谈判赎金:何时玩,何时折叠
上个月殖民地管道用兰福音击中时,许多人对公司支付440万美元赎金的速度感到惊讶。肯定是一个对经济的重要和至关重要的企业有足够的资源和计划,以便在不需要投资于勒索者的情况下快速恢复。
但是殖民地管线首席执行官约瑟夫Blount本周在国会山上告诉立法者,虽然他的公司有一个紧急响应计划,但它没有包括回应赎金软件攻击的计划。然而,该公司确实有保险支付赎金软件攻击,因此薪酬的决定是迅速的。
BROUNT在殖民地管道控制室凌晨5点左右的机器上首次出现了一个赎金软件通知,BROUNT。到凌晨6点,公司已关闭其5,000英里的管道。在另一个小时内,该公司联系了外部法律顾问,并从事数字调查公司的强大巨大的损害造成法医评估。那天下午晚些时候,Blount已经决定支付匪徒,并于5月8日送货。
作为犯罪分子的企业的赎金软件的崛起已经产生了从事帮助受害者谈判赎金并恢复的公司的平行增长。根据Bill Siegel,Coveware,Coveware,Coveware的首席执行官和联合创始人的说法,谈判赎金是一个充足的过程,这可能需要超过一周时间并迅速变化,这取决于勒索者,Coveware,Coveware的首席执行官和Covegel,Coveware,Coveware,Coveware,Coveware,Coveware,Coveware,Coveware,Coveware,Coveware,Coveware(Coveware)的呼气为受害者付款。他的公司还汇总了统计数据和其他有关赎金瓶事件的数据,以帮助政府追踪祸害。
Siegel说,自2018年成立以来,Coveware已经协商了一个“几千”赎金瓶装案例,并且每种情况都不同,Siegel说。他拒绝讨论他的客户或谈判的细节,以避免赎金软件演员洞察谈判策略。但他确实说,他的公司不会谈判由殖民地管道的暗区集团进行的任何赎金软件攻击。
去年11月Darkside吹嘘它计划开始在伊朗的服务器存储数据,以将其窃取受害者的数据,以便使美国执法更加困难,以便访问服务器抢占数据或离线服务器。但伊朗是一个受批准的国家,这使得黑暗的受害者对受害者承担有法律风险。去年美国财政部'官方资产控制办公室警告说,如果他们向OFAC的制裁实体名录汇编赎金,因此受害者可能有违反欧姆法规的风险。 Darkside目前没有在该列表上,但Siegel表示,暗区可能会被暗中使用的任何赎金,以支付伊朗公司托管服务。 Darkside后来走回了它的计划,在伊朗储存被盗的数据,但Siegel说他的公司只是不想冒任何风险的风险,即Darkside可能会改变其思想,他的公司可能无意中违反制裁。
我与Siegel谈到了计算受害者在决定何时支付赎金时,解密赎回的数据以及为什么欧洲的受害者往往在赎金中少付钱的人比美国的受害者进行了编辑的长度和连续性。
我们最近看到了数千万美元的令人骚扰。他们中的许多人都会谈判降低付款。谁能够支付支付的受害者如何决定他们将支付的费用?
这样做的威胁演员......开始只测试水域[带有大赎金],所以你得到了这些疯狂的要求 - 300万美元,1000万美元,5000万美元。他们只是让这些疯狂的数字起来,所以当他们把它切成两半时,他们可以听起来很慷慨。 [受害者]的重要事项是,通过加快康复可以避免的业务的财务影响是什么?......这个值得?这是一个非常难以回答的问题,但大多数时候......企业可以煮沸这一点:“这是每天耗时的金额或每小时的金额。”所以他们知道剃须了一天或一周的恢复[时间]将拯救他们。
处理其中一个谈判,一切都举动。业务价值 - 我们为什么要这样做?它的价值是什么? - 该公司的每十二个小时更改了。实际支付的最终决定,只会在最终发生,[在您确定是否可以从备份中恢复并避免支付。]
[但]确定备份的完整性可能很困难。......可能需要几天......因此,如果谈判前五或七天,它通常意味着该公司不确定他们是否实际需要支付。你想做的是......完成谈判,以便我们在终点线上。在那时,你可能会知道你是否需要[付款]。......如果有人必须付出非常快,通常是因为他们知道他们没有其他方式恢复。
您讨论了备份的完整性,并且备份是不够的。
当您拥有正确配置的备份时,您会没事的。问题是,大多数公司没有正确配置的备份,或者他们没有测试他们的弹性或恢复返回ransomware方案的能力。
它可以是[他们]有50个备份的备份......但它在......设施30英里之外。...然后他们开始[从那些远程备份中恢复铜线],这真的很慢......有人拉出一个计算器并意识到它需要69年[恢复他们需要的东西]。然后就像,“哦,上帝,我们是如何想到的?”嗯,你从未练习过[恢复你的数据]。
或者您实际用于恢复的许多软件应用程序,其中一些应用程序在您的网络中[get]加密。所以你就像,“哦,很棒。我们有备份,数据存在,但应用程序实际执行恢复是加密的。“所以有所有这些都可以绊倒你,阻止你在不练习时做恢复......
此外......有很多压力来拥有恢复时间目标 - 业务方面和技术方面同意他们可以维持的停机时间。它通常以小时为单位测量。所以它就像......“我们必须在三个小时内完全恢复。” [但] ......具有非常大的网络和大量数据......它没有物理上可以......在数小时内恢复......在最快的连接或最快的机器上对于一个大网络来说,它可能需要几天,有时只是为了恢复备份并解密所有内容......快速使其快速的唯一方法是在网络内绘制所有内容...将[备份]服务器放在同一网络上[作为主要系统]。 [但]然后[备份]刚刚擦拭或加密,因为坏人可以轻松找到它们。
其中一个原因我认为欧洲公司实际上最终支付了很多[在赎金]的情况下,他们不会对这些紧张的恢复时间目标施加这支技术团队的压力,因此,它们适当的细分事情,它们可以使用磁带[备份]。在美国,人们就像,“录音带? [那些是]古老,太慢了。“但我不能告诉你,在三天之后,在联邦快递备份中出现录像带的选项,我无法告诉你有多少公司[赎金软件。在欧洲,大多数公司都有胶带备份,它很好。他们就像,没关系,我们会倒下一周,然后令人尴尬......但我们不会失去任何数据。
我和一个在赎金软件恢复工作的人交谈,他告诉我,他们建议客户建立一个完全新的网络,并不再次使用赎回系统,因为它们不值得信赖。
一个受影响的服务器,ransomware必须是最小的,重新修复才能再次信任。最好的做法是站起来一个绿色网络,您正在重新映像所有服务器,您正在重新安装所有应用程序。然后对于数据,您可以备份您正在恢复到绿色网络机器。使用[Desktop Computers],...大部分时间都刚刚重新成像[未恢复]。就像,“看,如果你在那里救了你的家庭照片,对不起他们已经走了。”您不支付解密器来解密Desktop Machines ...。如果您为一家大公司工作,他们会告诉您,如果它不在文件 - 服务器上不要指望才能恢复它。不要在本地保存任何东西;将其保存在其备份的网络上。
您多久遇到未运行的解密密钥的问题 - 要么是因为黑客严重编码了它,或者因为它与受害者的系统不兼容?它多久没用了?
无用?我会说......少5%的案件。但总是有[用解密]的问题,因为瑞马沃版搞砸了计算机。尽管如此,如果它是正确的密钥,并且数据被勒索软件正确加密,则将是可恢复的。大多数时候当您看到数据丢失时,它是因为恶意软件在它中有数学错误而且...它刚损坏了文件,或者覆盖某些字节,或者将服务器置于某个部分,它只是打破数据。
如果您发现在加密过程中数据已损坏,则它是游戏吗?
大多数时候,是的。如果它是数据库文件,通常会消失。如果是文本文件或图片,有时它只是几个缺少的几个字符,或者几个像素关闭。但如果它是数据库文件,它们通常是吐司。
坏人包裹[周围]的软件关键......也是垃圾......它总是一个糟糕的Windows可执行文件,人们就像“如果它有其他恶意软件,那就呢?”这是一个有效的问题。......所以当我们获得解密器时,我们提取实际键[来自IT]。我们不需要围绕它的软件。我们提取密钥,我们将其嵌入我们的软件工具中,因此我们将[受害者]提供我们的工具,[哪个]像一块真正的企业软件一样工作......。
[要确定文件是否正确解密]您需要在所有[加密]文件上进行扫描以查看加密的完整性。一个正确的加密文件通常会正确解密。 [但]每种类型的赎金软件都以与其加密不同的数据。...如果它是Ryuk [赎金软件],我们知道它会在文件的本节上保存密钥,因此我们确保键在那里。 Sodin [赎金软件],它将其保存在页脚中,因此我们必须确保页脚在那里。 [我们的软件]将通过网络上的每个文件撕开,并确保每个文件都有这些组件。如果它不在那里,那就会说出20岁的[加密文件],你有150个已经腐败的演出,你不会得到那些回来......如果这是您的关键数据,那么这是您继续谈判[对赎金]的一点。如果这是所有垃圾数据,并且您不在乎,[这将有助于确定您是否要支付赎金。
有趣的是殖民地管道停用的是,它具有级联效应,即公司没有直接控制 - 即开始囤积汽油的人的反应。即使实际上没有燃料短缺,人们也从恐慌创造了燃料短缺。因此,所有这些后续效果都可能无法预测,这可能会对您付出压力来支付赎金。
这是一个特例,因为天然气价格显然是一个主要的经济触发器,这意味着他们是一个重大的政治触发。像这样的案例很少见,因为没有很多基础设施,可以让这种对消费者的这种广泛影响。但这是一个非常健康的唤醒电话。并成为坦诚的人,我很高兴愤怒已经存在......因为你需要让人们解雇并关心这个......。
在一天结束时,尽管这一切都是可怕的,我们会回顾这一点,并说这是一个非常重要的事件,并发生了一个非常重要的事件,因为它是一个主要的唤醒呼叫,我们不那么安全我们以为我们是。
如果您想直接收到未来的文章,您还可以订阅:
