勒索软件:付款或不付款可能很难解决
勒索软件的威胁继续以惊人的速度传播到世界各地,公司试图追赶以减轻其有害后果。
问题是,尽管任何公司都采取了安全措施,但在某个时候该组织将成为勒索软件攻击的受害者的可能性会增加,因为在这种情况下,没有人会完全安全超连接时代。
当可怕的时刻到来时,公司将面临支付或不支付的难题。常识,并且在某些国家/地区,针对此类事件建立的法律框架建议不付款。
但这是最合适的选择吗?一件事是论文所说的,另一件事是现实生活中的情况。
毫无准备的首选受害者
这似乎是个谎言,但是在这一点上,仍然有许多组织处于保护自己免受此类威胁所必需的基本条件之外。
通常,由于没有预算,许多工作离可靠的灾难恢复计划的设计,实施和维护还很遥远,而在当前,这是一个错误,最终可能会付出高昂的代价。
勒索软件的目的是控制重要数据,以使公司或组织的运营受到严重影响,他们别无选择,只能付费。如果备份副本在攻击之前也未得到充分的保护,则它的实用程序很可能无法使公司重回正轨。
勒索软件的真实成本
必须事先做好计算勒索软件攻击的实际成本的步骤,因为一旦黑客控制了数据,那就太迟了。
那时,他们具有优势,除非公司手头有一个强大的业务连续性计划,该计划可使他们尽快恢复运营并避免屈服于他们的需求。
勒索软件犯罪者通常要求的平均金额在四到五位数之间,但在某些情况下,他们的账目相当高。
在美国佛罗里达州的里维埃拉比奇市就是这种情况。在今年年中,该市被迫支付592,000美元(黑客要求以比特币支付),以重新获得对其公共机构计算机网络的控制。
从财务角度来看,拒绝支付勒索软件案件可能产生可怕的后果,就像2018年佐治亚州亚特兰大市发生的那样。
那个时候,黑客将对某些政府服务的控制权维持了几周,并要求略多于50,000美元的比特币来解密被劫持的数据,如果您愿意的话,与接下来的情况相比这是一个微不足道的数字。
当局决定不理会黑客的要求,并尝试自行解决此问题,最终使他们蒙受了约1,700万美元的损失。显然,这是一个不好的举动。
永恒的蓝:当网络安全对您不利时
2019年5月,马里兰州巴尔的摩市惊艳了其公用事业网络遭到勒索软件攻击的事件。
该恶意软件的变种被标识为“ RobbinHood”,与勒索软件的类型相同,该勒索软件曾于四月份在北卡罗来纳州格林维尔市执行攻击。
在巴尔的摩袭击中,属于当地政府机构的近800台计算机设备成功被上述恶意软件感染。
但是,据专家称,使巴尔的摩事件更有趣的细节与美国国家安全局(NSA)直接相关。
根据该机构三名前雇员从《纽约时报》获得的信息,美国国家安全局(NSA)分析师们工作了将近一年的时间,以发现Microsoft代码中的弱点漏洞,直到他们最终获得成功,利用它的软件。
最初,他们将程序称为“ EternalBluescreen”(永恒的蓝屏)程序,因为它的使用经常使受攻击的计算机具有众所周知的死亡蓝屏(BSOD),而该蓝屏曾经在具有Windows操作系统的计算机上发生,特别是Windows XP版本是Microsoft生产的操作系统的主要压力。
后来,该工具变得如此复杂,以至于成为美国国家安全局(NSA)开展的反情报和反恐行动的最爱,最终被归类为永恒之蓝,永恒之蓝,这是在巴尔的摩目睹的勒索软件攻击中使用的主要恶意行为者。
蓝色的数字地狱,就像天堂
NSA在EternalBlue方面做得很好,以至于它一直发现Microsoft软件中的漏洞已有五年了,直到他们失去对该程序的控制权,因为它“滑入”了网络小巷。深直到现在,在NSA中,他们还不知道这种事情会如何发生。
然后,Microsoft将发布相应的安全补丁,但是仍然有数千台计算机没有应用此更新,并且容易受到EternalBlue的攻击。
Cybereason安全调查负责人Amit Serper透露,他的公司已在洛杉矶,纽约和达拉斯的大型公司中检测到易受EternalBlue攻击的服务器计算机。
他还让我们知道,赛博森曾在三所美国大学中遇到过《永恒之蓝》。
尽管国家安全局保持沉默,但专家们已经能够确定EternalBlue仍被朝鲜,俄罗斯,伊朗和中国政府使用,并且参与了美国各地的勒索软件攻击。团结。
勒索软件的主要影响
死时间
相反,没有一家被迫停止运营的公司从中获利。根据公司类型的不同,闲置损失可能会很大。
根据公司Datto的一项研究,勒索软件事件导致的停机导致受影响的公司平均停止获得大约47,000美元的收益。
心理影响
勒索软件事件可能会影响员工的工作能力,因此员工现在担心自己会再次发动攻击,因此在执行日常任务时会更加忧虑。
如果管理人员负责网络的漏洞,则某些职位(例如与IT部门相关的职位)可能会感到自己处于危险之中。
第三方干预
如果受影响的组织无法自行恢复,则必须使用服务,而不是廉价的数据恢复。
这类计算机咨询的专业费用通常与要恢复的数据结构的数量和复杂性成正比,因此,根据该参数,勒索软件攻击的成本会增加。
营救
它是指受害公司或组织必须提供给黑客以重新获得对其数据的控制权的现金量。
根据Coveware公司有关今年第一季度勒索软件的报告,受影响者的平均付款约为12,800美元。
与里维埃拉比奇当局必须支付的相比,这笔款项确实是季节性的。
赔偿和法律费用
根据勒索软件攻击发生的辖区,该事件可以被视为典型的数据泄露。
如果发现受影响的公司在网络安全防御方面行为失职,或在这方面未达到最低合规水平,则可能要缴纳巨额罚款和律师费。
Radware的报告表明,发生数据泄露事件的公司中几乎有42%收到了客户的诉讼。
组织还必须对法律法规保持警惕,例如HIPAA或GDPR所考虑的法规,以便始终满足其准则。
名誉受损
受勒索软件攻击的公司很少立即将事件公开。
通常,问题由委员会处理,由委员会决定何时以及如何提出问题。这是为了尽量减少客户与关联方之间数据泄露可能带来的负面影响。
金雅拓公司采访了10,000人,询问他们与之开展业务的公司经常遭受数据泄露时,他们将如何应对。
结果应该与任何组织有关,因为70%的受访者表示,在这种情况下,他们不会继续业务关系。
最昂贵的保险
近年来,随着勒索软件事件和其他类型的数字威胁的增加,IT领域蓬勃发展也就不足为奇了。
如果您的公司是网络攻击的受害者,并要求投保保险,则理所当然会增加保费。
为IT部门增加资金
幸运的是,尽管公司对网络安全的心态正在发生变化,但多年来这种立场是被动的而不是主动的。
记录负面事件后,IT基础结构通常会进行更新。在发生勒索软件事件之后,有理由增加了IT人员在防御方面的投资。
在付款或不付款的困境中
对于组织,特别是对于那些牟利的组织,最主要的是继续按计划进行运营。
达到或超过生产目标,优化成本降低等不需要改变活动正常发展的事件。
在勒索软件攻击的情况下,快速计算可能会导致公司倾向于支付赎金以使数据尽快从事件中恢复。在顺应黑客的要求之前,最好仔细分析几个方面。
赞成付款
业务连续性
无论组织的类型如何,勒索软件攻击都可以完全停止正常的日常活动,从而损害生产力,从而对公司的财务绩效或目标范围产生负面影响和目标。
为了尽快恢复正常的步伐,许多公司可以考虑支付赎金并结束此事。
减少损失
如果我们理所当然地认为“时间就是金钱”,这是企业界普遍的座右铭,那么我们很清楚,这个因素是工业界或商业界最欣赏的。
一天无法为公司生产出会计账簿中的大红色数字。
据Datto公司称,由于勒索软件攻击而导致的停机时间造成的公司损失的平均值超过了黑客要求将数据控制权归还给公司的平均值的10倍以上。
这清楚地表明,付款是避免避免公司经济结果下跌的正确选择。
与保险分担的费用
对于数字威胁,拥有良好的保险是公司最好的财务保护之一。
该公司可能没有足够的幸运来获得勒索软件攻击的全额赔偿,但无论如何,其保险将负责赔偿由该恶意软件造成的部分损失。
反对付款
攻击者可能未交付解密器
首先,要相信某些违反法律并给公司造成巨大损害的人的话是很难做到的。如何说服他们将兑现其承诺,交付解密器以恢复数据?
您必须时刻记住自己正在与网络犯罪分子打交道。尽管他们可能会遵守他们所说的如果得到报酬会做什么,但事实是不能保证会发生这种情况。
在最坏的情况下,受影响的实体最终将没有数据也没有钱。
收到无法使用的解密器
在接收到有助于解密数据的软件的情况下,解密器很有可能没有真正实现该目的。
CyberEdge Group报告说,通过使用黑客提供的工具有效地管理以恢复其数据的组织的数量非常少。
CyberEdge研究表明,支付赎金的人可以在不到20%的情况下以这种方式解密数据。
再次成为受害者
如果受攻击的实体迅速付款,黑客将在以后的攻击中考虑到这一点。犯罪分子总是更喜欢受害者,而通过提前付款,该组织就变得如此精确。
道德方面
勒索软件勒索的支付还意味着道德方面的考虑。通过付款,该公司在不经意间为增强有利可图的数字犯罪形象做出了贡献。
因此,除其他外,执法机构建议不要使用黑客的经济要求。
另一方面,在许多情况下,进行袭击的人与另一种非法活动有关,这可能是人口贩运或精心控制物质的分配。如果是这样,赎金也将用于资助此类行动。
救援中介
对于所有事物,或几乎所有事物,这个世界都有解决方法,一段时间以来,有一些公司致力于勒索软件案例的数据恢复。
与逻辑上的说法相反,这些公司不会破译自己劫持的数据,而是充当中介机构,负责确保满足勒索软件事件中的每一方要求:黑客获得付款并受害人控制了他的数据。
与这类公司相关的问题是透明性,因为它们将被推广为“救援金的替代品”,这意味着它们使用自己的软件来解密被黑客劫持的赃物,而无需与之谈判。海盗
但是,现实是不同的。
绑架先生已付款
两家在美国宣传自己的公司就是这种情况。根据ProPublica的报告,他们实际上负责管理勒索软件的付款,以获取解密工具作为回报。
其中之一是在纽约州建立的Proven Data,他被发现涉嫌向与SamSam恶意软件开发有关的伊朗黑客支付此类犯罪。
Proven Data的首席执行官VíctorCongioti后来宣布,在这种情况下,该公司根据其客户的指示支付了赎金,而在同一时间,黑客的国籍被忽略了。
他说,直到美国当局找到了他所了解的黑客。
另一家公司名为MonsterCloud,总部位于佛罗里达州好莱坞市。 MonsterCloud的客户包括美国政府机构。
在今年4月,据发现,这一次在英国的第三家公司通常采用类似的方法,立即向黑客付款。
来自苏格兰的Red Mosquito Data Recovery公司被全球最好的勒索软件专家之一,Emsisoft的现任研究总监Fabian Wosar所“刺穿”。
别惹Wosar
Wosar开发了自己的勒索软件,他将其命名为“ Gotcha”,感染了自己的计算机,并写信给Red Mosquito的人民,要求他提供服务,冒充受害者。
他同时是发起所谓攻击的黑客,他伪造了一个电子邮件地址来进行救援。 Red Mosquito很快就勾住了钩子,在不知不觉中就与Wosar沟通,要求他提供所要求的付款。
Wosar告诉ProPublica说:“让绑架者付钱是勒索软件的生存之道。”
他还澄清说,受害人的成本增加了,因为受害人通常更愿意向所谓的数据恢复公司提供更高的价格,而不是向犯罪者提供他们所要求的东西。
但是,并不是所有的数据恢复领域都是不透明的。
也有像Coveware这样的公司以透明的方式应对勒索软件事件,这清楚地表明,在数据劫持的情况下进行协商可以很方便地最大程度地减少组织的停机时间和经济损失。
Coveware在Emsisoft研究实验室的支持下开发了针对勒索软件案例的定制解决方案,在恢复被劫持文件方面具有很高的效率。
欢迎在这里使用加密货币
直到开始出现专注于隐私的真正数字硬币之前,比特币才是第一个被广泛用于勒索软件付款以及Dark Web上当前付款货币的硬币。
请记住,著名的丝绸之路案(Silk Road)的创作者和管理者Ross Ulbritch于2015年被纽约法院判处无期徒刑。
在Pandora公开市场,黑市重装和SheepMarket之类的地方,它们都属于暗网,因此也通常使用地穴。
然后我们看到了无法追踪的加密货币门罗币的出现,这使得它成为黑客要求勒索软件援助的最爱,也是那些在线交易非法产品的人的最爱。
在关注隐私的加密货币中,Verge和Dash是另外两个通常被劫持数据的黑客所要求的货币。
那么勒索软件受害者应该怎么办?
考虑到目前已分析的因素,必须根据每个特定案例决定是否付款或不这样做。
根据执法机构的说法,在用尽所有其他选择之后,赎金支付只能视为万不得已。
FBI特别强调,美国联邦政府拒绝与网络犯罪分子合作,始终不鼓励勒索软件勒索付款。
但是,当别无选择时,该机构建议对付款的决定进行严格的评估,以确保事件发生。
尽管美国政府建议不支付赎金,但他们理解,如果受灾者一方的行为者在评估付款的成本和收益方面做出了认真的努力,这可能是唯一可行的选择。
当组织无法从备份副本中恢复系统,被劫持的数据对于公司的运营至关重要或勒索软件导致的停机时间意味着不仅对公司造成巨大损失时,支付赎金是合理的。它还对其客户和员工有重要的负面影响。