Jak negocjować (i czy w ogóle) z operatorami ransomware? Jakie są wpłacane kwoty? Ile średnio kosztuje odszyfrowanie PC-ta?

Jeśli ktoś chce dogłębnie poznać temat, odsyłam do tego świeżego opracowania od NCC.

Badacze przeanalizowali przeszło 700 przypadków negocjacji z operatorami ransomware (lata 2019-2021) i przygotowali całą mini książkę dotyczącą ekonomii ransomware a także (czy przede wszystkim) różnych strategii negocjacyjnych.

Zobaczcie tutaj przykładowe ceny zmieniające się w zależności od tego ile komputerów chcemy odblokować:

Są też kwoty zapłaconych okupów vs przychód zaatakowanej firmy:

Wreszcie jest trochę praktycznych rad dotyczących samej infekcji czy zasad negocjacji, np.:

1. Przeszkól pracowników żeby nic nie dotykali jeśli zauważą infekcję (często licznik czasu startuje w momencie np. kliknięcia na link z ransomnoty):

The first thing any company should teach their employees is not to open the ransom note and click on the link inside it. In the D-second database, and we have seen this at other adversaries as well, the timer starts to count when you click on the link. You can give yourself some valuable time by not doing this.

2. Napastnicy często będą chcieli na nas wymusić presję czasu (szybko zapłaćcie), ale poproszenie o więcej czasu bardzo często kończy się sukcesem:

Adversary will usually try to pressure you into making quick decisions. This is often done by threatening to leak documents after a certain amount of time or by threatening to double the ransom. The more stress the adversary can impose on you, the worse your decision making will be.

3. Można spróbować zaproponować ~małą kwotę ale od razu (atakujący chcą często zamknąć temat i przejść do kolejnej firmy – jakkolwiek brutalnie by to nie brzmiało). Tutaj operator ransomware zgadza się na kwotę 350kUSD przy początkowym żądaniu na $1000kUSD:

I spoke to my boss and explained your situation to him. He approved a payment of 350k dollars. There will be no more discounts. Now you are offering 300k dollars, raise your price by 50k and we will close this deal now.

4. Nie mów, że posiadasz ubezpieczenie od ransomware. To w zasadzie bez komentarza… przestępcy wiedzą, że wystarczy że Cię lekko przycisną i $$$ wypłaci firma ubezpieczeniowa (albo i nie wypłaci…).

Our last negotiation strategy is that you must not mention to the adversary you have cyber insurance and preferably also do not save any documents related to it on any reachable servers. 

5. Ustal inny kanał komunikacji niż domyślny chat (często zewnętrzne osoby dość prosto mogą uzyskać dostęp do chata).

Getting access to these chats is not the most demanding thing for technically skilled people. It happened multiple times that during a negotiation a chat got infiltrated by third parties who started interfering and disturbing the negotiation.

6. Zapytaj się w jaki sposób napastnik dostał się do Twojej firmy. Czasem możesz otrzymać pełen raport z ~testów penetracyjnych :P

Ask for an explanation of how the adversary hacked you. In one case a company received an extensive report from the adversary on how they got access and what the company should do to close any vulnerabilities.

Więcej tego typu tricków czy realnych rozmów pomiędzy ofiarami a przestępcami – w raporcie. Zobaczcie też nasze opracowanie tematu – może Wam niejeden raz pomóc w trudnej sytuacji.

~Michał Sajdak