勒索軟件:認真權衡支付決策
譯文根據 Infosecurity Europe 2022 的專家小組的說法,公司需要權衡支付贖金的成本與從勒索軟件攻擊中恢復的成本和挑戰。
支付贖金引發了道德和實際問題。支付是有成本的,無論是直接支付,還是通過公司的網絡保險單支付,可能會導致法律和監管問題。在某些情況下,公司甚至會面臨反洗錢法的制裁或罰款。支付贖金也可能導致名譽受損。
此外,還有恢復數據和系統的時間和成本,以及中斷期間的交易損失。小型企業會發現支付贖金比嘗試從備份中恢復更容易。
“我們都被告知不要付錢給敲詐者和勒索者,如果你這樣做,他們會一次又一次地回來,”Guidehouse 風險合規與安全總監 Barry Coatesworth 說,“一些大型組織可以度過這個難關而不付錢。但中小企業做不到,如果不付錢,他們就會失去生意。”
企業能否恢復在很大程度上取決于其備份的質量,將這些備份存儲在異地以及是否有明確的勒索軟件應對策略或計劃。根據空中客車集團的 CISO Kevin Jones 的說法,組織需要恢復時間目標,以及將其關鍵應用程序恢復到自己的硬件或云的計劃。“那么如何將業務流程與 IT 系統聯系起來,并確定恢復的優先級?” 他問道。
公司還需要優先考慮系統恢復,無論他們是試圖從備份中恢復,還是已經支付了贖金并收到了恢復密鑰。即使使用恢復密鑰,恢復數據也需要時間。“你是先啟用財務系統,還是先啟用業務系統?” Camelot 集團首席信息安全官 David Boda 說。恢復計劃還應涉及利益相關者,包括股東,還可能包括政府。
Coatesworth 說,選擇支付的公司應該通過他們的網絡保險公司或專業的談判人員來協商條款。在某些情況下,執法部門也將處理這種談判。
最重要的是,組織需要對事件保持透明,無論他們是否付費。與客戶、員工和內部員工(例如與供應鏈打交道的客戶經理)的溝通至關重要。企業應迅速采取行動,但不能倉促行事。“最糟糕的是隱藏事件或延遲披露太久,”Coatesworth 說。
進行勒索軟件談判的5種方法
NCC Group 旗下 Fox-TT 的網絡安全分析師 Pepijn Hack 在 Black Hat Europe 2021 的一次會議上,概述了組織在與勒索者進行勒索軟件談判以改善結果時應采取的五種關鍵方法。
保持尊重 —— 雖然 Hack 承認這聽起來很奇怪,因為你的公司被黑客入侵了,但他強調,在與攻擊者溝通時保持禮貌和尊重更有可能帶來更好的結果。“我們看到的一件事是,當受害者對對手生氣或沮喪時,談話就會中斷,那時候想要拿回你的文件就得祝你好運了,”他說,“所以要把這看作是一筆商業交易。” Hack 補充道。
要求更多的時間 —— Hack 警告說,攻擊者會試圖迫使你做出快速決定,這更有可能給受害者帶來不良后果。然而,“幾乎在所有情況下,如果你還在談判,他們都愿意延長時間。” 這可以讓受害者有更多機會評估他們的選擇,例如,如果他們正在等待,看看是否可以獲得被盜數據的備份。
承諾現在支付少量或以后支付更多 —— Hack 再次強調,網絡攻擊者就像所有人一樣,“不擅長延遲滿足感”。此外,對手可能希望盡快結束談判。因此,受害者在談判中應嘗試利用這種心態。例如,如果他們決定除了支付別無選擇,受害者可以明確表示他們現在可以支付更低的價格,而更高的支付將會延遲。
說服對手你無法達到贖金金額 —— Hack 舉了一個他在研究中分析的談判示例,其中受害者表示他們可以支付的最高金額為 500,000 美元(來自 1300 萬美元的要求)。最后,這就是他們最終支付的所有費用,這是一個低得多的成本。這種方法甚至適用于大公司,Hack 透露,一家財富 500 強公司收到了解密密鑰,盡管支付的金額遠低于最初要求的金額。
不要告訴任何人你有網絡保險 —— “如果對手發現你有網絡保險,你的談判就會變得更加困難。”Hack 說。他展示了來自攻擊者的通信內容,他們表示他們知道受害者可以支付大量費用,因為他們有網絡保險。由于這些信息通常可以從被盜文件中獲取,Hack 建議:“對你擁有網絡保險的事實保密,讓文件遠離你的網絡。你甚至可能想與你的保險公司達成協議,讓他們也為此保密。”
最后,Hack 重申,公司在勒索軟件談判中將永遠處于不利地位。盡管如此,仍然可以采取一些方法來減輕攻擊所帶來的損失。這取決于你在談判期間的目標是什么,你是想在提供備份的同時拖延時間,還是已經決定支付贖金,你可以選擇不同的策略。
Hack 補充道,為組織提供這些建議至關重要,因為令人遺憾的是,“勒索軟件是不會消失的,因為它是一門非常有價值的生意”。
原文標題:Ransomware: Payment Decisions Finely Balanced
作者:Stephen Pritchard
原文鏈接:https://www.infosecurity-magazine.com/news/ransomware-payment-decisions/
