TeamQuest Blog

Wynajmiesz negocjatora to skasują Ci pliki

Wynajmiesz negocjatora to skasują Ci pliki

Marcin Sarna , 17.09.2021 r.

Gangi ransomware stają się coraz bezczelniejsze. Ale tym z nich, które mówią „zniszczymy twoje dane, jeśli weźmiesz negocjatora” i tak nie da się właściwie legalnie zapłacić – przynajmniej jeśli ofiara musi przestrzegać amerykańskiego prawa.

Włamują się, kradną, szyfruja, usuwają a teraz jeszcze grożą swoim ofiarom

Pamiętacie jak niedawno pisaliśmy o tym, że dobrym pomysłem na wypadek ataku ransomware jest wynajęcie negocjatora, który będzie rozmawiał z atakującymi w imieniu firmy i próbował negocjować warunki okupu? No to sytuacja jest tak dynamiczna, że chyba trzeba się teraz nad tym zastanowić.

Kilka gangów ransomware zagroziło właśnie, że zacznie usuwać pliki, jeśli firmy, które są celem ataku, wezwą profesjonalnych negocjatorów, którzy pomogą firmom obniżyć ceny narzędzi deszyfrujących. Taką grupą jest na przykład Grief Corp, które wprost ostrzega swoje ofiary natychmiastowym zniszczeniem danych, jeśli podejrzewa, że jego cel zaangażował mediatora. W oświadczeniu zamieszczonym na swoim blogu hostowanym przez Tor, Grief Corp oświadczyło:

Chcemy zagrać w grę. Jeśli zobaczymy profesjonalnego negocjatora z Recovery Company - po prostu zniszczymy dane.

Wiadomość pojawiła się niedługo po tym, gdy konkurencyjny gang ransomware nazywający siebie RagnarLocker, też zapowiedział, że zrobi coś podobnego.

Sankcje przeszkadzają w zapłacie okupu

Ransomware to dobrze zorganizowana operacja wymuszania okupu. Po umieszczeniu w atakowanej sieci oprogramowania, które szyfruje wszystkie pliki, przestępcy stojący za ransomware żądają sporej zapłaty w kryptowalucie w celu dostarczenia narzędzia deszyfrującego - i zapobieżenia opublikowaniu w sieci wrażliwych danych firmowych lub osobistych.

Pieniądze to nie wszystko

Analityk zagrożeń Brett Callow z firmy Emsisoft, który został zacytowany przez RagnarLocker w ich wpisie na blogu żądającym, aby firmy przestały zatrudniać ekspertów od negocjacji ransomware, twierdzi, ze fakt, że gangi nie chcą, aby ich ofiary angażowały do pomocy negocjatorów lub organów ścigania jest jasną wskazówką, że jest to właśnie dokładnie to, co ofiary powinny zrobić. Wezwanie pomocy pomaga organizacjom wyjść z incydentów z mniejszymi stratami. Callow ma też do dodania coś w kwestii samego Grief Corp:

Ta ekipa jest objęta amerykańskimi sankcjami finansowymi, po tym jak wcześniej zmieniła nazwę ze swojej - uznawanej przez amerykański Urząd Kontroli Aktywów Zagranicznych - nazwy DoppelPaymer. Sankcje zostały nałożone na „firmę” macierzystą DoppelPaymer, Evil Corp, jeszcze w grudniu 2019 roku. Firmy powiązane z Ameryką nie mogą zatem zapłacić okupu tym oszustom bez narażania się na dalsze ryzyko ze strony organów regulacyjnych.

Nie karmić trolla

Negocjator ds. ransomware Nick Shah uważa, że umiejętności negocjacyjne większości gangów ransomware są dość słabe. Negocjacje są zazwyczaj prowadzone poprzez coś, co Shah nazwał help deskiem z piekła rodem – jest to ich odpowiednik pierwszej linii wsparcia klienta. Wiele z gangów ransomware atakujących obecnie ma swoje siedziby w krajach byłego Związku Radzieckiego, których rządy przymykają oko na ich działalność.

Płacenie przestępcom ransomware jedynie napędza ich działalność i zachęca do ponownego atakowania. Niepłacenie pomaga zniszczyć ich model biznesowy. Unia Europejska w porównaniu do Stanów Zjednoczonych ma pewne braki, jeśli chodzi o sankcje finansowe wobec zidentyfikowanych przestępców ransomware, chociaż w zeszłym roku także i ona rozpoczęła pewne działania w tym zakresie.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej