Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

#CyberMagazyn: Jak negocjuje się z grupami ransomware?

Negocjacje z cyberprzestępcami bywają interesującym zjawiskiem
Negocjacje z cyberprzestępcami bywają interesującym zjawiskiem
Autor. Drazen Zigic / Freepik.com

Ataki ransomware w dużej mierze opierają się na żądaniach okupu za odszyfrowanie i/lub niepublikowanie danych. Analiza czatów z cyberprzestępcami pokazuje wiele ciekawych aspektów negocjacji oraz przekazywania informacji o przełamaniu zabezpieczeń.

Na wstępnie należy zaznaczyć, że spora część negocjacji z cyberprzestępcami nie wychodzi na światło dzienne. Całościowa analiza tego procesu jest zatem niemożliwa, ponieważ nie znamy pełnej liczby organizacji, które nie informują o opłaceniu okupu. Przypomnijmy, że spełnienie żądań atakujących nie gwarantuje usunięcia danych z ich serwerów.

W styczniu 2024 roku Uniwersytet w Twente przeanalizował 481 ataków na holenderskie organizacje. Badacze wykazali, że eksfiltracja (kradzież) danych doprowadziła do 5,5-krotnej wyższej kwoty okupu, bez wpływu na częstotliwość płatności. Stwierdzono również, że organizacje posiadające kopie zapasowe są 27 razy mniej skłonne do zapłacenia okupu, w porównaniu do ofiar bez takich kopii.

Milionowe płatności

Na stronie ransomware.live zgromadzono 188 czatów z cyberprzestępcami. Kwotę nie mniejszą niż milion dolarów przekazano jedynie w trzech sytuacjach. Należy podkreślić, że znane są przypadki o wiele większych okupówjedna z 50 największych firm (wg Fortune 50) zapłaciła 75 mln dolarów. Z kolei amerykański gigant medyczny Change Healthcare w zeszłym roku przelał cyberprzestępcom 22 mln dolarów.

Największy opłacony okup ze wszystkich dostępnych czatów wynosił 1,27 mln dol. w Monero (kryptowalucie skupionej na anonimowości). Pierwsze żądanie cyberprzestępców opiewało na kwotę 7,5 mln, zaś negocjator zaatakowanej organizacji zaoferował pół miliona. REvil stopniowo obniżało swoje żądania, uwzględniając „ciężką sytuację biznesu w czasie COVID-19”.

Oprócz przekazania dekryptora i niepublikowania danych, cyberprzestępcy obiecali opisać swoje metody działania. Grupa ransomware przekazała, że uzyskała dostęp do serwera Citrix (służącego do wirtualizacji) poprzez kupienie danych dostępowych w darknecie. Sprzedażą takich informacji zajmują się tzw. initial access brokers.

Kolejnym krokiem cyberprzestępców był tzw. kerberoasting, czyli atak na protokół uwierzytelniania w Windowsie (Kerberos), który poskutkował zdobyciem hasha hasła administratora. Ostatnim krokiem było złamanie hasha, dzięki któremu można było przejąć konto.

Cyberprzestępcy słusznie doradzili, że konieczne jest wykorzystywanie dwuetapowego uwierzytelniania podczas logowania się do serwera widocznego z poziomu Internetu.

    Reklama

    13 dolarów „rabatu”

    Ataki ransomware dotyczą nie tylko wielkich korporacji. W 2023 roku grupa Mallox zaatakowała małe przedsiębiorstwo. Jedna z pierwszych wiadomości brzmiała: „Brother, give me discount” (tłum. „Bracie, daj mi zniżkę”). Organizacja zaproponowała 5 tys. dolarów, lecz cyberprzestępcy nie ustępowali. Finalnie zapłacono 19 987 dol., zamiast żądanych 20 tys..

    Warto dodać, że zaatakowanej organizacji nie udało się odszyfrować dwóch plików, które miały być „krytycznie ważne”. Cyberprzestępcy odparli, że wspomniane dane nie były w pełni zaszyfrowane oraz „brakuje im kluczowych informacji, dlatego nie da się ich odszyfrować”. To była ostatnia wiadomość w konwersacji.

    Amerykańska policja i dwa Bitcoiny okupu

    W 2013 roku policja z jednego miast w Massachusetts padła ofiarą ransomware. Sprawa została opisana przez Sekuraka. Cyberprzestępcy żądali wówczas dwóch Bitcoinów okupu (wówczas była to równowartość 3,5 tys. zł). Obecnie kryptowaluty byłyby warte ok. 780 tys. zł.

    Amerykańscy policjanci złamali ówczesne rekomendacje CISA dotyczące braku negocjacji z cyberprzestępcami oraz nie przestrzegali podstawowych zasad higieny cyfrowej, ponieważ najprawdopodobniej nie aktualizowali oprogramowania antywirusowego oraz nie posiadali kopii zapasowych (możliwych do odtworzenia). Przerażające jest to, że po upływie dwunastu lat mamy podobne bolączki wśród wielu organizacji na całym świecie.

    CryptoLocker w 2013 roku
    CryptoLocker w 2013 roku
    Autor. sekurak.pl
      Reklama

      „Zwolnijcie tego idiotę”

      Czasami działania cyberprzestępców skutkują nietypowymi komunikatami. W czerwcu 2024 roku LockBit poinformował na swoim blogu o rzekomym ataku na amerykańską Rezerwę Federalną. W poście zawarto następujące zdanie: „Zatrudnijcie innego negocjatora w przeciągu 48 godzin i zwolnijcie tego skrajnego idiotę, który wycenił amerykańską tajemnicę bankową na 50 tys. dolarów”.

      Niedługo później okazało się, że ofiarą ataku nie był FED, lecz jeden z amerykańskich banków. LockBit po prostu blefował odnośnie swoich „osiągnięć”, co opisywaliśmy na łamach naszego portalu.

      Wpis LockBit o ataku
      Wpis LockBit o ataku
      Autor. hackread.com
        Reklama

        Komentarz eksperta

        Poprosiliśmy o komentarz Krzysztofa Dyki, Prezesa ComCERT S.A (Grupa Asseco), który przybliżył nam praktyczne aspekty negocjacji z cyberprzestępcami.

        Oskar Klimczuk, CyberDefence24: Czy można oszacować procentowo, ile ataków ransomware nie wychodzi na światło dzienne wskutek negocjacji okupu?

        Krzysztof Dyki, ComCERT: Dokładne oszacowanie procentu ataków ransomware, które pozostają nieujawnione, jest trudne, ponieważ większość ofiar decyduje się na zachowanie takich incydentów w tajemnicy, aby chronić swoją reputację. Większość firm, które płacą okup, nie zgłasza tego publicznie, co utrudnia poznanie pełnej skali problemu.

        Co jest najbardziej zaskakującym i nietypowym aspektem negocjacji z grupami ransomware?

        Jednym z zaskakujących aspektów negocjacji z grupami ransomware jest ich profesjonalizm i struktura działania niektórych grup przestępczych. Największe funkcjonują jak korporacje, oferując „obsługę klienta” i negocjacje cenowe. Niektóre stosują także taktyki PR, aby budować swoją reputację jako „wiarygodnych” przestępców, co ma na celu zwiększenie szans na otrzymanie okupu. Nietypowe jest również to, że czasami oferowane są zniżki lub rozłożenie płatności na raty.

        W jaki sposób grupy ransomware dbają o swoją wiarygodność?

        Niektóre grupy ransomware dbają o swoją wiarygodność, budując wizerunek profesjonalnych i przewidywalnych „organizacji”. Stosują wewnętrzne kodeksy etyczne, deklarując np. unikanie ataków na szpitale czy organizacje non-profit, co zmniejsza uwagę organów ścigania i zwiększa szanse na uzyskanie zapłaty. Komunikują się w sposób przejrzysty i nierzadko profesjonalny – ich żądania są precyzyjne, a instrukcje płatności proste i jasno sformułowane. Wykorzystują też publiczne serwisy do kontrolowanego ujawniania danych, co potwierdza ich zdolność do realizacji gróźb.

        Jak zmieniały się negocjacje z grupami ransomware na przestrzeni czasu?

        Negocjacje z grupami ransomware ewoluowały wraz z rozwojem ich taktyk i technologii. W ostatnich latach zauważalny jest wzrost profesjonalizacji tych grup, które zaczęły działać jak korporacje, oferując usługi Ransomware-as-a-Service (RaaS). Wprowadzono także nowe strategie wymuszeń, takie jak podwójne i potrójne wymuszenia, które obejmują szyfrowanie danych, groźby ich ujawnienia oraz dodatkowe ataki, np. DDoS.

        Grupy ransomware coraz częściej celują w organizacje o wysokiej zdolności płatniczej, takie jak firmy z sektora przemysłowego czy ochrony zdrowia, co zmusza ofiary do bardziej skomplikowanych negocjacji. Cyberprzestępcy stale dostosowują swoje metody, aby zwiększyć skuteczność swoich ataków.

        Jak wygląda „księgowanie” okupu wśród firm oraz administracji publicznej?

        Rozliczenie płatności okupu w firmach i administracji publicznej jest procesem skomplikowanym, zarówno pod względem prawnym, jak i księgowym. W przypadku sektora publicznego w grę wchodzi również dyscyplina finansów publicznych.

        Okupy są zazwyczaj płacone w kryptowalutach, co zapewnia anonimowość transakcji, ale jednocześnie utrudnia ich formalne zaksięgowanie. W niektórych przypadkach firmy korzystają z ubezpieczeń cybernetycznych, które mogą pokrywać koszty okupu, co upraszcza kwestie finansowe, ale budzi kontrowersje etyczne i może być postrzegane jako zachęta dla przestępców.

        W niektórych jurysdykcjach płacenie okupu może być nielegalne, zwłaszcza jeśli środki trafiają do grup objętych sankcjami międzynarodowymi, co wymaga od firm szczególnej ostrożności w podejmowaniu decyzji o zapłacie. Nawet po uiszczeniu okupu, istnieje ryzyko nie odzyskania pełnego dostępu do danych, co dodatkowo komplikuje proces raportowania i rozliczania takich wydatków w dokumentacji finansowej.

        Dziękuję za rozmowę.

        Więcej o środowisku cyberprzestępczym i jego tajemnicach znajdziecie w filmie:

        Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

        Reklama
        Reklama

        Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

        Materiał sponsorowany

        Komentarze

          Reklama

          Czytaj także

          cbzc policja ukraina
          Polsko-ukraińska współpraca. Rozbito zorganizowaną grupę przestępczą
          samsung
          Nagrody dla najlepszych partnerów Samsung Professional Display
          Meta chce zbudować największą na świecie sieć podmorskich kabli
          Power Connect Energy Summit
          Zostań częścią największego wydarzenia energetycznego 2025 roku!
          Zmiany w ChatGPT. Koniec ze stronniczością?
          Atak na posterunek policji skutkował wyłączeniem systemów w całym mieście
          Amerykańskie miasto „wyłączone” przez atak
          polska protest demonstracja
          Dane Polaków na wyciągnięcie ręki. Wraca problem Docera
          ukraina wojna inwazja rosja rocznica
          3. rocznica inwazji na Ukrainę. Rosja to wykorzysta?
          Reklama