0
0
A primeira regra de ser um negociador de ransomware é não admitir que é um negociador de ransomware — pelo menos não para a LockBit ou outra gangue de cibercrime.
Em vez disso, esses negociadores se apresentam simplesmente como representantes da empresa, disse Drew Schmitt, negociador profissional de ransomware e principal analista de ameaças da empresa de segurança cibernética GuidePoint Security.
“A maior razão é porque a maioria dos grupos de ransomware diz especificamente e explicitamente: ‘Não queremos trabalhar com um negociador. disse ao The Register. Daí a necessidade de se disfarçar de funcionário regular.
O ransomware é, obviamente, um malware que, uma vez em uma rede, embaralha todos os arquivos valiosos que pode encontrar e exige um pagamento para descriptografar e restaurar as informações. Ultimamente, as gangues também roubam cópias dos dados antes de criptografá-los para que possam vazá-los ou vendê-los se a demanda não for paga. Às vezes, eles apenas desviam os arquivos e não se preocupam em criptografá-los. Às vezes, os bandidos usam os arquivos roubados para assediar ou explorar os clientes ou usuários de uma vítima. Há todo tipo de coisas que os extorsionários podem fazer e exigir uma vez que estejam em seus computadores e tenham seus dados.
Schmitt disse que negocia um ou dois resgates por mês, e as organizações de vítimas variam de pequenas empresas a grandes empresas, abrangendo todos os setores. Manufatura, tecnologia, construção, governo e saúde foram os mais atingidos no segundo trimestre deste ano, de acordo com pesquisa feita para o último relatório de extorsão de sua empresa.
Também vi demandas iniciais de US$ 25 milhões…
Ele disse que uma vez viu um pedido de resgate de um “grupo menos sofisticado” que queria apenas US$ 2.000. “Mas também vi demandas iniciais de US$ 25 milhões”, acrescentou. “Então eles estão por toda parte.”
Schmitt disse que, em duas ocasiões, negociou resgates até zero dólares. “Ambos em diferentes tipos de saúde, quando fomos à mesa e dissemos: ‘Ei, somos uma organização de saúde. Somos responsáveis por salvar vidas’, eles basicamente disseram: ‘Desculpe. vai te dar um decodificador grátis.'”
Claro, esses são os valores discrepantes, e alguns grupos, como o Hive , visam especificamente o setor de saúde, supondo que, como vidas e dados pessoais altamente confidenciais estão em jogo, entre outros fatores, é mais provável que os hospitais paguem para fazer toda a bagunça vá embora.
De fato, um relatório no início deste ano da Sophos afirmou que 66% das organizações de saúde pesquisadas foram atingidas por ransomware em 2021 – acima dos 34% do ano anterior, representando um aumento de 94%.
À medida que o ransomware e a extorsão pura se tornam fontes sólidas de renda para criminosos, naturalmente houve um aumento na demanda por coisas como negociadores de seguro cibernético e ransomware, que atuam como intermediários entre a gangue do ransomware e a vítima. Às vezes, você pode querer colocar alguém entre você e os criminosos, alguém que possa fazer o pagamento da criptomoeda acontecer, ou pechinchar a demanda, ou obter o decodificador dos extorsionários e assim por diante.
De acordo com uma pesquisa publicada em março pela equipe de resposta a incidentes da Palo Alto Networks, a demanda média de resgate em 2021, para ataques que ela conhecia, foi de US$ 2,2 milhões, um aumento de 144% em relação ao ano anterior. Enquanto isso, o pagamento médio no ano passado saltou para US$ 541.010, um aumento de 78% em relação a 2020.
De notas de resgate por e-mail a sites de vazamento do Tor
Schmitt começou a trabalhar em resposta a incidentes (IR) e inteligência de ameaças há cerca de seis anos e disse que “caiu” em negociações de ransomware em 2019.
“Foi uma progressão natural de trabalhar na resposta a incidentes”, disse ele. À medida que as infecções por ransomware se tornaram mais prevalentes, Schmitt começou a subir a escada do IR e a desempenhar vários papéis no processo de investigação e resposta. “E uma delas acabou sendo uma negociação com um ator de ameaça.”
Antigamente, por volta de 2019, essas negociações aconteciam por e-mail. Mas desde então, as gangues de ransomware amadureceram e evoluíram as operações de negócios para incluir mensagens instantâneas com vítimas para descobrir negócios, afiliados para ajudar a espalhar o malware e funcionários com atribuições não técnicas, como o mundo maior e acima do solo aprendeu através do Conti . vazamentos no início deste ano.
Hoje em dia, a maioria dos grupos criminosos tem seus próprios sites através dos quais operam, e alguns têm departamentos de relações públicas e marketing, bem como help desks internos.
Em vez de brincar com o e-mail, “agora geralmente é apenas um URL” direcionando a vítima ao site do Tor dos extorsionários, e a comunicação entre a vítima e o bandido acontece em uma caixa de bate-papo exibida no navegador Tor, disse Schmitt. Este é o ponto em que Schmitt geralmente é chamado para ajudar na resposta ao incidente e, às vezes, nas negociações de ransomware.
O processo de negociação em si envolve trazer todas as principais unidades de negócios para a mesa: executivos C-suite, analistas de segurança cibernética, advogados, RH e representantes de relações públicas.
“Todas as equipes críticas que estarão envolvidas na resposta administrativa, além da resposta técnica”, disse Schmitt. “Todos esses jogadores estarão envolvidos para determinar como será a estratégia de negociação.”
Você deve negociar com criminosos?
A primeira pergunta que eles precisam responder, no entanto, é se devem negociar com os criminosos.
As agências federais dos EUA dizem que as organizações não devem pagar pedidos de resgate [ PDF ], e algumas empresas de segurança privada até sugerem que isso expõe as empresas a ataques subsequentes de ransomware. Independentemente disso, não é uma pergunta simples de responder, e a decisão de negociar ou não é dupla, nos dizem.
Como isso afetará nossa marca se formos expostos em um site de vazamento de ransomware?
“Um está olhando para isso de uma perspectiva puramente técnica”, disse Schmitt. Isso inclui determinar se a empresa tem a capacidade de restaurar a partir de backups de dados codificados pelo ransomware, descriptografar os arquivos com uma ferramenta gratuita ou colocar o ambiente de TI online novamente sem pagar resgate.
“E então o outro lado é legalmente baseado”, disse ele. “É aqui que você começa a responder perguntas sobre: como isso afetará nossa marca se formos expostos em um site de vazamento de ransomware? Como isso afetará potencialmente a conformidade se tivermos certos tipos de dados expostos em um site de vazamento de ransomware ? Quais são os riscos associados a isso e quais são nossas opções?”
Um pensamento que Schmitt disse que geralmente não aparece na discussão – a menos que a gangue criminosa tenha sido sancionada pelo Tesouro dos EUA ou um órgão semelhante, caso em que é ilegal pagar um resgate a eles – é a ética de pagar um resgate. que, por sua vez, financia atividades ilícitas adicionais e regimes potencialmente opressivos que apoiam ou orquestram campanhas de ransomware.
“Se estou sendo totalmente honesto, não há muita discussão sobre para onde os fundos vão depois do fato”, admitiu.
A LockBit continua sendo a gangue mais prolífica nos últimos dois anos, disse Schmitt, acrescentando que Conti também manteve seus colegas negociadores ocupados antes que o grupo se dissolvesse para formar outras gangues.
E cada uma dessas organizações criminosas tem suas próprias peculiaridades, histórias e métodos, que podem ser úteis para conhecer e explorar durante o processo de negociação.
“Mantemos notas detalhadas de todas as interações que temos de vários grupos de ameaças e, em seguida, usamos isso a nosso favor – essa técnica pode funcionar melhor do que essa técnica, ou esse grupo é conhecido por negociar, ou você não pode empurrar isso grupo muito antes de eles ficarem entediados e seguirem em frente”, disse Schmitt. “Todos eles têm características que usamos para garantir que não estamos apertando os botões errados e nos dando a maior chance de sucesso, para reduzir o resgate o máximo possível”.
No entanto, os criminosos normalmente também fizeram sua lição de casa. Por exemplo: pesquisar a apólice de seguro cibernético de uma organização vítima.
“Com bastante frequência, veremos isso como uma tática de negociação”, disse Schmitt. “‘Encontramos sua apólice de seguro, sabemos que você tem cobertura no valor de US$ 10 milhões, então é aqui que começamos.'”
O pagamento da demanda inicial não acontece com muita frequência. Há sempre algumas barganhas e trocadilhos. As corporações também precisam levar em consideração os custos de recuperação e outras despesas relacionadas à violação de segurança ao descobrir que tipo de orçamento elas têm para enfrentar o problema, disse ele.
Assim como comprar um carro
“Mas é aqui que começamos”, comentou Schmitt, referindo-se às demandas iniciais. “E realmente a partir daí, é o processo tradicional de negociação de ida e volta que você veria em muitos outros aplicativos de negócios – ou tentando comprar um carro.”
Se, isto é, você está trancado em uma sala com o vendedor de carros por dias a fio enquanto eles ameaçam vazar suas informações privadas em um site para todos verem, e quando eles podem decidir aumentar o preço pedido se você também muito tempo para chegar a um acordo.
Schmitt admitiu que é um trabalho de alta ansiedade. “As apostas são realmente altas”, disse ele. “Com a resposta a incidentes em geral, e especialmente o ransomware, é um estresse muito alto.
“Para mais clientes com quem você está trabalhando, é o pior ponto em suas carreiras e pode ser o pior ponto que eles vão ter, e você é empurrado para essa situação de tentar ajudá-los a sair o pior momento de sua carreira.”
FONTE: THE REGISTER