido como um custo de negócios do que seguir em frente.
Falando sobre eles pessoalmente, ele acrescenta: “É importante notar também que os atacantes de ransomware são criminosos – assim como os sequestradores. Na maioria dos casos, eles geralmente têm os mesmos incentivos de ganho financeiro e, como tal, um bom negociador usará as mesmas habilidades na construção de um relacionamento e na manutenção de discussões para buscar uma resolução.
Ao contrário de um sequestro, onde você não pode colocar um preço na vida de um refém, em casos de ransomware, você sabe o valor dos dados relativamente bem
“A diferença óbvia é que, em um sequestro, o principal objetivo do negociador é a libertação segura do refém e, em um incidente de ransomware, é proteger ou recuperar dados. Negociadores de sequestro adequadamente treinados e experientes terão as habilidades apropriadas em seu ‘kit de ferramentas’ para gerenciar atacantes de ransomware.”
Como seu escalonamento inclui liberar conjuntos de dados parciais, vendê-los a outros criminosos e mensagens agressivas em telas e DMs – e, em alguns casos, fazer com que as impressoras produzam ameaças infinitamente – você pode ver a necessidade de os conselheiros da STORM ajudarem a impedir que o cliente se dobre ou derreta.
Shah diz que “a maneira ameaçadora e as pressões impostas pelos atacantes têm semelhanças com situações de sequestro, mas ao contrário de um sequestro, onde você não pode colocar um preço na vida de um refém, em casos de ransomware, você conhece o valor dos dados relativamente bem”.
As gangues variam muito em quanto sabem sobre você e isso inclui ignorância completa, então mantê-la assim é importante. De acordo com Shah, o valor que eles exigem é “mais uma função da política da gangue, do que qualquer análise do que a vítima pode ou pagará”.
Fale comigo
Para obter seu dinheiro, os extorsionários geralmente estão mais do que dispostos a responder perguntas durante o processo, e parte do trabalho de Shah é obter amostras do que os atacantes exfiltraram para provar que estão dizendo a verdade sobre isso (aparentemente, alguns criminosos mentem) e/ou fazê-los descriptografar alguns dados, já que faz pouco adianta pagá-los se não puderem fazer isso. Se eles vão ou não é outra questão. Dessa forma, as negociações são muito mais passo a passo do que o estado binário de uma liberação de reféns.
A experiência de Shah é diferente da maioria das outras com as quais este escritor conversou, pois ele não vê ataques repetidos, “principalmente devido ao fato de que], após o incidente, a empresa fortalece seus protocolos de segurança cibernética”.
Ele acrescenta: “Não vi nenhum relatório ou evidência que indique que, ao pagar uma demanda [isso] leva a um aumento na vulnerabilidade, no entanto, como qualquer negociação, é importante não se tornar um alvo fácil, dando a impressão de que você aderirá às demandas iniciais ou a quaisquer demandas.”
As opiniões variam muito, mas David Jemmett, da Cerberus, nos diz: “A primeira coisa que dizemos ao cliente é: ‘não pague’. Porque eles ainda terão uma cópia disso, e podem voltar a qualquer momento.”
Portanto, o truque não deve ser visto como um alvo tão suave que eles voltarão novamente – ou você pode optar por acreditar na garantia deles de que esta é apenas uma crise única.
Shah acha que há um elemento de humor sombrio em tudo isso. “Por experiência própria, durante as discussões eles oferecem, por um custo extra, serviços de acompanhamento para fornecer serviços de segurança cibernética, o que [às vezes] inclui informações sobre como eles originalmente obtiveram acesso.
“Eles são criminosos e provavelmente continuarão sua criminalidade contra você.”
Embora você ou eu possamos ver isso como engraçado, eles não fariam isso se alguns não fossem tolos em adotá-los. E se acontecer de sua organização pagar o resgate, certamente vale a pena verificar se você está correto sobre a maneira como acredita que eles entraram.
A má notícia é que, apesar de terem tido a mais alta autorização de segurança, Shah e sua equipe recebem muito pouca inteligência da polícia ou de qualquer outra parte da aplicação da lei, descobrindo que o fluxo de informações é muito de uma maneira. Shah diz: “Nós vimos (ou melhor, não vimos), as autoridades quase não fazem nenhum progresso ou assistência tangível ao lidar com as gangues ao redor do Mar Negro e, a menos que você seja crítico para a segurança nacional, a conclusão é: você está sozinho aqui.”
FONTE: THE REGISTER