Sua empresa foi vítima de ransomware e você não tem escolha a não ser pagar aos invasores para obter dados críticos de volta? Então, confira essas práticas recomendadas para uma negociação de ransomware que podem colocá-lo na melhor posição possível para se recuperar de um ataque.
Os analistas de segurança cibernética e ameaças da Fox-IT (parte do NCC Group) destacaram a mecânica das negociações de ransomware para ajudar as organizações a melhorar o resultado de um ataque. Os conceitos foram apresentados por Pepijn Hack e Zong-Yu Wu na Black Hat Europe 2021 e expandidos em uma postagem detalhada no blog do Grupo NCC pouco depois. Os dados vêm de pesquisas de mais de 700 negociações entre invasor e vítima entre 2019 e 2020 e um artigo que explora três tópicos principais.
“Esta pesquisa empírica sugere que o ecossistema de ransomware se desenvolveu em um negócio sofisticado. Afinal, cada gangue de ransomware criou suas próprias estratégias de negociação e preços destinadas a maximizar seus próprios lucros”, escreveram os pesquisadores.
Grupos de ransomware na liderança das negociações
O conjunto de dados se concentrou principalmente em duas cepas de ransomware diferentes. O primeiro foi coletado em 2019, quando os adversários eram relativamente inexperientes e os pedidos de resgate eram menores. Consistiu em 681 negociações entre as vítimas e o grupo de ransomware. Já o segundo conjunto de dados, composto por 30 negociações, foi coletado no final de 2020 e no início de 2021. Foi nessa época que os ataques se tornaram uma grande ameaça para as empresas em todo o mundo.
Então, a análise revelou que a maturidade das operações de ransomware aumentou. Os grupos clandestinos estão calculando o custo de um ataque e implementando estratégias de preços de resgate com base em várias variáveis sobre as organizações das vítimas. Isso inclui o número de dispositivos / servidores infectados, funcionários, receita estimada e impacto potencial da exposição à mídia. Afinal, ao fazer isso, os invasores podem prever com precisão quanto as vítimas provavelmente pagarão antes mesmo de entrarem nas negociações de ransomware. Assim que o fazem, as organizações de vítimas são imediatamente colocadas em segundo plano.
Técnicas usadas
“Normalmente, em uma negociação de ransomware, cada jogador tem suas cartas nas próprias mãos. O agente do ransomware sabe o custo de seu negócio e quanto precisa ganhar para atingir o ponto de equilíbrio. Enquanto isso, a vítima faz uma estimativa do custo de remediação. Isso cria uma situação em que a vítima deve atravessar um “jogo de negociação injusta” que os guia para um intervalo de resgate pré-definido, mas razoável, sem o conhecimento da vítima. Portanto, é um jogo fraudado. Se o adversário jogar bem, sempre vencerá. Essa conclusão, em última análise, contribui para um ecossistema de ransomware galopante ”.
No entanto, uma observação interessante dentro da pesquisa é que as empresas menores geralmente pagam mais de um resgate por perspectiva de receita anual. Isso significa que eles pagam menos em valor absoluto, mas maior em porcentagem de sua receita. Em contraste, o maior valor de resgate dentro do conjunto de dados (US $ 14 milhões) foi pago por uma empresa Fortune 500.
“Portanto, é compreensível que um ator motivado financeiramente pudesse escolher alvos valiosos e lucrar com apenas alguns grandes resgates ao invés de atacar pequenas empresas. Essa situação leva alguns grupos de ransomware a decidirem focar apenas em empresas grandes e lucrativas. ”
4 etapas de preparação antes de um ataque de ransomware
A pesquisa estabeleceu as melhores práticas e abordagens que podem ajudar a inclinar o equilíbrio da negociação de ransomware (pelo menos um pouco) a favor da vítima, começando com a preparação antes que as negociações surjam. As organizações devem:
- Ensinar seus funcionários a não abrirem notas de resgate e clicar no link dentro delas. Isso geralmente inicia uma contagem regressiva para quando o pagamento é necessário. Portanto, não abrir a nota ganha tempo para verificar quais partes da infraestrutura foram atingidas, quais as consequências do ataque e os prováveis custos envolvidos;
- Então, estabeleça suas metas de negociação, levando em consideração backups e cenários de melhor e pior caso de pagamento;
- Determine linhas de comunicação internas e externas claras envolvendo as equipes de gestão de crises, a diretoria, o conselho jurídico e o departamento de comunicações;
- Informe-se sobre o invasor para aprender suas táticas e ver se uma chave de descriptografia está disponível.
5 abordagens para negociação de ransomware
Armadas com essa preparação, as organizações estarão em melhor posição para entrar nas negociações de ransomware, se tomarem a decisão de fazê-lo. Então, a partir desse ponto, eles são aconselhados a considerar cinco abordagens de negociação destinadas a diminuir os danos.
- Seja respeitoso nas conversas e use uma linguagem profissional, deixando as emoções fora das negociações;
- As vítimas devem estar dispostas a pedir mais tempo aos invasores. Afinal, isso pode permitir que explorem todas as possibilidades de recuperação. Uma estratégia é explicar que você precisa de tempo extra para levantar os fundos de criptomoeda necessários;
- Contudo, ao invés de ganhar tempo, as organizações podem se oferecer para pagar uma pequena quantia no início a adversários conhecidos por aceitarem grandes descontos em favor de obter lucro rápido e passar para outro alvo;
- Uma das estratégias mais eficazes é convencer o invasor de que você não está em posição financeira para pagar o valor inicialmente solicitado. Isso pode até ser eficaz para organizações muito grandes que os adversários sabem que têm grandes quantias de dinheiro à disposição. Afinal, a pesquisa apontou que há uma diferença entre ter uma certa receita e milhões de dólares em criptomoedas disponíveis apenas para a ocasião;
- Evite dizer ao adversário que ele possui uma apólice de seguro cibernético. Eles não devem salvar documentos de seguro cibernético em nenhum servidor acessível. A presença de seguro cibernético pode tornar os invasores menos propensos a serem flexíveis nas negociações, já que a maioria das apólices cobre os custos.
Mais conselhos interessantes
A pesquisa também citou alguns conselhos simples e práticos para complementar os processos de negociação de ransomware acima. Isso inclui solicitar que um arquivo de teste seja descriptografado, prova de exclusão dos arquivos se você acabar pagando e uma explicação de como o adversário invadiu a organização. No entanto, a empresa também deve se preparar para uma situação em que os arquivos vazarão ou serão vendidos, mesmo que o pagamento seja feito.
Você também pode contar com o auxílio de uma empresa de TI especializada em segurança. Afinal, prevenir é sempre melhor do que remediar.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
A Infonova tem soluções voltadas para PMEs, Governo e Corporate. Contudo, todas essas soluções compreendem modelos flexíveis com início rápido e transição sem dor.
Confira a seguir:
Para saber mais sobre os serviços da Infonova e sinais de alerta sobre seu treinamento de TI, entre em contato pelo (11) 2246-2875 ou clique aqui.
Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.
