Gangi ransomware stają się coraz bezczelniejsze. Ale tym z nich, które mówią „zniszczymy twoje dane, jeśli weźmiesz negocjatora” i tak nie da się właściwie legalnie zapłacić – przynajmniej jeśli ofiara musi przestrzegać amerykańskiego prawa.

Włamują się, kradną, szyfruja, usuwają a teraz jeszcze grożą swoim ofiarom

Pamiętacie jak niedawno pisaliśmy o tym, że dobrym pomysłem na wypadek ataku ransomware jest wynajęcie negocjatora, który będzie rozmawiał z atakującymi w imieniu firmy i próbował negocjować warunki okupu? No to sytuacja jest tak dynamiczna, że chyba trzeba się teraz nad tym zastanowić.

Kilka gangów ransomware zagroziło właśnie, że zacznie usuwać pliki, jeśli firmy, które są celem ataku, wezwą profesjonalnych negocjatorów, którzy pomogą firmom obniżyć ceny narzędzi deszyfrujących. Taką grupą jest na przykład Grief Corp, które wprost ostrzega swoje ofiary natychmiastowym zniszczeniem danych, jeśli podejrzewa, że jego cel zaangażował mediatora. W oświadczeniu zamieszczonym na swoim blogu hostowanym przez Tor, Grief Corp oświadczyło:

Chcemy zagrać w grę. Jeśli zobaczymy profesjonalnego negocjatora z Recovery Company - po prostu zniszczymy dane.

Wiadomość pojawiła się niedługo po tym, gdy konkurencyjny gang ransomware nazywający siebie RagnarLocker, też zapowiedział, że zrobi coś podobnego.

Sankcje przeszkadzają w zapłacie okupu

Ransomware to dobrze zorganizowana operacja wymuszania okupu. Po umieszczeniu w atakowanej sieci oprogramowania, które szyfruje wszystkie pliki, przestępcy stojący za ransomware żądają sporej zapłaty w kryptowalucie w celu dostarczenia narzędzia deszyfrującego - i zapobieżenia opublikowaniu w sieci wrażliwych danych firmowych lub osobistych.

Analityk zagrożeń Brett Callow z firmy Emsisoft, który został zacytowany przez RagnarLocker w ich wpisie na blogu żądającym, aby firmy przestały zatrudniać ekspertów od negocjacji ransomware, twierdzi, ze fakt, że gangi nie chcą, aby ich ofiary angażowały do pomocy negocjatorów lub organów ścigania jest jasną wskazówką, że jest to właśnie dokładnie to, co ofiary powinny zrobić. Wezwanie pomocy pomaga organizacjom wyjść z incydentów z mniejszymi stratami. Callow ma też do dodania coś w kwestii samego Grief Corp:

Ta ekipa jest objęta amerykańskimi sankcjami finansowymi, po tym jak wcześniej zmieniła nazwę ze swojej - uznawanej przez amerykański Urząd Kontroli Aktywów Zagranicznych - nazwy DoppelPaymer. Sankcje zostały nałożone na „firmę” macierzystą DoppelPaymer, Evil Corp, jeszcze w grudniu 2019 roku. Firmy powiązane z Ameryką nie mogą zatem zapłacić okupu tym oszustom bez narażania się na dalsze ryzyko ze strony organów regulacyjnych.

Nie karmić trolla

Negocjator ds. ransomware Nick Shah uważa, że umiejętności negocjacyjne większości gangów ransomware są dość słabe. Negocjacje są zazwyczaj prowadzone poprzez coś, co Shah nazwał help deskiem z piekła rodem – jest to ich odpowiednik pierwszej linii wsparcia klienta. Wiele z gangów ransomware atakujących obecnie ma swoje siedziby w krajach byłego Związku Radzieckiego, których rządy przymykają oko na ich działalność.

Płacenie przestępcom ransomware jedynie napędza ich działalność i zachęca do ponownego atakowania. Niepłacenie pomaga zniszczyć ich model biznesowy. Unia Europejska w porównaniu do Stanów Zjednoczonych ma pewne braki, jeśli chodzi o sankcje finansowe wobec zidentyfikowanych przestępców ransomware, chociaż w zeszłym roku także i ona rozpoczęła pewne działania w tym zakresie.