Ransomware: Plătiți sau nu plătiți?


Spre sfârșitul lunii iulie 2016, Kevin Townsend mi-a adus în atenție faptul că Europol, agenția de aplicare a legii în Uniunea Europeană, a anunțat o inițiativă privind abordarea problemei ransomware. No More Ransom este destinat să furnizeze informații și să ajute victimele să-și recupereze datele, fără a plăti prețul răscumpărării către infractori. Am fost astfel citat în articolul realizat de Kevin și am comentat pe portalul No More Ransom militând pentru o mai mare libertate pentru AVIEN și am oferit totodată informații despre ransomware și despre înșelătoriile mediate prin tehnologie.

Ulterior, Kevin Townsend și cu mine am continuat să colaborăm când derulam cercetări pentru un alt articol bazat pe o analiză comandată de Malwarebytes din care reieșea faptul că:

39% dintre întreprinderi au fost lovite de ransomware anul trecut ... Dintre acestea, 40% au plătit atacatorii, cu scopul de a-și prelua datele.

Pornind de la ideea că “40% dintre victimele corporative au plătit, eu am susținut:

Multe companii de AV spun că există puține șanse de recuperare fără a avea acces la cheile de decriptare. FBI susține că firmele au o decizie riscantă de luat. Europol spune pur și simplu "nu plătiți". Este Europol realist?

Puteți citi un scurt extras din răspunsul meu la această întrebare în articolul lui Kevin, precum și răspunsurile altor comentatori, cum ar fi Jérôme Segura și Graham Cluley. Cu toate acestea, aici e răspunsul meu integral (ușor re-editat pentru claritate):

În mod abstract, există un argument incontestabil că, dacă cedați și plătiți răscumpărarea, ați contribuit în mod direct la bunăstarea criminalității. În multe cazuri, este o decizie pur economică: este mai ieftin să se plătească decât să fie pierdute datele. Cu alte cuvinte, oferiți suport unei cauze infracționale.
Pe de altă parte, dacă nu plătiți, probabil că nu vă veți obține datele înapoi - uneori, există un instrument de decriptare gratuit, eficient și disponibil, dar de cele mai multe ori industria de securitate nu poate oferi unul - și poate dauna este atât de severă încât vă determină să ieșiți din afaceri. Nu puteți da vina pe oameni – sau pe companii - în cazul în care se decid să plătească mai degrabă decât să comită un suicid financiar la fel cu nu puteți da vina pe persoanele care își predau portofelul atunci când sunt amenințate de infractori cu un cuțit. De fapt, din moment ce vorbim despre corporații, mai degrabă decât despre persoane, a plăti ar putea părea un lucru responsabil decât să fie distruse mijloacele de existență ale întregului personal, inclusiv a celor din josul ierarhiei, care în general fac mai greu față acestor tipuri de pierderi financiare.
Dacă oamenii și companiile nu ar plăti, atunci atacurile care solicită o răscumpărare ar deveni neeconomice, lucru ce nu ar opri criminalitatea, dar ar forța escrocii să exploreze alte căi - sau poate ar trebui să spun căi mai întunecate și mai sinistre. Cu toate acestea, atacurile vor rămâne viabile economic, atâta timp cât oamenii nu sunt dispuși sau nu sunt capabili să-și apere datele lor în mod proactiv. Este ușor pentru cei care au cunoștințele și resursele necesare să pună în aplicare măsuri de apărare adecvate. Nu este însă la fel de simplu să spui că este "greșit" să se  plătească cererile de răscumpărare. Desigur, companiile ar trebui să pună în aplicare  măsuri adecvate de apărare, având astfel un impact real asupra viabilității atacurilor. În cazul în care nu fac acest lucru pentru că este mai ieftin să plătească decât să cheltuiască bani pe o strategie de backup, atunci este condamnabilă această acțiune. Nu știu cât de des se întâmplă acest lucru, deși, în final, practica de backup este o apărare împotriva a tot felul de amenințări, nu doar ransomware.

Uneori, auzim de cazuri în care organizațiile plătesc răscumpărarea, chiar dacă acestea au copii de rezervă pentru că este o opțiune mai ieftină. Această practică nu numai că este iresponsabilă (pentru că fără îndoială încurajează criminalitatea), dar sugerează ceva semnificativ în neregulă cu strategia de backup pe care o au implementată.

Cei mai mulți bloggeri de securitate ar sfătui persoanele fizice și juridice să nu plătească răscumpărarea, luând aceeași poziție ca Europol, după cum este menționat într-un alt articol.

În cazul în care propriile dvs. date de afaceri sunt în joc, sau chiar datele dumneavoastră personale, cum ar fi fotografiile care sunt de neînlocuit prin orice alte mijloace, ați putea gândi diferit. Pare, totuși, că există o anumită îmbunătățire recentă în adoptările extreme. Martijn Grooten a subliniat pentru Virus Bulletin, că:

... Plata răscumpărării ar trebui să fie întotdeauna ultima variantă ... dar uneori ... singura decizie de afaceri rămasă constă în plătirea infractorilor ...

După cum probabil v-ați dat seama din cele de mai sus, sunt de acord cu acest punct de vedere. Ryan Naraine admite, de asemenea, o schimbare în punctul său de vedere. El l-a descris în “How to avoid becoming the next victim of ransomware”, modul în care el a fost forțat să recunoască faptul că unele companii au dificultăți reale în asigurarea resurselor de securitate necesare pentru a contracara ransomware-ul și nu au de ales decât să plătească după ce au fost implicate într-un incident ransomware, pur și simplu pentru a rămâne în afaceri. Mai exact, el citează punctul de vedere al unui administrator IT al unei organizații de asistență medicală, care a subliniat că:

"Nu avem niciun computer ce poate fi utilizat. Toate copiile noastre de rezervă sunt criptate. Este un caz disperat. Noi fie plătim $800, fie vom cheltui mii pentru a reconstrui sistemele și pentru a încerca să recuperăm datele. Practic nu avem de ales decât să plătim răscumpărarea... "

Este important să subliniem faptul că, într-un astfel de caz, o organizație nu are numai obligația de a-și îndeplini obligațiile statutare, dar are, de asemenea, o obligație de a se îngriji de persoanele care utilizează serviciile lor. În cazul unei defecțiuni privind protejarea datele lor, indiferent dacă eșecul este din cauza unor deficiențe tehnologice sau a unor erori umane, în cazul în care nu există nicio altă modalitate de recuperare a acestor date, datoria de protejare a datelor ar trebui să depășească forța principiului enunțat de către Europol. Asistența medicală nu este singurul domeniu în care un astfel de conflict poate apărea, cu un impact serios asupra indivizilor, însă organizațiile de sănătate au fost puternic și în mod public lovite de ransomware în ultimul an sau anterior.

Cu toate acestea, am să repet sfatul privind legat de prevenire și de back-up, sfat ce valorează o mulțime de Bitcoins. Merită să ne amintim că plata răscumpărării nu obține întotdeauna datele înapoi. Și este puțin probabil să existe o garanție de returnare a banilor, după cum a fost subliniat într-un consultativ emis de FBI, care susține de asemenea "neplata răscumpărării".

Agenția oferă, de asemenea, o serie de sfaturi de bază privind reducerea riscului ransomware de care vor beneficia atât persoanele fizice, cât și utilizatorii corporativi și privind reducerea riscului altor tipuri de atac. Sfatul este scris într-o manieră ușor amuzantă:

Securizați-vă back-upurile. Asigurați-vă că acestea nu sunt conectate la computere sau la rețele pe care se fac copiile de siguranță.

Din moment ce este un pic dificil să realizați o copie de rezervă a datelor fără a vă conecta la sistemul utilizat pentru stocarea primară, ceea ce au vrut să spun de fapt este că nu ar trebui să aveți copii de rezervă singulare în mod curent sau permanent accesibile din acel sistem, din moment ce această stare de fapt atrage după sine un risc puternic și astfel copiile de rezervă vor fi de asemenea criptate de ransomware. Sfaturile extinse oferite într-o broșură FBI sunt oarecum mai clare cu privire la acest aspect.

 

DAVID HARLEY

CORESPONDENT INDEPENDENT

Georgiana August 23, 2016

Lasa un comentariu