Die beste Ransomware-Reaktion, den Daten nach zu urteilen

  • Eine Analyse von Ransomware-Angriffsverhandlungsdaten bietet Best Practices.

    Ransomware ist zu einem Teil der Geschäftskosten geworden, und die Senkung dieser Kosten kann den Unterschied zwischen Erholung und Katastrophe ausmachen.

    Eine Datenanalyse von Fox-IT, Teil der NCC Group, bietet einige Best Practices, um die Folgen eines Ransomware-Angriffs zu minimieren, nachdem sie einen Datensatz von 700 Ransomware-Verhandlungen erstellt hat, die zwischen 2019 und 2020 stattfanden.

    Die Forscher erklären, dass die optimale Reaktion nach einem Einbruch darin besteht, nichts zu unternehmen, aber das ist natürlich ein Luxus, den sich die meisten Opfer nicht leisten können.

    Pepijn Hack, Cybersecurity-Analyst bei Fox-IT, und Zong-Yu Wu, ein Bedrohungsanalyst des Unternehmens, erklärten, dass es Strategien gibt, um das bestmögliche Ergebnis zu erzielen, wenn Verhandlungen die einzige Möglichkeit sind.

    “In unserer Gesellschaft gibt es eine negative Einstellung gegenüber Zahlungen oder Verhandlungen mit Kriminellen, und auch die Legitimität und die Ethik sind, gelinde gesagt, fragwürdig”, heißt es in dem Bericht. “Dennoch stellen wir fest, dass ein signifikanter Prozentsatz der Unternehmen derzeit die Lösegeldforderung bezahlt.

    Ransomware Econ 101

    Ransomware-Gruppen wissen bereits, wie viel sich ihre Opfer leisten können, wie die Daten zeigen. Ihr Geschäftsmodell hängt davon ab, dass sie wissen, wie lukrativ ein Ziel sein könnte und wie wahrscheinlich es ist, dass ein Unternehmen zahlt.

    “Erstens und vor allem wird der Gesamtgewinn nicht nur von der Höhe des Lösegelds beeinflusst, das sie vom Opfer verlangen”, schreiben die Forscher. “Er hängt auch davon ab, ob das Opfer sich zur Zahlung entschließt, und von den Kosten der Operation.”

    Die Kosten für Ransomware-Gruppen können Gebühren für das Waschen der erpressten Kryptowährung, Ransomware-as-a-Service-Gebühren und Provisionen sowie die Kosten für die Durchführung des Angriffs selbst umfassen, heißt es in dem Bericht.

    “Die Ergebnisse zeigen, dass die Angreifer, die hinter dem von uns gesammelten Datensatz operieren, wissen, wie viel Lösegeld ein Opfer zu zahlen bereit ist, bevor die Verhandlungen begonnen haben”, erklärten die Analysten. “Eine weitere interessante Beobachtung ist, dass kleinere Unternehmen im Allgemeinen mehr zahlen, wenn man die Rendite betrachtet. Mit anderen Worten, ein kleineres Unternehmen zahlt weniger in absoluten Beträgen, aber einen höheren Prozentsatz seines Umsatzes.”

    Wie man mit Ransomware-Gruppen verhandelt

    Die Uhr beginnt, sobald Sie auf den von der Ransomware-Gruppe bereitgestellten Link klicken, warnen die Forscher. Daher ist es wichtig, dass die Mitarbeiter des Unternehmens einen zusammenhängenden Plan erstellen, bevor der Countdown beginnt. Was ist der Einbruch? Welches ist das beste Ergebnis für die Organisation? Wer ist für die interne und externe Kommunikation zuständig? All diese Fragen müssen beantwortet werden, bevor man fortfährt, so die Firma.

    Die Forscher raten außerdem jedem, der angegriffen wird, die Gegner dazu zu bringen, die Kommunikation sofort auf einen sicheren Kanal umzustellen.

    “Das erste, was jedes Unternehmen tun sollte, ist zu versuchen, einen anderen Kommunikationsweg mit dem Gegner einzurichten, und wenn sie nicht wechseln wollen, sollten sie erkennen, dass ihre Kommunikation nicht privat ist”, fügten die Forscher hinzu. “Es ist schon mehrfach vorgekommen, dass während einer Verhandlung ein Chat von Dritten infiltriert wurde, die anfingen, sich einzumischen und die Verhandlung zu stören.”

    Der nächste Tipp mag hart sein, aber der Bericht warnt davor, unhöflich zu sein oder den Bedrohungsakteur schlecht zu behandeln, was nicht im besten Interesse des Unternehmens ist.

    Seien Sie professionell und bitten Sie um mehr Zeit

    “Wir haben mehrere Beispiele gesehen, in denen Unternehmen in Gesprächen mit Bedrohungsakteuren frustriert und wütend wurden, was dazu führte, dass Chats geschlossen wurden”, schreiben sie. “Betrachten Sie die Ransomware-Krise als eine geschäftliche Transaktion. Engagieren Sie bei Bedarf externe Hilfe, aber bleiben Sie professionell.”

    Der Angreifer wird wahrscheinlich versuchen, die Opfer zu drängen und sie zum schnellen Handeln zu zwingen, so der Bericht. Die Zielpersonen sollten um mehr Zeit bitten, wenn sie diese benötigen – in fast allen von Fox-IT untersuchten Situationen haben die Angreifer ihrer Bitte um eine Fristverlängerung stattgegeben.

    “Dies kann aus mehreren Gründen hilfreich sein. Zu Beginn des Prozesses benötigen Sie Zeit, um die Situation einzuschätzen und alle Möglichkeiten zur Wiederherstellung Ihrer Daten auszuschließen”, heißt es in dem Bericht. “Außerdem können Sie so zusätzliche Zeit gewinnen, um verschiedene Strategien zu entwickeln. Wenn Sie sich am Ende für eine Zahlung entscheiden, müssen Sie Vorkehrungen treffen, um die richtige Kryptowährung zu erwerben.”

    Andere Strategien umfassen das Anbieten eines geringeren Betrags als gefordert, mit einem Versprechen für später oder den Versuch, die Ransomware-Gruppe davon zu überzeugen, dass es kein Geld zu zahlen gibt.

    Die Forscher warnten auch davor, dass ein Ziel niemandem sagen sollte, ob es eine Cyberversicherung gibt.

    “Obwohl ein Unternehmen dem Gegner mitteilen könnte, dass die Versicherung nicht bereit ist zu zahlen, schränkt dies die Verhandlungsmöglichkeiten stark ein”, heißt es in dem Bericht.

    Weitere Tipps, die der Bericht für die Verhandlungen mit einem Ransomware-Angreifer gibt, sind die Forderung nach einer zu entschlüsselnden Testdatei, einem Nachweis, dass Dateien gelöscht wurden, und einer vollständigen Erklärung, wie die Angreifer den Einbruch durchgeführt haben.

    Selbst mit diesen Zusicherungen kann ein Ziel nicht sicher sein, dass seine Dateien nicht weitergegeben oder verkauft werden, fügten die Forscher hinzu.

    “Selbst wenn sie Ihre Dateien ordnungsgemäß gelöscht haben, wer weiß, ob nicht eine der anderen Personen in der Kette schnell eine Kopie einiger interessanter Dateien für den ‘persönlichen Gebrauch’ gemacht hat.”

    Cybersecurity für Multi-Cloud-Umgebungen ist bekanntermaßen eine Herausforderung. OSquery und CloudQuery sind eine solide Lösung. Besuchen Sie Uptycs und Threatpost am Dienstag, den 16. November um 14:00 Uhr ET für “An Intro to OSquery and CloudQuery”, ein interaktives LIVE-Gespräch mit Eric Kaiser, Senior Security Engineer bei Uptycs, darüber, wie dieses Open-Source-Tool helfen kann, die Sicherheit auf dem gesamten Campus Ihres Unternehmens zu gewährleisten.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com