Profesyonel bir fidye yazılımı müzakerecisi ile röportaj • The Register


Röportaj yapmak Fidye yazılımı arabulucusu olmanın ilk kuralı, fidye yazılımı arabulucusu olduğunuzu kabul etmemenizdir – en azından LockBit veya başka bir siber suç çetesi için değil.

Profesyonel bir fidye yazılımı müzakerecisi ve siber güvenlik firması GuidePoint Security’nin başlıca tehdit analisti Drew Schmitt, bunun yerine, bu müzakerecilerin kendilerini sadece şirket temsilcileri olarak tanımladıklarını söyledi.

Schmitt, “En büyük sebep, çoğu fidye yazılımı grubunun özellikle ve açıkça şunu söylemesidir: ‘Bir müzakereciyle çalışmak istemiyoruz. Masaya bir müzakereci getirirseniz, yine de eşyalarınızı göndeririz'” Schmitt söylenmiş Kayıt. Bu nedenle, düzenli bir çalışan gibi görünme ihtiyacı.

Fidye yazılım, elbette, bir ağa bağlandıktan sonra bulabildiği tüm değerli dosyaları karıştıran ve bilgilerin şifresini çözmek ve geri yüklemek için bir ödeme talep eden kötü amaçlı yazılımdır. Son zamanlarda, çeteler, talep ödenmezse sızdırabilmeleri veya satabilmeleri için şifrelemeden önce verilerin kopyalarını da çalarlar. Bazen dosyaları sifonlarlar ve onları şifrelemekle uğraşmazlar. Bazen dolandırıcılar, çalınan dosyaları kurbanın müşterilerini veya kullanıcılarını taciz etmek veya istismar etmek için kullanır. Gaspçıların bilgisayarlarınıza girdikten ve verilerinize sahip olduklarında yapabilecekleri ve talep edebilecekleri her türlü şey vardır.

Schmitt, ayda bir veya iki fidye için pazarlık ettiğini ve kurban organizasyonlarının çok küçük işletmelerden büyük işletmelere kadar tüm sektörleri kapsayan bir çeşitlilik gösterdiğini söyledi. Şirketinin en son gasp yazılımı raporu için yapılan araştırmaya göre, imalat, teknoloji, inşaat, hükümet ve sağlık sektörü bu yılın ikinci çeyreğinde en çok etkilenenler oldu.

Ayrıca 25 milyon dolarlık ilk talepler gördüm … her yerdeler

Bir keresinde sadece 2.000 dolar isteyen “daha az karmaşık bir gruptan” fidye talebi gördüğünü söyledi. “Ama aynı zamanda 25 milyon dolarlık ilk talepleri de gördüm” diye ekledi. “Yani her yerdeler.”

Schmitt, iki kez sıfır dolara kadar fidye pazarlığı yaptığını söyledi. “Her ikisi de farklı sağlık hizmetlerinde, masaya gittiğimizde ‘Hey, biz bir sağlık kuruluşuyuz. Hayat kurtarmakla sorumluyuz’ dediğimizde, temelde ‘Üzgünüz. sana ücretsiz bir şifre çözücü verecek.'”

Tabii ki, bunlar aykırı değerler ve aşağıdakiler gibi bazı gruplar kovan Hayatlar ve son derece hassas kişisel veriler tehlikede olduğundan, diğer faktörlerin yanı sıra hastanelerin tüm karmaşayı ortadan kaldırmak için ödeme yapma olasılığının daha yüksek olduğu varsayımıyla özellikle sağlık sektörünü hedef alıyor.

Aslında, bir bildiri Sophos’tan bu yılın başlarında, ankete katılan sağlık kuruluşlarının yüzde 66’sının 2021’de fidye yazılımı tarafından vurulduğunu belirtti – bir önceki yıla göre yüzde 34’ten yüzde 94’lük bir artışı temsil ediyor.

Fidye yazılımı olarak ve saf gasp Kötü niyetli kişiler için sağlam bir gelir kaynağı haline geldikçe, fidye yazılımı çetesi ile kurban arasında aracı olarak hareket eden siber sigorta ve fidye yazılımı müzakerecileri gibi şeylere olan talepte doğal olarak bir artış oldu. Bazen suçlularla aranıza, kripto para ödemesini gerçekleştirebilecek, talebi azaltabilecek veya şifre çözücüyü şantajcılardan alabilecek birini vb. koymak isteyebilirsiniz.

Göre Araştırma Palo Alto Networks’ün olay müdahale ekibi tarafından Mart ayında yayınlanan rapora göre, 2021’de farkında olduğu saldırılar için ortalama fidye talebi, önceki yıla göre yüzde 144 artışla 2.2 milyon dolardı. Bu arada, geçen yıl ortalama ödeme, 2020’ye göre yüzde 78 artarak 541.010 dolara yükseldi.

E-posta fidye notlarından Tor sızıntı sitelerine

Schmitt, yaklaşık altı yıl önce olay müdahalesi (IR) ve tehdit istihbaratı üzerinde çalışmaya başladı ve 2019’da fidye yazılımı müzakerelerine “girdiğini” söyledi.

“Olay müdahalesinde çalışmanın doğal bir ilerlemesiydi” dedi. Fidye yazılımı enfeksiyonları daha yaygın hale geldikçe, Schmitt IR merdivenini yükseltmeye ve soruşturma ve yanıt sürecinde çeşitli roller üstlenmeye başladı. “Ve bunlardan biri, bir tehdit aktörüyle müzakere oldu.”

Gün içinde, 2019 dolaylarında, bu müzakereler e-posta yoluyla gerçekleşti. Ancak o zamandan beri, fidye yazılımı çeteleri, anlaşmaları bulmak için kurbanlarla anında mesajlaşmayı, kötü amaçlı yazılımın yayılmasına yardımcı olacak bağlı kuruluşları ve teknik olmayan görevleri olan çalışanları içerecek şekilde iş operasyonlarını olgunlaştırdı ve geliştirdi. Conti sızıntıları bu senenin başlarında.

Bu günlerde, çoğu suç grubunun faaliyet gösterdikleri kendi web siteleri var ve bazılarının PR ve pazarlama departmanları yanı sıra kurum içi yardım masaları.

Schmitt, e-postayla dalga geçmek yerine, kurbanı gaspçıların Tor-gizli web sitesine yönlendiren “bu genellikle sadece bir URL” ve kurban ile dolandırıcı arasındaki iletişim Tor tarayıcısında görüntülenen bir sohbet kutusunda gerçekleşir, dedi. Bu, Schmitt’in genellikle olay müdahalesine ve bazen de fidye yazılımı müzakerelerine yardımcı olması için çağrıldığı noktadır.

Müzakere sürecinin kendisi, tüm kilit iş birimlerini masaya getirmeyi içerir: Üst düzey yöneticiler, siber güvenlik analistleri, avukatlar, İK ve PR temsilcileri.

Schmitt, “Teknik yanıta ek olarak idari yanıtta yer alacak tüm kritik ekipler” dedi. “Bu oyuncuların tümü, müzakere stratejisinin nasıl göründüğünü belirlemek için dahil olacak.”

Suçlularla pazarlık etmeli misiniz?

Ancak cevaplamaları gereken ilk soru, suçlularla pazarlık yapıp yapmayacakları.

ABD federal kurumları, kuruluşların fidye taleplerini ödememesi gerektiğini söylüyor [PDF]ve bazı özel güvenlik firmaları, bunun işletmeleri sonraki fidye yazılımı saldırıları. Ne olursa olsun, cevaplaması basit bir soru değil ve bize, müzakere edip etmeme kararının iki yönlü olduğu söylendi.

Bir fidye yazılımı sızıntı sitesine maruz kalırsak bu durum markamızı nasıl etkiler?

Schmitt, “Kişi buna tamamen teknik bir perspektiften bakıyor” dedi. Bu, şirketin fidye yazılımı tarafından karıştırılan yedeklerden verileri geri yükleme, dosyaların şifresini ücretsiz bir araçla çözme veya başka bir şekilde fidye ödemeden BT ortamını tekrar çevrimiçi duruma getirme kapasitesine sahip olup olmadığını belirlemeyi içerir.

“Ve sonra diğer taraf yasal olarak dayanıyor” dedi. “Burası şu soruları yanıtlamaya başladığınız yer: Bir fidye yazılımı sızıntı sitesine maruz kalırsak bu markamızı nasıl etkiler? Fidye yazılımı sızıntısı sitesinde belirli türde veriler açığa çıkarsa bu, uyumluluğu potansiyel olarak nasıl etkiler? ? Bununla ilişkili riskler nelerdir ve seçeneklerimiz nelerdir?”

Schmitt’in genellikle tartışmada gündeme gelmediğini söylediği bir düşünce – suç çetesi ABD Hazinesi veya benzer bir organ tarafından onaylanmadıkça, ki bu durumda onlara fidye ödemek yasa dışıdır – fidye ödemenin etiğidir. bu da fidye yazılımı kampanyalarını destekleyen veya düzenleyen ek yasadışı faaliyetleri ve potansiyel olarak baskıcı rejimleri finanse eder.

“Tamamen dürüst olmam gerekirse, fonların gerçeğin peşinden nereye gittiğine dair pek fazla tartışma yok” diye itiraf etti.

Kilit Biti Schmitt, son iki yılda en üretken çete olmaya devam ettiğini belirterek, Conti’nin bu grup başka çeteler oluşturmak üzere dağılmadan önce diğer müzakerecileri meşgul ettiğini de sözlerine ekledi.

Ve bu suç örgütlerinin her birinin müzakere sürecinde bilinmesi ve kullanılması yararlı olabilecek kendi tuhaflıkları, geçmişleri ve yöntemleri vardır.

“Çeşitli tehdit gruplarından edindiğimiz tüm etkileşimlerin ayrıntılı notlarını tutuyoruz ve sonra bunu kendi avantajımıza kullanıyoruz – bu teknik bu teknikten daha iyi çalışabilir veya bu grubun pazarlık yaptığı biliniyor veya bunu zorlayamazsınız. grup, sıkılmadan ve devam etmeden çok önce,” dedi Schmitt. “Hepsinin yanlış düğmelere basmadığımızdan emin olmak ve fidyeyi mümkün olduğunca azaltmak için bize en yüksek başarı şansını vermek için kullandığımız özellikleri var.”

Ancak, suçlular genellikle ödevlerini de yapmışlardır. Örneğin: bir mağdur kuruluşun siber sigorta poliçesini araştırmak.

Schmitt, “Oldukça sık, bunu bir müzakere taktiği olarak göreceğiz.” Dedi. “‘Sigorta poliçenizi bulduk, 10 milyon dolarlık teminatınız olduğunu biliyoruz, bu yüzden başlıyoruz.'”

İlk talebin ödenmesi çok sık olmaz. Her zaman biraz pazarlık ve tartışma vardır. Şirketler ayrıca, sorunu çözmek için ne tür bir bütçeye sahip olmaları gerektiğini belirlerken kurtarma maliyetlerini ve güvenlik ihlaliyle ilgili diğer masrafları hesaba katmak zorundalar, dedi.

Tıpkı bir araba satın almak gibi

Schmitt, ilk taleplere atıfta bulunarak, “Ama başladığımız yer burası,” dedi. “Ve gerçekten oradan, diğer birçok iş uygulamasında veya bir araba satın almaya çalışırken göreceğiniz geleneksel ileri geri müzakere sürecidir.”

Yani, özel bilgilerinizi herkesin görmesi için bir web sitesine sızdırmakla tehdit ederken, araba satıcısıyla günlerce bir odada kilitli kalırsanız ve siz de alırsanız, talep fiyatını ne zaman yükseltmeye karar verebilirler? bir anlaşmaya varmak için uzun.

Schmitt, yüksek kaygılı bir iş olduğunu kabul etti. “Bahisler gerçekten yüksek” dedi. “Genel olarak olay müdahalesi ve özellikle fidye yazılımı ile bu gerçekten yüksek stres.

“Birlikte çalıştığınız müşterilerin çoğu için bu, kariyerlerindeki en kötü nokta ve olabilecekleri en kötü nokta olabilir ve siz onların bu durumdan kurtulmalarına yardım etmeye çalışmak gibi bir duruma itiliyorsunuz. kariyerlerinin en kötü zamanları.” ®


Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/08/06/interview_ransomware_negotiator/

Yorum yapın