Как да преговаряме с хакери и да ги победим

След като основаната в Обединеното кралство Euler Finance, платформа за кредитиране на крипто, стана жертва на кибер кражба на стойност 197 милиона $, юристите й помогнаха да си върне всички средства за три седмици.

Те съумяха, тъй като нарушителите направиха стратегическа неточност, като заплатиха 100 ETH или Ether в акаунт, за който се счита, че е обвързван със севернокорейски хакери. Адвокатите използваха това като точка на напън, с цел да предупредят причинителите, че могат да бъдат изправени пред репресии от страна на държавни чиновници или проведена престъпност. Това беше задоволително, с цел да убеди хакерите да върнат парите.

Въпреки че възобновяване на средства по този метод е извънредно рядко, жертвите на ransomware от ден на ден се обръщат към договарящи - без значение дали са вътрешни екипи за реагиране, застрахователи, охранителни компании, или юристи — с цел да понижат цената на техния откуп или даже да избегнат заплащането на подобен въобще.

Но какво е изкуството на договарянията за рансъмуер?

„ Преговарящите би трябвало да задават отворени въпроси с цел да се опитате да разрешите проблеми “, споделя Аманда Уейруп, помощник по мениджмънт в Babson College и специалист по договаряния и ръководство на спорове. „ Например „ Какво би било належащо, с цел да се позволи тази обстановка? “ Най-силните договарящи приспособяват своя метод въз основа на ползите и целите на другите страни “, споделя тя, отбелязвайки, че с изключение на финансова облага, някои киберпрестъпници търсят самопризнание за в допълнение политически или идеологически дневен ред.

Хакове за рансъмуер — при които киберпрестъпниците криптират системи с данни и изискват заплащане, с цел да ги освободят — се разпространиха след пандемията на ковид, защото отдалечената работа понижи киберзащитата.

Но данните от американската софтуерна група IBM демонстрират, че организациите, които са платили откуп, са постигнали единствено дребна разлика в цената на офанзивата – 5,06 милиона $ спрямо 5,17 милиона $ – макар че това не включва цената на самия откуп. „ Като се има поради високата цена на множеството претенции за рансъмуер, организациите, които са платили откупа, евентуално в последна сметка са похарчили повече от тези, които не са го създали “, се споделя в отчета.

Някои – изключително тези, които възразяват против концепцията за договаряния с нарушители - настояват, че заплащането на хакери единствено ги предизвиква и продължава цикъла на киберпрестъпленията. Те означават, че като заплащат на хакери, жертвите рискуват да нарушат наказания и други национални разпореждания и биха могли по нехайство да финансират народен съперник, подкупен режим, проведена незаконна тайфа, трафикант на хора или терорист.

Плащането не подсигурява хакерите или ще отключи системите, или че няма да се върнат, с цел да изискат повече пари. Наистина, защото бизнесът с ransomware се оказа по-доходоносен, киберпрестъпниците от Русия, Иран и Северна Корея развиха своите тактики, с цел да изтръгнат допустимо най-вече пари от жертвата, споделят специалисти.

Дейвид Хигинс, старши шеф на полевия софтуерен офис за групата за осведомителна сигурност CyberArk, споделя, че данните му демонстрират, че организациите, наранени от ransomware през 2023 година, нормално са плащали най-малко два пъти, което значи, че евентуално са били жертви на по този начин наречените акции за двойно изнудване. Това са офанзиви, при които хакерите освен блокират достъпа до системите на жертвата посредством криптиране на данни, само че и крадат данни, заплашвайки да разкрият сензитивна информация единствено в случай че бъде заплатен откуп.

„ Компаниите би трябвало да имат проект за деяние при изключителни обстановки в случай че тяхното заплащане не нарушава резултатите, които са им били обещани “, поучава Матю Роуч, началник на общността на водачите в киберсигурността i-4 в KPMG UK.

Като се има поради високата цена на множеството претенции за ransomware, организациите, които са платили откупа, евентуално в последна сметка са похарчили повече като цяло от тези, които не са платили откупа

Доклад на IBM

Някои управляващи не разрешават заплащането на откупи – да вземем за пример американските щати Северна Каролина и Флорида категорично не разрешиха на държавните и локалните държавни организации да заплащат на хакери.

Но бизнесът може да имат дребен избор, в случай че желаят да останат на повърхността. „ В реалност договарянията с киберпрестъпниците постоянно са нужни, с цел да се реализиран оптимални резултати “, споделя Weirup. „ Плащането на откупа може да бъде най-бързият метод за възобновяване на данни и обновяване на интервенциите, изключително в случай че откупът е по-малък от разноските. “

Екипът за договаряния би трябвало по едно и също време „ да дефинира главните претекстове на хакерите “ и „ формулират разбор на разноските и изгодите, като дефинират техните други възможности “, споделя тя. Например, жертвите би трябвало да ревизират дали разполагат с аварийни копия на данни или други способи за пускане на сериозни услуги.

Преговарящите би трябвало да се свържат с хакерите по-скоро, в сравнение с по-късно, с цел да предотвратят ескалации, споделят специалисти. „ Те чакат да бъдат пренебрегнати и ще отговорят, като ескалират заканите си, обаждат се на ръководители, насочат закани посредством обществени медии и усилват враждебността, до момента в който не почувстват, че ги слушат “, споделя Роуч.

Но до момента в който хакерите може да употребява времеви напън, с цел да принуди жертвите да платят, тъй че и компаниите могат да забавят процеса - давайки им време да възстановят своите данни или интервенции зад кулисите. „ Компаниите могат да изберат да договарят в опит да наложат забавяния, вместо просто да понижат сумата на откупа или да избегнат заплащането като цяло “, споделя Роуч.

В последна сметка жертвата и договарящите са тези, които би трябвало да дефинират по какъв начин те ще мерят триумфа, споделя Weirup — било то възобновяване на данни, минимизиране на финансови загуби и разстройства или понижаване на вредата за репутацията.

„ Изключително значимо е да се установи ... точка, след която те не са подготвени да продължат договарянията “, споделя тя.