Economia recuperării datelor în cazul ransomware


Uneori, calea cea mai ușoară este drumul către ruinare.

După publicarea articolului Ransomware: Plătiți sau nu plătiți?, Bradley Barth de la SC Computing a abordat un punct de vedere legat de acest subiect, cu privire la cazurile în care organizațiile plătesc pentru ransomware, chiar dacă acestea au copii de rezervă efectuate, pentru că este mai ieftin.

Nicio apărare versus o apărare insuficientă

Pentru a fi clari, nu s-a afirmat faptul că în acele organizații nu se implementează deloc tactici de apărare. Nu poate fi spus că nu se întâmplă niciodată, dar frecvent companiile nu pun în aplicare metode de apărare adecvate, deoarece nu au oameni destul de pricepuți pentru a conecta toate lipsurile de securitate în vederea remedierii acestora, alegând astfel să ignore securitatea, cu totul.

Fără politici, fără consistență

Bradley Barth a fost deosebit de interesat de cercetări specifice, exemple, date sau dovezi anecdotice. Acest lucru era complicat de făcut, fără a intra în conflict cu problemele legate de confidențialitate. Cu toate acestea, Stephen Cobb a oferit un exemplu generic, dar adecvat:

Am vorbit recent la o conferință unde cei mai mulți dintre membrii audienței – aproximativ 300 de furnizori de servicii gestionate, aceștia lucrând fiecare cu mai multe firme de client – au susținut că ei cunosc cazuri exacte, unde administratorii de sistem au plătit răscumpărarea chiar daca recuperarea fișierelor de la o copie de rezervă ar fi fost posibilă. Riscurile ce vin odată cu această plată merg mai departe de ideea de a nu obține datele înapoi, în ciuda plății aferente. Acestea includ posibilitatea de a fi atacați iar și s-au cunoscut, din nou cazuri, pentru că acele organizații sunt văzute ca o țintă ușoară.

În nici unul dintre aceste cazuri, nu au existat reguli/politici în vigoare pentru a ghida limitele răspunsului pentru sysadmini în cazul unei cereri de răscumpărare pentru date. De asemenea, recent, am contribuit la desfășurarea unui exercițiu de top pentru aproximativ 60 de profesioniști în recuperare în caz de dezastru și a fost clar că în majoritatea organizațiilor nu s-a abordat încă manipularea cererilor de răscumpărare în manualele lor legate de politici sau în planurile de răspuns la incidente.

Firewall-uri umane

Din păcate, apărarea împotriva ransomware nu este pur și simplu o chestiune legată de conectarea unui anumit tip de pachet anti-malware prin folosirea setărilor implicite și crezând că astfel veți fi protejați. Programele de securitate principale sunt bune în a detecta ransomware-ul cunoscut și mult mai bune decât vă imaginați în ceea ce privește variantele de ransomware necunoscute prin monitorizarea comportamentului (analiză de comportament). Cu toate acestea, nu există o detecție 100% perfectă, chiar și cu software-ul de securitate setat la maxim și nu este ceva nemaiîntâlnit ca unii membri ai personalului (nu neapărat în mod deliberat) să ofere atacatorilor o cale către o acțiune imprudentă. Educația și politicile sunt adesea metode eficiente de a face ca utilizatorul final să se descurce în cazul unei apărări defensive.

Porozitate și Perimetre

În cazul în care ransomware-ul ajunge să fie executat, daunele pot fi limitate prin restricțiile de acces în mediul în care va fi executat. Din păcate, dacă sistemele de backup sunt setate mai mult pentru comoditate, decât pentru securitate, backup-urile pot fi, de asemenea, compromise de malware, chiar dacă se află în afara perimetrului organizației.

Ar trebui să plătiți pentru o cale de scăpare în caz de probleme?

În cazul în care există organizații unde lipsesc pașii care ar putea ajuta la supraviețuirea acestora în astfel de circumstanțe, în speranța că se poate plăti întotdeauna răscumpărarea, acestea ar putea avea mai multe probleme decât și-ar da seama. Prin plătirea acelei răscumpărări, nu este întotdeauna garantat și faptul că datele vor fi recuperate. Cu privire la articolul anterior, cineva afirma că cei care fac parte din bandele ce se dedică transmiterii de ransomware:

“VOR decripta fișierele dvs. deoarece:

  1. A) reprezintă banii lor de afaceri, implicit, este modul în care ei fac bani. Dacă nu ar fi decriptat fișierele după ce plata a fost efectuată, nimeni nu va mai plăti răscumpărarea.
  2. B) În mod ironic, suportul lor este incredibil, mult mai bun decât cel al multor corporații.”

Ei bine, această opinie nu este una complet greșită, deși aceste afirmații sunt destul de radicale. De fapt, nu este neobișnuit ca organizațiile din mediul infracțional să aibă un “suport pentru clienți” eficient pentru victimele ransomware-ului sau ale altor tipuri de malware. “Mult mai bun decât cel al multor corporații” este, un pic exagerat, deoarece există unele companii legitime ce oferă un suport atroce. Revenind la argumentul său mai convingător, se poate spune că cele mai multe bande vor furniza victimelor care plătesc, o cheie de decriptare, deoarece nu ar mai exista plătitori, în cazul în care nu ar oferi ceva în schimb.

Ai încredere, sunt un infractor

Cu toate acestea, unele bande (sau indivizi) nu au nicio intenție sau un mijloc prin care companiile să obțină datele înapoi. Să luăm în considerare, de exemplu, îngrozitorul ransomware Hitler, care solicită o răscumpărare în valoare de 25 de euro, dar nu vă poate ajuta la decriptarea fișierelor, deoarece acestea nu au fost niciodată criptate, ci șterse pur și simplu. Lawrence Abrams, de la Bleeping Computer, susținea în descrierea sa pentru acest tip special de malware că “se pare că ștergerea fișierelor devine o tactică standard în noile aplicații ransomware create de dezvoltatorii mai puțin specializați”. În mod similar, nu este clar la acest moment dacă atacatorii ‘FairWare’ păstrează, în realitate, copii ale datelor șterse de pe serverele compromise sau doar le șterg. Din moment ce atacatorii afirmă că întrebările de genul “pot vedea fișierele înainte?” vor fi ignorate, nu putem fi prea optimiști.

Dragă, am stricat decriptorul

Unii dintre acești dezvoltatori ar putea intenționa să înapoieze datele, dar au stricat mecanismul de decriptare. Chiar dacă bandele mai specializate pot face o astfel de greșeală. Un alt raport de la Bleeping Computer a indicat că versiunea 3.0 CryptXXX nu a împiedicat doar ca RannohDecryptor de la Kaspersky să permită victimelor să decripteze fișierele gratuite, ci a avut, de asemenea, efectul (probabil neintenționat) de a sparge cheia de decriptare a infractorilor. Prin urmare, plătirea răscumpărării nu a garantat faptul că victima va beneficia de un decriptor funcțional. După cum s-a remarcat, atunci când o bandă care se ocupă cu ransomware greșește, acest lucru nu este întotdeauna în beneficiul victimei și câteodată, măsurile de securitate pot interveni, respectiv interfera cu procesul de recuperare. În cazul în care fișierele sunt deja criptate, eliminarea codului malware nu inversează de obicei procesul de criptare.

Recuperarea datelor nu ține doar de ransomware

Aceste scenarii nu sunt neapărat comune, dar acestea pot ridica miza. Desigur, riscul unui ransomware nu este singura problemă care trebuie abordată printr-o strategie de backup puternică. Ce se întâmplă dacă datele sunt pierdute sau deteriorate din cauza unor probleme care nu au de-a face cu ransomware? Nu puteți plăti câțiva bani în acest caz și chiar și cei mai costisitori specialiști de recuperare a datelor nu pot fi în măsură să fixeze problemele.

Plătirea pentru protecție

Scenariile descrise de Stephen, unde organizațiile nu sunt pregătite suficient pentru atacuri pe care nu le înțeleg pe deplin, sunt mult mai tipice.

De exemplu, unei instituții academice i s-a cerut suma de 100 de dolari pentru a-și recupera datele. Se presupune că era vorba de un oportunist care a încercat să profite de oameni și nu de o bandă care să vizeze în mod deliberat o organizație mare. În cazuri de acest fel, se poate observa tentația de a plăti. Acest lucru poate depinde de cât de dificilă este percepută recuperarea tuturor datelor compromise, care va depinde, în schimb, de cantitatea datelor care au devenit inaccesibile și de cât de repede pot fi acestea recuperate din copiile de rezervă. Cu toate acestea, în acest caz, instituția în cauză a ales să nu acționeze pe această cale, din fericire. Dar, precum Stephen sugerează, uneori o organizație alege cea mai ușoară cale. Mai mult decât atât, mulți indivizi aleg să plătească (și cine îi poate învinovăți?). Astfel, bandele de infractori rămân active în afaceri.

Puteți găsi articolul lui Bradley Barth aici: Ransomware-ul blochează experții în dezbaterea privind etica de plată.

 

DAVID HARLEY

CORESPONDENT INDEPENDENT

oana September 8, 2016

Lasa un comentariu