As organizações que são vítimas de um ataque de ransomware não devem permitir que os criminosos cibernéticos saibam que têm seguro cibernético – porque se os invasores souberem que a vítima tem uma apólice de seguro, é mais provável que exijam o pagamento total do resgate.
Pesquisadores de segurança cibernética da Fox-IT, parte do NCC Group, examinou mais de 700 negociações entre atacantes de ransomware e vítimas de ransomware para analisar a economia por trás dos ataques de extorsão digital que exigem um pagamento de resgate – geralmente milhões de dólares em Bitcoin – em troca da chave de descriptografia.
Eles descobriram que, se a vítima tiver seguro cibernético e o invasor souber disso, haverá pouca manobra para negociar um pagamento de resgate menor, porque os invasores explorarão a existência do seguro cibernético para cobrir o pagamento que estão exigindo.
VEJO: Uma estratégia vencedora para a segurança cibernética (Relatório especial ZDNet)
“Olha, nós sabemos sobre o seu seguro cibernético. Vamos economizar muito tempo juntos? Agora você vai oferecer a 3M e nós concordaremos. Quero que você entenda, não vamos lhe dar um desconto abaixo do valor do seu seguro. Nunca . Se você quiser resolver essa situação agora, esta é uma chance real “, disse uma mensagem de bate-papo de uma gangue de ransomware não especificada, de acordo com a pesquisa.
Nesse caso, o invasor definiu a taxa com conhecimento do plano de ciberseguro, deixando a vítima sem qualquer plataforma real para tentar negociar um pagamento de resgate menor.
Outra nota de um operador de ransomware não especificado parece mostrar que os criminosos cibernéticos definiram um pedido de resgate significativo porque sabem sobre a apólice de seguro cibernético da vítima – aparentemente depois que a vítima alegou que não tinha dinheiro para pagar.
“Sim, podemos provar que você pode pagar a 3M. Entre em contato com sua seguradora, você pagou a eles no início do ano e esse é o problema deles. Você tem proteção contra extorsão cibernética. Sei que agora você está com problemas de lucro. Nunca pediríamos esse valor se você não tivesse seguro “, disse o atacante.
Uma empresa ainda pode alegar que a seguradora não pagaria pelo pedido de resgate, mas é improvável que seja aceita como verdade pelo invasor.
Embora os pesquisadores sugiram que contar ao atacante de ransomware sobre uma apólice de seguro cibernético não seja uma boa jogada para as negociações, há também a possibilidade de que o invasor possa descobrir sobre qualquer seguro cibernético que a própria empresa tenha, uma vez que estiver dentro da rede antes do ataque de ransomware.
“De preferência, também não salve nenhum documento relacionado a ele em nenhum servidor acessível”, alertam os pesquisadores.
O seguro cibernético se tornou uma forma de as vítimas lidarem com os danos de um ataque de ransomware, mas, como mostra a pesquisa da Fox-IT, conhecê-lo pode colocar os criminosos em uma posição ainda mais poderosa para exigir o pagamento – especialmente se o segurado não o fizer ter boa segurança cibernética em primeiro lugar.
Uma resposta poderia ser que as organizações que desejam assinar uma apólice de seguro cibernético devem atender a certos requisitos em torno da segurança cibernética antes que o provedor possa concordar em emiti-la.
“É um debate realmente difícil, no qual acho que definitivamente existem algumas vantagens em ter seguro cibernético, mas apenas se houver certos limites para uma empresa obtê-lo”, disse Pepijn Hack, analista de segurança cibernética da Fox-IT.
“Esses limites podem ser um incentivo para obter um melhor controle sobre a sua consciência de cibersegurança e sobre o que é a segurança cibernética de toda a sua organização agora”, disse ele.
No entanto, esse caminho também pode ser problemático porque, se as empresas forem vítimas de um ataque cibernético e não tiverem seguro cibernético, ele poderá ser extremamente prejudicial.
“Algumas empresas de serviços de ciberseguro descobriram que as pessoas são muito hackeadas, então ficou muito caro e agora estão parando para oferecer ciberseguro, o que também não acho que seja a solução certa. “disse Hack.
“Tem que ser algum tipo de meio-termo – e acho que chegaremos lá eventualmente”, disse ele.
Embora pagar um resgate a cibercriminosos geralmente não seja recomendado porque incentiva novos ataques, depois de analisar centenas de negociações, os pesquisadores da Fox-IT ofereceram algumas sugestões sobre o que fazer se sua empresa for atingida por ransomware.
Essa abordagem começa com a preparação dos funcionários sobre como reagir a um ataque de ransomware e, principalmente, sem clicar em links em quaisquer notas de resgate, para não iniciar negociações prematuramente, definindo a contagem regressiva dos hackers em execução.
“A primeira coisa que qualquer empresa deve ensinar a seus funcionários é a não abrir a nota de resgate e clicar no link dentro dela … o cronômetro começa a contar quando você clica no link. Você pode se dar um tempo valioso se não fizer isso . Use este tempo para avaliar o impacto da infecção de ransomware “, disseram os pesquisadores.
Desta vez, a equipe de resposta tem a chance de examinar qual infraestrutura foi atingida e que impacto teve nas operações, permitindo que a vítima retome algum grau de controle sobre a situação.
Antes de iniciar as negociações, também é útil saber qual é o seu objetivo final – a organização pode restaurar a partir de backups ou um resgate terá de ser pago? Se a vítima estiver disposta a pagar um resgate, ela deve ter uma ideia de qual seria o máximo que pagaria.
VEJA: Dark web vigaristas agora estão ministrando cursos sobre como criar botnets
A pesquisa sobre o invasor também pode ajudar a preparar as vítimas para negociações. É possível que uma ferramenta de descriptografia gratuita para esse tipo específico de ransomware esteja disponível, evitando a necessidade de pagar um resgate.
Examinar artigos de pesquisa e relatórios da mídia sobre o grupo de ransomware também pode fornecer informações sobre o quão confiáveis eles são no fornecimento de uma chave de descriptografia e se eles se envolverão em outras táticas para tentar forçar um pagamento, como ataques DDoS, ligando para seus clientes ou roubo e vazamento de dados.
Quando se trata de realmente se envolver nas negociações, os pesquisadores afirmam que é importante ser respeitoso e profissional – é compreensível que as vítimas fiquem com raiva, mas antagonizar o invasor dificilmente ajudará na estratégia de negociação. Enquanto isso, ser educado pode ajudar – em um exemplo detalhado na postagem do blog, a vítima negociou um resgate de US $ 4 milhões para US $ 1,5 milhão.
Muitos ataques de ransomware tentam pressionar as vítimas a pagar dentro de um determinado período, geralmente com a ameaça de vazamento de dados caso não o façam. No entanto, os pesquisadores sugerem que os invasores quase sempre estão dispostos a negociar uma janela estendida – afinal, eles querem o dinheiro, eles dedicaram um tempo para infectar os sistemas, então provavelmente estarão dispostos a esperar um pouco mais.
Também existe a opção de tentar convencer o invasor de que você não pode pagar o resgate, mas se o invasor tiver acesso à rede, ele poderá ver documentos financeiros ou apólices de seguro cibernético – e provavelmente ter um valor em mente com base nesse documento que será a base para as negociações.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
source – www.zdnet.com