Istället för att bara betala en avgift för att komma ur ett problem med ransomware, skulle du kunna förhandla dig ut med de rätta stegen och färdigheterna? Dan Raywood tittar på berättelserna och alternativen.
Det senaste året har en debatt rasat: ska man betala lösen till en angripare eller inte? Tidigare i år, tidigare chef för Storbritanniens National Cyber Security Center, Ciaran Martin sa i en ledare att lösensummor ska göras olagliga. Därefter chef för byrån för cybersäkerhet och infrastruktursäkerhet Jen Easterly sa att hon inte gjorde det se ett generellt förbud mot att betala lösen.
Med eller utan förbud mot att betala lösen, finns det en enorm utmaning här: när offret är infekterat med ransomware ser offret vanligtvis en skärm med ett krav på betalning, det belopp som krävs för att få dekrypteringsnyckeln och vart betalningen ska skickas. Om de har otur finns det ibland en timer för när betalningen förfaller, och det kan leda till radering – eller till och med läckage – av beslagtagen data.
Ransomware-betalningar är den ganska okända faktorn. Det finns några vi känner till: CNA Financial betalade 40 miljoner dollar 2021, medan kasinooperatören Caesars betalade $ 15 miljoner förra året. I Storbritannien, 2023 Royal Mail attack såg angripare kräva en betalning på 80 miljoner dollar, vilket de bestämde till 0.5 % av Royal Mails intäkter.
Royal Mail avfärdade beloppet som "absurt" och sa att 80 miljoner dollar "är ett belopp som aldrig skulle kunna tas på allvar av vår styrelse." Detta orsakar viss övervägande av hur många offer som betalar en lösensumma – när det inte är ett absurt belopp – för att få skadlig programvara att försvinna.
En av frågorna här är att det inte finns några faktiska siffror på vem som betalar vad, och därför ingen skala på vilken storlek betalning kan vara en lösning.
Inget val än att betala?
Om du inte har något annat val än att betala står du inför förhandlingar. I det här fallet arbetar du med kriminella: du har ingen aning om vilka de är, var de kommer ifrån eller hur välorganiserade de är.
Vägledningen existerar, och det mesta uppmuntrar till försiktighet när man pratar med angriparna, bedömer vad de har och inte ger upp någon mer information.
Alex Papadopoulos, chef för incidentrespons och beredskap på Secureworks, säger att förhandlingsprocessen inte bara handlar om priset utan också om att köpa tid till dig själv. Det är värt att förhandla för att bättre förstå angriparens position.
”Vad vi läser från andras rapporter är att de vanligtvis är öppna för förhandlingar eftersom de inser att det inte är bra för affärer om de har en för hård linje; då är de kända som helt orimliga, säger han.
Dessutom kommer förhandlingsprocessen att tillåta angriparen och offret att lära sig mer om varandra. Papadopoulos säger att de flesta ransomware-attacker är opportunistiska och att de inte förstår vem offret är förrän de har börjat prata med dem.
"De har inte lagt ner tid och ansträngning för att genomföra den forskningen", säger han. "Så genom förhandlingsprocessen vill de förstå mer om dig och därför vad du kan betala."
Detta leder till att förhandla om priset: som vi såg i de tidigare nämnda fallen, om angriparna ber om för mycket, kommer offret aldrig att betala. I andra fall begär angripare för lite. Papadopoulos berättar en historia om när några ransomware-angripare krävde 8 miljoner euro, och offret betalade omedelbart eftersom angriparen inte hade insett värdet av vad de hade beslagtagit och vad de kunde ha begärt.
Försäkringskrav
Faktum är att förhandling har blivit ett krav för försäkringskrav. När företag en gång bara erbjöd förhandlings- och betalningsväxlingstjänster, säger Papadopoulos, "förhandling har blivit ett krav för många försäkringsbolag."
Han förklarar att "många leverantörer av digital forensic and incident response (DFIR) praktiskt taget har tvingats gå in i det lite skumma, lite grå området" för att förhandla med cyberkriminella, och säger att företag måste ha människor som är redo att göra den uppgiften.
Detta leder till kravet på en effektiv och robust affärskontinuitetsplan. Om du funderar på att följa ISO 22301 bör det vara ett övervägande att se till att du kan övervinna en ransomware-attack och hålla dig på rätt sida av lagligheten.
Fixa ett hål
Efter förhandlingen är du i händerna på angriparen för att få dekrypteringsnyckeln, återställa systemet och åtgärda hålen där angriparen kom in.
Detta leder till bästa praxis-alternativ för att förhindra angripare från att få åtkomst i framtiden, och att säkerställa efterlevnad av ett erkänt ramverk är ett steg mot bättre övergripande säkerhet.
Manoj Bahtt, rådgivande styrelsemedlem i Club CISO, säger att det finns specifika kontroller som organisationer bör undersöka att implementera för att säkerställa att de är skyddade mot ransomware, och i ISO 27001:2022 är dessa:
- Utbildning för säkerhetsmedvetenhet
- Administratörsåtkomst på stationära datorer
- Antivirus/intrångsskyddssystem
- Sårbarhets-/konfigurationshantering
- Säkerhetskopiering av data
Inom NIST CSF 2.0 finns det kontroller över de sex kategorierna som fokuserar på att skydda organisationer från ransomware, och CIS version 8.0 – Kontroll 8: Försvar mot skadlig programvara föreslår följande kontroller som kan hjälpa till att skydda organisationer från ransomware:
- 8.2 Se till att anti-malware-programvara och signaturer är uppdaterade
- 8.4 Konfigurera skanning mot skadlig programvara av flyttbara media
- 8.5 Konfigurera enheter för att inte köra innehåll automatiskt
Bhatt sa att trots att det inte finns några specifika kontroller i ramverk för att skydda mot ransomware eftersom det är en attackvektor, finns vägledning tillgänglig för att hjälpa dig att implementera rätt skydd i första hand och minska sannolikheten för en påverkan.
I slutändan förblir ransomware ett betydande problem för alla företag, men det kan vara värt att överväga om detta är ett sätt att frigöra dig själv. Det finns dock frågan om att arbeta med brottslingar, och en ny sektor håller på att bildas för att specifikt hjälpa utövare att hantera denna situation.
Att ha rätt skydd på plats, låta en revisor bekräfta din säkerhetsnivå och följa ett ramverks rekommendationer om bästa praxis kommer att räcka långt för att säkerställa att du inte behöver göra detta skumma arbete.
