A ransomware támadás célpontjává váló szervezeteknek semmiképpen sem szabad a kiberbûnözők tudomására hozniuk, hogy rendelkeznek kiberbiztosítással, mert ebben az esetben azok nagyobb eséllyel követelhetik a teljes váltságdíj kifizetését – derül ki az NCC Grouphoz tartozó Fox-IT kiberbiztonsági kutatóinak vizsgálatából. Ebben több mint 700 tárgyalást vizsgáltak meg a zsarolóprogramokkal operáló támadók és azok áldozatai között, hogy elemezzék az ilyen incidensek mögött meghúzódó gazdasági tényezőket.

A támadások során a bűnözők váltságdíjat – gyakran több millió dollár értékű kriptovalutát – követelnek a titkosítást feloldó kulcsokért. Azt a kutatás nélkül is könnyű belátni, hogy ha a támadók is tudnak az áldozatok kiberbiztosításáról, akkor az utóbbiaknak nagyon beszűkül a mozgásterük a díj csökkentéséről szóló tárgyalás során. A ransomware-bandák ugyanis a biztosítási összeg alatt nemigen adnak kedvezményt, legfeljebb a helyzet gyors megoldásához járulnak hozzá a pénz felmarkolásával.

A kutatást szemléző ZDNet cikkében olyan üzenetváltásokat is bemutatnak, amelyekben a bűnözők a fizetésképtelenségre hivatkozó célpontok orra alá dörgölik a saját kiberbiztosítási kötvényét, sőt azt is, hogy soha nem kértek volna tőle ennyit, ha nem tudnának a biztosításról. Az áldozatok persze arra hivatkoznak, hogy a biztosítójuk erre a követelésre nem fog fizetni, de a támadókat a jelek szerint ez nem szokta meghatni, és ragaszkodnak a teljes váltságdíj átutalásához.

Kétélű fegyver lehet a biztosítás

A kutatók szerint tehát butaság a bűnözőket önként tájékoztatni a kiberbiztosításról, de a tapasztalatok alapján annak is fennáll a lehetősége, hogy azok a támadást megelőzően maguk is tájékozódni próbálnak annak meglétéről a hálózaton belül. Éppen ezért rossz ötlet a biztosításhoz kapcsolódó dokumentumokat olyan szervereken tárolni, amelyekhez a bűnözők valamilyen módon hozzáférhetnek, és ezen keresztül pontosan képbe kerülhetnek, hogy mennyit remélhetnek az áldozatuktól.

A Fox-IT kutatása külön is kiemeli, hogy jóllehet a kiberbiztosítás a ransomware-támadások által okozott károk népszerű kezelési módja lett, akár kontraproduktív is lehet, ha a biztosítás tulajdonosa ezzel párhuzamosan nem rendelkezik megfelelő kiberbiztonsági készségekkel. Erre egyre többek szerint az lenne az egyik lehetséges válasz, ha az ügyfeleknek már a szerződéskötéskor meg kellene felelniük bizonyos biztonsági követelményeknek, nagyobb tudatosságra ösztönözve a kiberbiztosítást kereső szervezeteket is.

A dolog azonban nem ennyire egyszerű, mert a zsarolóprogramok különösen nagy pusztítást végezhetnek azokon a helyeken, ahol éppen egy ilyen követelményrendszer miatt nem kötnek kiberbiztosítást. Maguk a szolgáltatók pedig időnként el is hagyják ezt a tevékenségüket, ahogy a támadások szaporodásával egyre drágább dolog lesz a kiberbiztosítás, így a Fox-IT szerint mindenképpen valamilyen középutas megoldást kell kidolgozni, ami egyébként a kutatók szerint már magától is kialakulóban van a piacon.

Fel kell készülni a tárgyalásokra

Bár a váltságdíjak kifizetését hivatalosan senki sem ajánlja, elsősorban azért, mert ez további támadásokra ösztönzi a bűnözőket, a tárgyalások elemzésével a kutatók arra is javaslatokat tettek, hogy mi a jó politika ezekben az esetekben. Szerintük nagyon fontos, hogy az alkalmazottakat felkésztsék a ransomware incidensek lehetőségére, akik így nem kattintgatnak majd bele például a zsarolóprogrammal összefüggő üzenetekbe, és nem indítják be idő előtt a hackerek visszaszámlálóját, korlátozva a céges biztonsági csapat lehetőségeit, hogy valamelyest az ellenőrzése alá vonja a szituációt.

A tárgyalások megkezdése előtt azt sem árt tisztázni, hogy voltaképpen mi is a tárgyalások célja: van-e mód a biztonsági másolatokból való visszaállításra, vagy mindenképpen ki kell fizetni valamekkora váltságdíjat. Ez utóbbi összegéről is érdemes rendelkezni valamilyen elképzeléssel, sőt a támadóknak is utána lehet járni, hogy mennyire szavahihetők, milyen más eszközöket hajlandók bevetni, vagy esetleg már ingyenesen is elérhető valahol a megfelelő visszafejtő eszköz az adott ransomware-változthoz.

A kutatók szerint a tapasztalat azt mutatja, hogy a bűnözőkkel való megbeszéléseket semmiképpen sem érdemes indulatból kezelni, míg a profi és udvarias stílus esetenként akár a váltságdíj kétharmad részének elengedéséhez is hozzájárult. Ma már nem ritka, hogy a támadók azzal próbálják meg gyors fizetésre kényszeríteni az áldozatokat, hogy valamilyen határidővel az adataik kiszivárogtatását ígérik. A kutatók szerint azonban szinte kivétel nélkül hajlandóak tárgyalni ennek meghosszabbításáról, mivel végső soron az egészet a pénz miatt csinálják, és arról ők sem szívesen mondanának le.

Tovább a részletekhez az NCC Group oldalára »