Ransomware (zsarolóprogram): Meg kell fizetnünk a váltságdíjat?

Ez egy vendég poszt MAURO SÁNCHEZ, a blog.smartfense.com szerzője által.

Fizessünk vagy ne? A zsarolóprogram helyzet egyáltalán nem javul. Határozottan jelen van a probléma. Az esetek száma minden pillanatban növekszik és igen ijesztő mértéket ölt. Az elmúlt években a zsarolóprogramok bruttó éves bevétele $35 millió per ransomware kampány volt. 2016 harmadik negyedévében 16 új típusát detektálták a  ransomware-eknek és a már meglévőknek több mint 10 ezer modifikációját fedték fel, melyek új technikákkal váltak nehezebben kivédhetőkké.

Ebben a cikkben, megnézzük az előnyeit és hátrányait a kívánt váltságdíj kifizetésének. Egy sornyi ajánlást is mutatunk, ami segít majd enyhíteni az esemény következményeit és megakadályozni az infekció újbóli előfordulását.

Fizetnem kell vagy sem?

De visszatérve a kérdésre, mikor megfertőződünk, mindannyian ugyanazt kérdezzük – hogy fizetnem kell-e vagy sem? Múlt héten felhívott egy ismerősöm, mivel ransomware támadás áldozata lett – és pontosan ugyanezt kérdezte. Amire az első válaszom – tréfásan – mindig ugyanaz – maradj nyugodt és fizesd ki a váltságdíjat.

Ezen túl, számos helyen az ajánlás az, hogy ne fizessünk, egyáltalán, soha! Nyitva hagyjuk a kérdést, hogy mindenki maga hozhassa meg a döntését.

Itt van néhány megfontolás, amit számba kell venni a döntés meghozatalakor:

  • Vissza tudom állítani az információkat egy biztonsági mentésből?
  • Van ismert megoldás a már fertőzött fájlok kikódolására?
  • Fenyeget annak a veszélye, hogy a lopott információkat közzéteszik?
  • Mennyire fontosak az információk, amiket elvesztettem?

Miért fizessünk?

Ha az a döntésünk, hogy kifizetjük a váltságdíjat, vannak bizonyos dolgok, amelyeket számításba kell venni, mielőtt így tennénk.

Először is meg kell róla bizonyosodni, hogy a bűnözők valóban képesek dekódolni a fájljainkat. Ez azért fontos, mert sokszor a feketepiacról szerzik be a zsarolóprogramot és igazából nincsen kulcsuk a dekódoláshoz. Tehát erről bizonyosodjunk meg még a fizetés előtt. Rendszerint küldhetünk nekik egy fájlt és dekódolva visszakérhetjük, annak bizonyítékául, hogy képesek a műveletre.

Egy másik számba veendő megfontolás, hogy nem annyira egyszerű gyorsan megszerezni a bitcoin-okat, mivel a legtöbb esetben, pár nap után, a kulcs tulajdonosának elérésének valószínűsége, a fájlok visszaállítása céljából, elévül. Továbbá, a bitcoin-ok sem elérhetők már a nyilvánosságra hozott referencia áron. Ezért számos vállalat előre bevásárol bitcoinokból, hogy megakadályozza a támadást, vagy ha bekövetkezne az, ki tudja fizetni.

Egy múlt évben megtartott biztonságügyi konferencián, az FBI cyber kémelhárítási programjának megbízatásában álló speciális ügynök a bostoni irodában azt állította: “Igazából, néha azt tanácsoljuk az embereknek, hogy egyszerűen fizessék ki a váltságdíjat.”

Ezt a legjobb szándékkal mondta, hiszen sokszor nincs más opció, ha minimális esélyt szeretnénk kapni a fájlok visszaállítására.

Miért ne fizessünk?

Számos ok lehet rá, hogy ne fizessünk.

Ha fizetünk, akkor a bűnözők tudni fogják, hogy olyan fajta emberek vagyunk, akik képesek fizetni érte, hogy visszakapják a hozzáférésüket az adatokhoz. Azt is tudni fogják, hogy az általunk művelt üzletág is valószínűleg ugyanezt a döntést hozná. Jelet hagyunk a következő támadásnak.

Még egy ok, hogy ne fizessük meg a váltságdíjat, hogy számos céget láttunk már, ami miután megtette ezt a lépést, semmit nem változtatott a munkahelyi szokásain és nem állt elő az esemény újra megtörténését megelőző kampánnyal. Ezért biztosnak kell lennie az adott cégnek afelől, hogy megváltoztatják a szokásaikat és megelőzik az esemény újra megtörténését, különben újra áldozatává válhatnak egy támadásnak.

Még egy ok, hogy ne fizessük ki a váltságdíjat, hogy nem lehetünk biztosak benne, hogy ahogy kifizettük, visszakapjuk majd az információinkat, mivel lehet, hogy nincsenek meg a kulcsok a kikódolásukhoz. Valamint nincs meg a módja, hogy megakadályozzuk, hogy a támadók még több pénzt követeljenek.

Finanszírozni akarjuk ezt az új piacot?

Tudnunk kell, hogy ha kifizetjük a váltságdíjat, azzal segítünk felépíteni egy új piacot a cyberbűnözők számára, ami még több ransomware és más típusú támadásokhoz vezethet. Azt az etikai indokot kell figyelembe vennünk, hogy tiltott vagy bűnöző tevékenységeket támogatunk, amellett, hogy növeljük az illegális üzletet és egyre erősebbé tesszük a cyberbűnözőket.

Hasonlóképpen, azt a nem hivatalos adatot is figyelembe kell vennünk, hogy az esetek 90%-ában, ha fizetünk, a bűnözők visszatérítik az adatokat. Ez azért lehet, mert próbálják megtartani az üzletmodell profilját, mivel ha nem így tesznek, az emberek automatikusan befejezik a fizetést és akkor eleshetnek a bevételtől.

Néhány extra tipp

Az nagyon hasznos lehet, ha előre rendelkezünk egy procedúrával vagy döntéssel, hogy miként kezeljük a ransomware-eket. Ezután, ha áldozatává válunk egy támadásnak, tudni fogjuk, hogy milyen teendőink vannak és nem érhet igazán meglepetés.

Akár fizetünk, akár nem, mindkét esetben fontos jelenteni az incidenst olyan site-oknak, mint az ODILA vagy a No more ransom! Ezek majd különböző oldalakra kalauzolnak minket, hogy hivatalosan jelenthessük a bűntényt és felvehessük a harcot a cyberbűnözőkkel.

A legjobb döntés

A legjobb döntés, hogy nem kell feltétlenül eldönteni, hogy fizetünk vagy sem. Talán ez trükkösen hangzik, de amit mondani próbálok, hogy a legjobb út a megelőzés. Előzzük meg a ransomware fertőzést és akkor nem kell szembesülnünk a váltságdíj kifizetésének nehéz kérdésével.

És ahhoz, hogy meg tudjuk előzni a Ransomware támadást, egy rétegelt-orientált biztonsági rendszert kell kifejlesztenünk. A biztonsági tervezetünk minden rétegének képesnek kell lennie megvédeni a szervezetünket egy vagy több támadó vektortól. És nincs mágikus réteg. Nincs ezüst lövedék. A biztonság nem egy izolált megoldás. Emlékezzünk: A szervezetünk emberei a cyberbűnözők első célpontjai. Így őket is vegyük be a biztonsági stratégiánkba, mivel ők a legtöbb ransomware átjárói. 

Nézzük meg a  Smartfense megoldásait itt.

 

Hasznos volt? Oszd meg!