Blogs4

14 táticas para usar durante uma negociação de ransomware

Nota: O seguinte artigo irá ajudá-lo com: 14 táticas para usar durante uma negociação de ransomware

Pesquisadores de segurança analisaram 700 incidentes para entender a economia dessas ameaças, bem como quais táticas de barganha funcionam.

Seja educado durante as negociações, peça mais tempo e sempre solicite um arquivo de teste para descriptografia. Essas são algumas das melhores práticas para lidar com um ataque de ransomware, de acordo com uma nova análise de 700 incidentes.

Pepijn Hack, analista de segurança cibernética, Fox-IT, NCC Group e Zong-Yu Wu, analista de ameaças, Fox-IT, NCC Group escreveram o artigo de pesquisa: “’Esperamos, porque conhecemos você.’ Por dentro da economia da negociação de ransomware.” Os pesquisadores explicam como os adversários usam modelos econômicos para maximizar os lucros e quais estratégias as vítimas de ransomware podem usar para ganhar mais tempo e reduzir ao máximo o pagamento final. O relatório é baseado em dois conjuntos de dados. O primeiro consiste em 681 negociações e foi coletado em 2019. O segundo conjunto de dados consiste em 30 negociações entre a vítima e o grupo de ransomware e foi coletado entre o final de 2020 e os primeiros meses de 2021.

Aqui está uma olhada em quais táticas funcionam e como os ladrões definem o valor do resgate.

Estratégias de negociação para ataques de ransomware

Além de analisar o componente financeiro dos ataques de ransomware, os pesquisadores revisaram as conversas entre o invasor e a vítima. O relatório completo inclui citações de conversas reais entre gangues de ransomware e suas vítimas.

VEJO: Medo e vergonha dificultam o combate a ransomware e perda acidental de dados, segundo relatório

Os pesquisadores desenvolveram essas estratégias com base em falhas e sucessos nas negociações de casos de ransomware que analisaram. Eles têm conselhos sobre quais táticas de negociação usar e os inteligentes para incorporar na resposta.

A equipe de pesquisa tem este conselho para as empresas implementarem antes de iniciar o processo de negociação:

  1. Não abra o e-mail de resgate ou clique no link; é quando o relógio começa a correr.
  2. Pense nos melhores e piores cenários e como responder a ambos.
  3. Estabelecer linhas de comunicação interna e externa com a alta istração, assessoria jurídica e o departamento de comunicação.
  4. Pesquise seu invasor para entender como o grupo lidou com resgates no ado.

Se sua empresa decidir pagar o resgate, os pesquisadores sugerem usar essas táticas de negociação:

  1. Seja respeitoso: Esta é uma transação comercial, portanto, evite fazer ameaças e deixe as emoções de fora.
  2. Peça mais tempo: os adversários geralmente estão dispostos a estender o cronômetro se as negociações estiverem em andamento.
  3. Ofereça-se para pagar uma pequena quantia agora ou uma quantia maior depois: os maus atores querem fechar o negócio rapidamente e ar para o próximo alvo e às vezes concordam em receber menos se forem pagos mais rapidamente.
  4. Convença o invasor de que você não pode pagar o valor total: a pesquisa mostrou que a tática de enfatizar constantemente a incapacidade de pagar o resgate pode diminuir o preço.
  5. Não revele se você tem ou não seguro cibernético e não armazene nenhum documento sobre a apólice em servidores íveis.

Por fim, os analistas recomendam adicionar estas etapas ao processo de resposta a um ataque:

  1. Configure um meio diferente de comunicação com o adversário.
  2. Peça que um arquivo de teste seja descriptografado.
  3. Peça um comprovante de exclusão dos arquivos.
  4. Prepare-se para que seus arquivos vazem ou sejam vendidos.
  5. Pergunte como o mau ator invadiu sua rede.

Como os ladrões definir o resgate

Além de identificar táticas de negociação úteis, os pesquisadores estudaram como os invasores definiram o valor do resgate. Cada gangue de ransomware criou suas próprias estratégias de negociação e preços para maximizar seus lucros, de acordo com o relatório. Além disso, muitos invasores am semanas coletando dados da rede do alvo, incluindo dados confidenciais e demonstrações financeiras. Os adversários sabem quanto as vítimas acabarão pagando, antes mesmo de as negociações começarem.

Os pesquisadores criaram uma equação para prever o custo de um resgate específico. Os elementos da equação incluem:

  • A demanda final de ransomware no caso
  • A porcentagem restante após a troca da criptomoeda por moedas “limpas”
  • A porcentagem restante após o pagamento da taxa de comissão da plataforma RaaS
  • A decisão final tomada pela vítima sobre pagar ou não, zero se a vítima decidiu não pagar e um se a vítima pagou
  • O custo de realizar o ataque

Veja também