Společnosti s několika možnostmi stále více vyhovují požadavkům na ransomware

Společnosti, které čelí několika málo možnostem, se stále častěji vzdávají kybernetickým zločincům, kteří drží data jako rukojmí a požadují platbu za její návrat, zatímco úředníci činní v trestním řízení se snaží zachytit téměř neviditelné pachatele.

Rizika pro organizace jsou tak závažná, že mnozí jednoduše zaplatí svým útočníkům, aby byli pryč - strategie, která může jen povzbudit podvodníky.

Je to případ asymetrické elektronické války. Ransomware, který šifruje soubory, dokud oběť nezaplatí, aby je odemkla, může být pro organizaci zničující. S výjimkou aktuální zálohy se dá udělat jen málo, kromě placení útočníků za poskytnutí dešifrovacích klíčů.

Méně obvyklé, ale stejně škodlivé jsou vydírací systémy, kde útočníci tvrdí, že ukradli kritická data a hrozí, že je zveřejní, pokud nebudou splněny jejich požadavky. Časové rámce jsou omezené: Hackeři mohou dát společnosti méně než 48 hodin, aby splnili požadavky, a zahájili závod, aby potvrdili, která data byla odcizena, pokud existují.

Náklady na ransomware a vydírání je obtížné vypočítat. Loni v červnu odhadovala FBI, že pouze rodina ransomwaru CryptoWall stála americké organizace za předchozí rok 18 milionů USD. V říjnu dala průmyslová skupina celkové náklady na CryptoWall - který byl poprvé odhalen v polovině roku 2014 - mnohem vyšší, na neuvěřitelných 325 milionů USD.

Náklady na vydírání jsou ještě těžší odhadnout, protože společnosti často nechtějí připustit, že se staly obětí. Společnost Computer Security FireEye říká, že ví o společnostech, které zaplatily více než 1 000 000 USD, aby zabránily uvolnění citlivých dat, i když většina incidentů je vyřešena za méně.

Objem případů je donucující vymáhání práva, uvedl Erin Nealy Cox, bývalý státní zástupce pro kyberkriminalitu a vedoucí oddělení reakce na incidenty ve Strozu Friedbergu, který provádí počítačové forenzní vyšetřování.

FBI a tajná služba „v mnoha případech jsou v pořádku se souhlasem s výplatou výkupného,“ řekla Nealy Coxová, ačkoli zdůraznila, že to není jejich oficiální postavení.

Skupiny provádějící útoky je obtížné najít. Mají zkušenosti s pokrytím svých stop a požadují platby v bitcoinu kryptoměny, což ztěžuje sledování plateb. Hackeři také často sídlí v zemích, které úzce nespolupracují se Spojenými státy v oblasti kybernetické bezpečnosti, takže zatčení je nepravděpodobné..

Odemknutí šifrovaných souborů je často téměř nemožné.

"Je velkou výzvou dešifrovat oběti," řekl Andrew Komarov, CIO společnosti InfoArmor, který shromažďuje zpravodajství o kybernetických hrozbách..

Společnost InfoArmor dosáhla určitého úspěchu v narušení ransomwaru tím, že infiltrovala počítačové sítě používané k jeho ovládání. V jednom příkladu Komarov uvedl, že v síti příkazů a řízení používaných k distribuci ransomwaru zvaného CryptoLocker byla zjištěna chyba zabezpečení.

Snímek obrazovky

Varování, které zobrazuje CryptoLocker, jeden z mnoha programů ransomware.

Tato chyba umožnila vědcům poslat příkaz, který ukázal, že tisíce obětí zaplatily výkupné, což podle zprávy InfoArmor způsobilo dešifrování jejich počítačů..

Ale šťastné konce jsou neobvyklé. Nejuznávanější incidenty s ransomwarem zasáhly lékařský průmysl. Hollywoodské presbyteriánské lékařské centrum v Los Angeles zaplatilo za dešifrování svých souborů 40 bitcoinů - asi 17 000 $. 

Allen Stefanek, prezident a generální ředitel hollywoodského presbyteriána, uvedl, že platba je „v nejlepším zájmu obnovení běžných operací“.

O čtyři týdny později uvedla Metodistická nemocnice v Hendersonu v Kentucky kus ransomwaru známého jako Locky. Podle spisovatele počítačové bezpečnosti Briana Krebse napadl jeho systémy. Nemocnice nezaplatila výkupné, ale podle místních zpráv dokázala obnovit své systémy.

Ransomware a vydírání schémata nabízejí výhody oproti jiným metodám počítačové kriminality. Spíše než ukrást data a potřebovat je najít kupce pro rizikové transakce, které se odehrávají v podzemních fórech, se zranitelná oběť dostane přímo k platbě.

"Začínáme vidět, že protivníci v mnoha regionech začínají uvažovat o datech jako o zbrani," řekl Dmitri Alperovitch, generální ředitel Crowdstrike. "Severokorejci to určitě udělali se Sony."

Společnost Sony Pictures, jejíž útočníci vydali gigabajty citlivých interních dat a zničili počítače, byla vyzvána, aby nevydala film, který byl považován za urážlivý vůči severokorejskému vůdci Kim Jong-unovi. Americká vláda tento útok rychle připsala Severní Koreji.

Výplata výkupného je závěsným návrhem a nikoliv bez jeho oponentů.

Minulý měsíc Roman Hussy, který provozuje bezpečnostní blog, spustil Ransomware Tracker - nástroj, který katalogizuje servery po celém světě, které jsou spojeny s kampaněmi s ransomwarem. Začal sledovat tracker poté, co viděl, jak se mnoho lidí stalo obětí.

„Zlaté pravidlo často provádí zálohování a nikdy neplatí výkupné,“ napsal Hussy. „Placení výkupných bude financovat provoz kybernetického zločinu zločinců a infrastrukturu, kterou používají k páchání dalších podvodů, a také motivuje útočníky, aby pokračovali v provádění jejich útoků.“

Hussyho odporová strategie by nakonec mohla fungovat, ale vyžadovalo by mnoho organizací, aby padly na meče.

Kevin Mandia, hlavní provozní ředitel FireEye a zakladatel Mandiant, uvedl, že výsledek nezaplacení může znamenat velké riziko a rozpaky - pokud například unikne e-mail generálnímu zástupci společnosti.

"Co bys dělal?" Mandia řekla v nedávném rozhovoru. "Alternativy jsou docela špatné."

Zvýšený počet pokusů o ransomware a vydírání je pravděpodobně výsledkem lepšího zabezpečení platebních karet v USA. Údaje o odcizených kartách v USA jsou stále těžší zpeněžit, takže útočníci mají mnohem jednodušší cestu k vytváření peněz.

FireEye viděl některé stejné hackerské nástroje a využití infrastruktury pro státem podporovanou kybernetickou špionáž, která se nyní používá k vydírání, což naznačuje, že zkušení hackeři uvidí zvlněný vlak.

"Konečně, ruský organizovaný zločin a skupiny z Číny si uvědomily, dobře, stále máme hackerské dovednosti, získáváme data karet, které už nemůžeme snadno zpeněžit, takže prostě vydělejte," řekla Mandia.

22. března ministerstvo spravedlnosti odhalilo obvinění proti třem členům Syrské elektronické armády, skupině, která vedla víceletou hackerskou kampaň na podporu prezidenta Bašára al-Assada..

Dva z mužů jsou také obviněni z vydírání 14 amerických a mezinárodních obětí po hackování jejich systémů a hrozí, že způsobí škodu nebo prodají ukradená data. Mezi oběti patřila čínská společnost pro online hraní, poskytovatel webhostingu ve Velké Británii a online mediální společnost.

Všichni říkali, že muži údajně požadovali více než 500 000 dolarů, ačkoli po vyjednávání často snižovali své požadavky, podle trestní stížnosti.

„Něco z toho je jako vyjednávání o rukojmích,“ řekl Crowdstrikeův Alperovitch. "Můžete zahájit dialog se zločincem a zjistit, zda je můžete zastavit a získat si více času."

„Když však jednáte se zloději, nic není spolehlivé,“ řekl.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.