Wenn Sie keine andere Wahl haben, als die Angreifer zu bezahlen, um wichtige Daten zurückzubekommen, können Sie sich mit diesen Best Practices in die bestmögliche Position bringen, um sich von einem Ransomware-Angriff zu erholen. [...]
Cybersecurity- und Bedrohungsanalysten von Fox-IT (Teil der NCC Group) haben die Mechanismen von Ransomware-Verhandlungen untersucht, um Unternehmen zu helfen, den Ausgang eines Angriffs zu verbessern. Die Konzepte wurden von Pepijn Hack und Zong-Yu Wu auf der Black Hat Europe 2021 vorgestellt und kurz darauf in einem ausführlichen Blogbeitrag der NCC Group erläutert. Die Daten stammen aus der Untersuchung von über 700 Angreifer-Opfer-Verhandlungen zwischen 2019 und 2020 und einem Papier, das drei Hauptthemen untersucht. Diese sind:
- Wie Angreifer wirtschaftliche Modelle nutzen, um ihre Gewinne zu maximieren.
- Was dies über die Position des Opfers während der Verhandlungsphase aussagt
- Strategien, die Ransomware-Opfer nutzen können, um das Spielfeld auszugleichen
„Diese empirische Untersuchung legt nahe, dass sich das Ökosystem der Ransomware zu einem ausgeklügelten Geschäft entwickelt hat“, schreiben die Forscher. „Jede Ransomware-Bande hat ihre eigenen Verhandlungs- und Preisstrategien entwickelt, um ihren Gewinn zu maximieren.“
Ransomware-Gruppen am Steuer der Verhandlungen
Der Datensatz konzentrierte sich hauptsächlich auf zwei verschiedene Ransomware-Stämme. Der erste wurde im Jahr 2019 gesammelt, als die Gegner noch relativ unerfahren und die Lösegeldforderungen niedriger waren. Er umfasste 681 Verhandlungen zwischen Opfern und Ransomware-Gruppen. Der zweite Datensatz, bestehend aus 30 Verhandlungen, wurde Ende 2020 und Anfang 2021 erhoben, als Angriffe zu einer großen Bedrohung für Unternehmen weltweit wurden.
Die Analyse ergab, dass der Reifegrad der Ransomware-Operationen zugenommen hat. Untergrundgruppen berechnen die Kosten eines Angriffs und implementieren Lösegeldpreisstrategien auf der Grundlage mehrerer Variablen über die Opferorganisationen, einschließlich der Anzahl der infizierten Geräte/Server, der Mitarbeiter, des geschätzten Umsatzes und der potenziellen Auswirkungen der Medienpräsenz. Auf diese Weise können Angreifer genau vorhersagen, wie viel die Opfer wahrscheinlich zahlen werden, bevor sie überhaupt in Verhandlungen treten. Sobald sie dies tun, werden die Opferorganisationen sofort in die Defensive gedrängt.
„Normalerweise hält bei einer Verhandlung jeder Spieler seine Karten selbst in der Hand. Der Ransomware-Akteur kennt die Kosten seines Geschäfts und weiß, wie viel er verdienen muss, um die Kosten zu decken. In der Zwischenzeit schätzt das Opfer die Kosten für die Behebung des Schadens“, heißt es im Blog. Dadurch entsteht eine Situation, in der das Opfer ein „unfaires Verhandlungsspiel“ durchlaufen muss, das es ohne sein Wissen zu einer vorgegebenen, aber angemessenen Lösegeldspanne führt. „Es ist ein manipuliertes Spiel. Wenn der Gegenspieler gut spielt, wird er immer gewinnen. Diese Schlussfolgerung trägt letztlich zu einem wuchernden Ransomware-Ökosystem bei.“
Eine interessante Beobachtung im Rahmen der Untersuchung ist, dass kleinere Unternehmen im Allgemeinen mehr Lösegeld pro Jahresumsatz zahlen. Das bedeutet, dass sie in absoluten Zahlen weniger, aber in Prozent ihres Umsatzes mehr zahlen. Im Gegensatz dazu wurde die höchste Lösegeldsumme innerhalb des Datensatzes (14 Millionen Dollar) von einem Fortune 500-Unternehmen gezahlt.
„Es ist daher verständlich, dass ein finanziell motivierter Akteur sich wertvolle Ziele aussucht und von einigen wenigen großen Lösegeldern profitiert, anstatt kleine Unternehmen anzugreifen. Diese Situation führt dazu, dass einige Ransomware-Gruppen tatsächlich beschließen, nur große und profitable Unternehmen ins Visier zu nehmen.“
4 Vorbereitungsschritte vor einem Ransomware-Angriff
In der Studie werden bewährte Verfahren und Ansätze vorgestellt, die dazu beitragen können, das Verhandlungsgleichgewicht (zumindest etwas) zu Gunsten des Opfers zu verschieben, beginnend mit der Vorbereitung, bevor es zu Verhandlungen kommt. Organisationen müssen:
- Ihren Mitarbeitern beibringen, keine Lösegeldforderungen zu öffnen und auf den darin enthaltenen Link zu klicken. Dadurch wird oft ein Countdown gestartet, bis die Zahlung fällig wird. Das Nicht-Öffnen der Mitteilung verschafft Zeit, um festzustellen, welche Teile der Infrastruktur betroffen sind, welche Folgen der Angriff hat und welche Kosten wahrscheinlich anfallen.
- Festlegung von Verhandlungszielen unter Berücksichtigung von Backups und Best- und Worst-Case-Zahlungsszenarien
- Festlegung klarer interner und externer Kommunikationswege unter Einbeziehung des Krisenmanagements, des Vorstands, der Rechtsabteilung und der Kommunikationsabteilung
- Informieren Sie sich über den Angreifer, um seine Taktik zu verstehen und herauszufinden, ob ein Entschlüsselungsschlüssel verfügbar ist.
5 Ansätze für Ransomware-Verhandlungen
Mit dieser Vorbereitung sind Unternehmen besser in der Lage, in Verhandlungen über Ransomware einzutreten, wenn sie sich dazu entschließen. Von diesem Punkt aus sollten sie fünf Verhandlungsansätze in Betracht ziehen, um den Schaden zu begrenzen.
- Seien Sie in Gesprächen respektvoll und verwenden Sie eine professionelle Sprache und lassen Sie Emotionen aus den Verhandlungen außen vor.
- Die Geschädigten sollten bereit sein, die Angreifer um mehr Zeit zu bitten, damit sie alle Möglichkeiten zur Wiederherstellung ausloten können. Eine Strategie besteht darin, zu erklären, dass Sie die zusätzliche Zeit benötigen, um die erforderlichen Mittel in Kryptowährung aufzubringen.
- Anstatt Zeit zu schinden, können Unternehmen anbieten, einen kleinen Betrag zu Beginn zu zahlen, anstatt später einen größeren Betrag zu verlangen, da die Angreifer dafür bekannt sind, hohe Rabatte zu akzeptieren, um einen schnellen Gewinn zu erzielen und ein anderes Ziel anzusteuern.
- Eine der wirksamsten Strategien besteht darin, den Angreifer davon zu überzeugen, dass man finanziell nicht in der Lage ist, den ursprünglich geforderten Betrag zu zahlen, und dies kann sich sogar bei sehr großen Organisationen als wirksam erweisen, von denen die Angreifer wissen, dass sie über enorme Geldbeträge verfügen. In der Studie wird darauf hingewiesen, dass es einen Unterschied macht, ob man über einen bestimmten Betrag an Einnahmen verfügt oder ob man Millionen von Dollar in Kryptowährung nur für den Fall der Fälle bereithält
- Vermeiden Sie es, dem Gegner mitzuteilen, dass Sie über eine Cyber-Versicherungspolice verfügen. Sie sollten keine Cyberversicherungsdokumente auf irgendwelchen erreichbaren Servern speichern. Das Vorhandensein einer Cyberversicherung kann dazu führen, dass Angreifer bei Verhandlungen weniger flexibel sind, da die meisten Policen die Kosten abdecken.
In der Studie werden auch einige einfache, praktische Ratschläge zur Ergänzung der oben genannten Verhandlungsprozesse genannt. Dazu gehören die Forderung nach einer Testdatei, die entschlüsselt werden soll, der Nachweis, dass die Dateien gelöscht wurden, wenn man schließlich zahlt, und eine Erklärung, wie der Angreifer das Unternehmen gehackt hat. Ein Unternehmen sollte sich auch auf eine Situation vorbereiten, in der Dateien selbst bei einer Zahlung durchsickern oder verkauft werden.
*Michael Hill ist der britische Redakteur von CSO Online. In den letzten mehr als fünf Jahren hat er über verschiedene Aspekte der Cybersicherheitsbranche berichtet, mit besonderem Interesse an der sich ständig weiterentwickelnden Rolle der mit dem Menschen verbundenen Elemente der Informationssicherheit.
Be the first to comment