โดนแรนซัมแวร์โจมตีเหรอ? ตรวจสอบให้แน่ใจว่าคุณไม่ได้ทำผิดพลาดที่ชัดเจนครั้งแรกนี้

  • Sep 17, 2023

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์การเจรจาแรนซัมแวร์ 700 รายการระหว่างเหยื่อและมิจฉาชีพ นี่คือสิ่งที่พวกเขาพบ

องค์กรที่ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ไม่ควรให้อาชญากรไซเบอร์รู้ว่าตนมีประกันทางไซเบอร์ เพราะ หากผู้โจมตีรู้ว่าเหยื่อของตนถือกรมธรรม์ประกันภัย พวกเขาก็มีแนวโน้มที่จะเรียกร้องค่าไถ่ทันที เต็ม.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Fox-IT ซึ่งเป็นส่วนหนึ่งของ NCC Group ตรวจสอบการเจรจามากกว่า 700 รายการระหว่างผู้โจมตีแรนซัมแวร์และเหยื่อแรนซัมแวร์ เพื่อวิเคราะห์เศรษฐศาสตร์ที่อยู่เบื้องหลังการโจมตีด้วยการขู่กรรโชกทางดิจิทัลที่ต้องจ่ายค่าไถ่ – มักจะมีมูลค่าหลายล้านดอลลาร์ใน Bitcoin – เพื่อแลกกับคีย์ถอดรหัส

ซดีเน็ต แนะนำ

ประกันภัยไซเบอร์ที่ดีที่สุด

อุตสาหกรรมประกันภัยทางไซเบอร์มีแนวโน้มที่จะเข้าสู่กระแสหลักและเป็นต้นทุนง่ายๆ ในการดำเนินธุรกิจ ต่อไปนี้เป็นตัวเลือกที่ควรพิจารณา

อ่านตอนนี้

พวกเขาพบว่าหากเหยื่อมี ประกันภัยไซเบอร์ และผู้โจมตีรู้เรื่องนี้แล้ว ก็มีกลอุบายในการเจรจาเรียกค่าไถ่เล็กน้อย เนื่องจากผู้โจมตีจะใช้ประโยชน์จากการประกันภัยทางไซเบอร์ที่มีอยู่เพื่อครอบคลุมการชำระเงินที่พวกเขาได้รับ เรียกร้อง

ดู: กลยุทธ์แห่งชัยชนะด้านความปลอดภัยทางไซเบอร์(รายงานพิเศษของ ZDNet)

“ดูสิ เรารู้เกี่ยวกับการประกันภัยทางไซเบอร์ของคุณ มาประหยัดเวลาด้วยกันเยอะๆ นะ? ตอนนี้คุณจะเสนอ 3M และเราจะตกลง ฉันอยากให้คุณเข้าใจว่าเราจะไม่ให้ส่วนลดต่ำกว่าจำนวนเงินประกันของคุณ ไม่เคย. หากคุณต้องการแก้ไขสถานการณ์นี้ตอนนี้ นี่เป็นโอกาสที่แท้จริง” ข้อความแชทจากแก๊งแรนซัมแวร์ที่ไม่ระบุรายละเอียด กล่าวตามการวิจัย

ในกรณีนี้ ผู้โจมตีจะกำหนดค่าธรรมเนียมตามความรู้เกี่ยวกับแผนการประกันภัยทางไซเบอร์ ปล่อยให้เหยื่อไม่มีแพลตฟอร์มจริงสำหรับพยายามเจรจาค่าไถ่ที่ต่ำกว่า

หมายเหตุอีกประการหนึ่งจากผู้ให้บริการแรนซัมแวร์ที่ไม่ระบุรายละเอียด ดูเหมือนจะแสดงให้เห็นว่าอาชญากรไซเบอร์ได้ตั้งค่าค่าไถ่จำนวนมาก เรียกร้องเพราะพวกเขารู้เกี่ยวกับกรมธรรม์ประกันภัยทางไซเบอร์ของเหยื่อ - ดูเหมือนหลังจากที่เหยื่ออ้างว่าพวกเขาไม่มีเงินจ่าย จ่าย.

“ใช่ เราพิสูจน์ได้ว่าคุณสามารถจ่าย 3M ได้ ติดต่อบริษัทประกันภัยของคุณ คุณจ่ายเงินให้พวกเขาเมื่อต้นปี และนี่คือปัญหาของพวกเขา คุณมีการป้องกันจากการขู่กรรโชกทางไซเบอร์ ฉันรู้ว่าตอนนี้คุณกำลังประสบปัญหาเรื่องผลกำไร เราจะไม่ขอเงินจำนวนดังกล่าวหากคุณไม่มีประกัน” คนร้ายกล่าว

บริษัทยังคงสามารถอ้างว่าบริษัทประกันภัยจะไม่จ่ายค่าเรียกค่าไถ่ แต่ผู้โจมตีไม่น่าจะได้รับการยอมรับว่าเป็นความจริง

ในขณะที่นักวิจัยแนะนำว่าการบอกผู้โจมตีแรนซัมแวร์เกี่ยวกับนโยบายการประกันภัยทางไซเบอร์นั้นไม่ใช่การดำเนินการที่ดีสำหรับการเจรจา แต่ก็ยังมี ความเป็นไปได้ที่ผู้โจมตีสามารถค้นหาข้อมูลเกี่ยวกับการประกันภัยทางไซเบอร์ใดๆ ที่บริษัทมีอยู่ได้ เมื่อพวกเขาอยู่ในเครือข่ายก่อนหน้านั้น การโจมตีแรนซัมแวร์

“ไม่ควรบันทึกเอกสารใดๆ ที่เกี่ยวข้องกับเอกสารนั้นบนเซิร์ฟเวอร์ที่เข้าถึงได้” นักวิจัยเตือน

การประกันภัยทางไซเบอร์ได้กลายเป็นหนทางหนึ่งสำหรับผู้เสียหายในการจัดการกับความเสียหายจากการโจมตีของแรนซัมแวร์ แต่จากการวิจัยของ Fox-IT แสดงให้เห็นว่า ความรู้ในเรื่องนี้สามารถทำให้ อาชญากรจะมีสถานะที่แข็งแกร่งยิ่งขึ้นในการเรียกร้องการชำระเงิน โดยเฉพาะอย่างยิ่งหากผู้ถือประกันไม่มีความปลอดภัยทางไซเบอร์ที่ดีในช่วงแรก สถานที่.

คำตอบหนึ่งอาจเป็นได้ว่า องค์กรที่ต้องการจัดทำกรมธรรม์ประกันภัยทางไซเบอร์จำเป็นต้องปฏิบัติตามข้อกำหนดบางประการเกี่ยวกับความปลอดภัยทางไซเบอร์ก่อนที่ผู้ให้บริการจะตกลงที่จะออกกรมธรรม์ได้

“เป็นการถกเถียงที่ยากมากซึ่งฉันคิดว่าการมีประกันภัยทางไซเบอร์มีข้อดีบางประการอย่างแน่นอน แต่ เฉพาะในกรณีที่บริษัทมีเกณฑ์ที่แน่นอนเท่านั้นที่จะได้รับมัน” Pepijn Hack นักวิเคราะห์ความปลอดภัยทางไซเบอร์ของ Fox-IT กล่าว ซดีเน็ต

“เกณฑ์เหล่านี้อาจเป็นแรงจูงใจให้คุณเข้าใจถึงความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ของคุณได้ดีขึ้น และความปลอดภัยทางไซเบอร์ขององค์กรทั้งหมดของคุณในตอนนี้” เขากล่าว

อย่างไรก็ตาม เส้นทางนี้อาจเป็นปัญหาได้เช่นกัน เพราะหากธุรกิจตกเป็นเหยื่อของการโจมตีทางไซเบอร์ และพวกเขาไม่มีประกันทางไซเบอร์ ก็อาจสร้างความเสียหายอย่างยิ่ง

“บริษัทผู้ให้บริการประกันภัยทางไซเบอร์บางแห่งพบว่าผู้คนถูกแฮ็กบ่อยครั้ง ดังนั้นจึงมีราคาแพงมาก และตอนนี้พวกเขากำลังหยุดให้ประกันทางไซเบอร์ใดๆ เลย ซึ่งฉันก็ไม่คิดว่าเป็นทางออกที่ถูกต้องเช่นกัน” กล่าว สับ.

“มันจะต้องมีจุดกึ่งกลางบางอย่าง และผมคิดว่าเราจะไปถึงจุดนั้นในที่สุด” เขากล่าว

ในขณะที่จ่ายค่าไถ่ให้กับอาชญากรไซเบอร์อยู่นั้น โดยทั่วไปไม่แนะนำเนื่องจากจะกระตุ้นให้เกิดการโจมตีเพิ่มเติมหลังจากวิเคราะห์การเจรจาหลายร้อยครั้ง นักวิจัยของ Fox-IT ได้เสนอคำแนะนำเกี่ยวกับสิ่งที่ควรทำหากธุรกิจของคุณได้รับผลกระทบจากแรนซัมแวร์

แนวทางดังกล่าวเริ่มต้นด้วยการเตรียมพนักงานเกี่ยวกับวิธีการตอบสนองต่อการโจมตีของแรนซัมแวร์และที่สำคัญไม่คลิก ลิงก์ในบันทึกค่าไถ่ใด ๆ เพื่อไม่ให้เริ่มการเจรจาก่อนเวลาอันควรโดยตั้งค่าการนับถอยหลังของแฮกเกอร์ให้ทำงาน

“สิ่งแรกที่บริษัทควรสอนพนักงานคืออย่าเปิดบันทึกเรียกค่าไถ่แล้วคลิกลิงก์ข้างใน... ตัวจับเวลาจะเริ่มนับเมื่อคุณคลิกที่ลิงค์ คุณสามารถให้เวลาอันมีค่ากับตัวเองได้ด้วยการไม่ทำเช่นนี้ ใช้เวลานี้ประเมินผลกระทบของการติดเชื้อแรนซัมแวร์” นักวิจัยกล่าว

ครั้งนี้เปิดโอกาสให้ทีมตอบรับ ตรวจสอบว่าโครงสร้างพื้นฐานใดบ้างที่ได้รับผลกระทบและมีผลกระทบต่อการดำเนินงานอย่างไรช่วยให้เหยื่อสามารถควบคุมสถานการณ์ได้ในระดับหนึ่ง

ก่อนที่จะเริ่มการเจรจา การทราบว่าเป้าหมายสุดท้ายของคุณคืออะไร องค์กรสามารถกู้คืนจากข้อมูลสำรองได้หรือไม่ หรือจะต้องจ่ายค่าไถ่หรือไม่ หากเหยื่อเต็มใจที่จะจ่ายค่าไถ่ พวกเขาควรจะมีความคิดว่าจำนวนเงินสูงสุดที่พวกเขาจะจ่ายคือเท่าไร

ดู: ขณะนี้มิจฉาชีพ Dark Web กำลังสอนหลักสูตรเกี่ยวกับวิธีสร้างบอทเน็ต

การวิจัยผู้โจมตียังสามารถช่วยเตรียมเหยื่อสำหรับการเจรจาได้อีกด้วย เป็นไปได้ว่า มีเครื่องมือถอดรหัสฟรีสำหรับแรนซัมแวร์สายพันธุ์นั้นโดยเฉพาะทำให้ไม่ต้องจ่ายค่าไถ่แต่อย่างใด

การตรวจสอบเอกสารวิจัยและรายงานของสื่อเกี่ยวกับกลุ่มแรนซัมแวร์ยังสามารถให้ข้อมูลเกี่ยวกับวิธีการได้อีกด้วย เชื่อถือได้ว่าพวกเขากำลังให้คีย์ถอดรหัสจริง ๆ และหากพวกเขาจะใช้กลยุทธ์อื่น ๆ เพื่อพยายามบังคับ การชำระเงิน, เช่นการโจมตี DDoS การโทรหาลูกค้าของคุณ หรือ การขโมยและการรั่วไหลของข้อมูล.

เมื่อพูดถึงการมีส่วนร่วมในการเจรจาจริงๆ นักวิจัยระบุว่าการให้ความเคารพและความเป็นมืออาชีพเป็นสิ่งสำคัญ – เป็นที่เข้าใจได้ว่าเหยื่อจะโกรธ แต่การเป็นศัตรูกับผู้โจมตีไม่น่าจะช่วยการเจรจาได้ กลยุทธ์. ในขณะเดียวกัน ความสุภาพสามารถช่วยได้ ดังตัวอย่างหนึ่งที่มีรายละเอียดในบล็อกโพสต์ เหยื่อได้เจรจาค่าไถ่ลดลงจาก 4 ล้านเหรียญสหรัฐเหลือ 1.5 ล้านเหรียญสหรัฐ

การโจมตีด้วยแรนซัมแวร์จำนวนมากพยายามกดดันให้เหยื่อชำระเงินภายในระยะเวลาที่กำหนด ซึ่งมักจะเสี่ยงต่อการรั่วไหลของข้อมูลหากไม่ชำระเงิน อย่างไรก็ตาม นักวิจัยแนะนำว่าผู้โจมตีมักจะเต็มใจที่จะเจรจาแบบขยายเวลาอยู่เสมอ เพราะท้ายที่สุดแล้ว พวกเขาต้องการเงิน พวกเขาใช้เวลาในการแพร่เชื้อในระบบ ดังนั้นพวกเขาจึงยินดีที่จะรอสักหน่อย อีกต่อไป

นอกจากนี้ยังมีตัวเลือกในการพยายามโน้มน้าวผู้โจมตีว่าคุณไม่สามารถจ่ายค่าไถ่ได้ แต่หากผู้โจมตีสามารถเข้าถึงเครือข่ายได้ พวกเขาอาจจะสามารถ เพื่อดูเอกสารทางการเงินหรือนโยบายการประกันภัยทางไซเบอร์ และน่าจะมีตัวเลขอยู่ในใจโดยอิงจากเอกสารนั้นซึ่งจะเป็นพื้นฐานสำหรับการเจรจา

เพิ่มเติมเกี่ยวกับความปลอดภัยทางไซเบอร์

  • ผู้โจมตี Ransomware มุ่งเป้าไปที่บริษัทนี้ จากนั้นผู้พิทักษ์ก็ค้นพบบางสิ่งที่น่าสงสัย
  • นักวิจัยกล่าวว่าแก๊ง Ransomware ร่ำรวยพอที่จะซื้อข้อบกพร่องแบบ Zero-day ได้
  • ปัจจุบันแรนซัมแวร์กลายเป็นหลุมดำขนาดยักษ์ที่กำลังดูดกลืนอาชญากรรมทางไซเบอร์ในรูปแบบอื่นๆ ทั้งหมด
  • ภัยคุกคามแรนซัมแวร์กำลังเลวร้ายลง แต่ธุรกิจต่างๆ ยังคงไม่จริงจังกับเรื่องนี้
  • Ransomware: มันเป็น 'ยุคทอง' สำหรับอาชญากรไซเบอร์ - และอาจแย่ลงก่อนที่จะดีขึ้น