Pesquisadores de cibersegurança analisaram 700 negociações de ransomware entre vítimas e bandidos. Aqui está o que eles encontraram.
Artigo escrito por Danny Palmer
As organizações que são vítimas de um ataque de ransomware não devem deixar os criminosos cibernéticos saberem que têm seguro cibernético – porque se os atacantes souberem que sua vítima possui uma apólice de seguro, é mais provável que exijam
totalmente o pagamento do resgate.
Pesquisadores de segurança cibernética da Fox-IT, parte do NCC Group, examinaram mais
de 700 negociações entre atacantes de ransomware e vítimas de ransomware, a fim de
analisar a economia por trás dos ataques de extorsão digital que exigem um pagamento de resgate – muitas vezes milhões de dólares em Bitcoin – em troca da chave de descriptografia.
Eles descobriram que se a vítima tem seguro cibernético e que o atacante sabe sobre isso, então há pouca manobra para negociar um pagamento de resgate menor, porque os atacantes vão explorar a existência do seguro cibernético para cobrir o pagamento que eles estão exigindo.
"Olha, nós sabemos sobre o seu seguro cibernético. Vamos economizar muito tempo juntos? Agora você oferecerá 3 Milhões, e nós concordaremos. Quero que entenda, não lhe daremos um desconto abaixo do valor do seu seguro. Nunca. Se você quiser resolver essa situação agora, esta é uma chance real", disse uma mensagem de bate-papo de uma gangue de ransomware não especificada, de acordo com a pesquisa.
Neste caso, o invasor definiu a taxa no conhecimento do plano de seguro cibernético, deixando a vítima sem plataforma real para tentar negociar um pagamento de resgate menor.
Outra nota de um operador de ransomware não especificado parece mostrar que os criminosos cibernéticos estabeleceram um pedido significativo de resgate porque sabem sobre a apólice de seguro cibernético da vítima – aparentemente depois que a vítima alegou que não podia pagar.
"Sim, podemos provar que você pode pagar 3 Milhões. Você tem proteção contra extorsão cibernética. Eu sei que agora você está com problemas de lucro. Nunca pediríamos tal quantia se você não tivesse seguro", disse o atacante.
Uma empresa ainda pode alegar que a companhia de seguros não pagaria pelo pedido de resgate, mas é improvável que seja aceita como a verdade pelo criminoso.
Embora os pesquisadores sugiram que contar ao invasor de ransomware sobre uma apólice de seguro cibernético não é uma boa jogada para negociações, há também a possibilidade de que o invasor possa descobrir sobre qualquer seguro cibernético que a empresa tenha quando estiver dentro da rede antes do ataque de ransomware.
"De preferência também não salve nenhum documento relacionado a ele em nenhum servidor acessível", alertam os pesquisadores.
O seguro cibernético tornou-se uma maneira de as vítimas lidarem com os danos de um ataque de ransomware, mas, como mostra a pesquisa da Fox-IT, o conhecimento dele pode colocar os criminosos em uma posição ainda mais poderosa para exigir pagamento – especialmente se o titular do seguro não tiver boa segurança cibernética em primeiro lugar.
Uma resposta pode ser que as organizações que querem fazer uma apólice de seguro cibernético sejam obrigadas a atender a certos requisitos em torno da segurança cibernética antes que o provedor possa concordar em emiti-la.
"É um debate realmente difícil no qual eu acho que definitivamente há algumas vantagens em ter seguro cibernético, mas apenas se houver certos limites para uma empresa obtê-lo", disse Pepijn Hack, analista de segurança cibernética da Fox-IT, à ZDNet.
No entanto, esse caminho também pode ser problemático, porque se as empresas forem vítimas de um ataque cibernético, e não tiverem seguro cibernético, então pode ser extremamente prejudicial.
"Algumas empresas de serviços de seguro cibernético descobriram que as pessoas são muito hackeadas, então ficou muito caro e agora eles estão apenas parando de dar qualquer seguro cibernético, o que eu também não acho que seja a solução certa", disse Hack.
"Tem que ser algum tipo de meio termo – e acho que chegaremos lá eventualmente", disse ele.
Embora pagar um resgate a criminosos cibernéticos geralmente não seja recomendado porque incentiva novos ataques, depois de analisar centenas de negociações, os pesquisadores da Fox-IT ofereceram algumas sugestões sobre o que fazer se sua empresa for atingida por ransomware.
Essa abordagem começa com a preparação dos funcionários sobre como reagir a um ataque de ransomware e, crucialmente, não clicar em links em nenhuma nota de resgate, de modo a não iniciar prematuramente as negociações, definindo a contagem regressiva dos hackers em execução.
"A primeira coisa que qualquer empresa deve ensinar aos seus funcionários é não abrir a nota de resgate e clicar no link dentro dela... o temporizador começa a contar quando você clica no link. Você pode dar a si mesmo algum tempo valioso não fazendo isso. Use esse tempo para avaliar o impacto da infecção por ransomware", disseram os pesquisadores.
Desta vez, a equipe de resposta tem a chance de examinar qual infraestrutura foi atingida e o impacto que ela teve nas operações, permitindo que a vítima retome algum grau de controle sobre a situação.
Antes de iniciar as negociações, também é útil saber qual é o seu objetivo final – a organização pode restaurar de backups ou um resgate terá que ser pago? Se a vítima está disposta a pagar um resgate, eles devem ter uma ideia sobre o máximo que pagariam.
Danny Palmer. “Hit by ransomware? Make sure you don't make this fistr obvius mistake”
Nov 24, 2021.
Kommentare