Ο Ransomware Negotiator πληρώνει λύτρα στους εγκληματίες;
Πριν ξεκινήσουμε θα ήθελα να επισημάνω κάτι πολύ σημαντικό το οποίο παρεξηγείται στην εμπλοκή μας στις υποθέσεις Ransomware.
Δεν είμαστε υπέρ της πληρωμής λύτρων στους εγκληματίες.
Η πληρωμή λύτρων δεν είναι λύση.
*Δεν είναι κάτι που προτείνω, ούτε κάτι που μπορεί να κάνει περήφανη μια επιχείρηση. Είναι όμως μια σκληρή πραγματικότητα που εμφανίζεται όταν όλα τα άλλα έχουν αποτύχει. *
Όταν η εταιρία βρίσκεται σε πλήρες downtime, όταν το backup δεν λειτουργεί, όταν υπάρχει σημαντική περίπτωση να κλείσει μετά την κυβερνοεπίθεση ή όταν υπάρχει κίνδυνος διαρροής δεδομένων και απώλειας φήμης, τότε η απόφαση δεν είναι θεωρητική· είναι ζήτημα επιβίωσης.
Δεν είναι φυσικά ίδιο, αλλά όταν έχουμε να κάνουμε με πληρωμή λύτρων σε απαγωγή ανθρώπου η διαπραγμάτευση δεν έχει να κάνει με την υποβοήθηση του εγκληματία. Έχει να κάνει με τη διαχείριση μιας κρίσης. Όταν είσαι επιχειρηματίας η επιχείρηση σου και όλη σου η ζωή μπορεί να κρέμμεται απο μια επιχείρηση.
Ο ρόλος μου δεν είναι να ενθαρρύνω την πληρωμή, αλλά να μειώσω τη ζημιά, να κερδίσω χρόνο και — όπου είναι εφικτό — να αποφευχθεί το χειρότερο.
Παράλληλα, ο βασικός στόχος της ομάδας μου είναι η τεχνική υποβοήθηση του πελάτη την ώρα της κρίσης: απομόνωση της υποδομής, έρευνα, αποκατάσταση, κανονιστικές διαδικασίες και ένα πλάνο επαναφοράς που θα τον κρατήσει όρθιο την επόμενη μέρα.
Σημερινή κατάσταση των Ransomware Attacks στην Ελλάδα
Η εταιρία μας ασχολείται με την κυβερνοασφάλεια και την αντιμετώπιση περιστατικών κυβερνοεπιθέσεων κάθε μορφής, οπότε στα πλαίσια της υπηρεσίας Ransomware Incident Response & Digital Forensics (DFIR) έχουμε διαχειριστεί πολύ μεγάλα περιστατικά ασφαλείας που συμβαίνουν τόσο σε Ελληνικές επιχειρήσεις όσο και στο εξωτερικό.
Σκοπός μας στο Incident Response είναι:
- Να μειώσουμε τη διάρκεια παύσης εργασιών της επιχείρησης
- Να μειώσουμε το κόστος της ζημιάς για τον πελάτη μας
- Να προσπαθήσουμε να εντοπίσουμε το πώς έγινε
- Να σηκωθεί η υποδομή του πελάτη με μεγαλύτερη ασφάλεια και υπό την παρακολούθηση μας, ώστε ένα νέο περιστατικό να μην κοστίσει τόσο πολύ σε χρόνο και χρήμα
Ακριβώς επειδή ξεκινήσαμε πολύ νωρίς να ασχολούμαστε με το αντικείμενο αυτό και την κυβερνοασφάλεια, πλέον το Word of mouth είναι πολύ σημαντικό στο χώρο μας και για αυτό έχουμε διαχειριστεί πολύ μεγάλα περιστατικά στη χώρα μας, που έχουν δει το φως της δημοσιότητας (ειδικά αν είναι μεγάλες επιχειρήσεις και υπάγονται στην οδηγία NIS2) αλλά και πολύ περισσότερα μικρά περιστατικά πολύ μικρών επιχειρήσεων.
Η πικρή αλήθεια είναι ότι παρόλο που έχουν γίνει αρκετά βήματα για την λήψη μέτρων ασφαλείας από αρκετές επιχειρήσεις, υπάρχει ακόμα άγνοια για το πώς λειτουργούν οι hackers.
Αν θεωρείτε ότι μια επιχείρηση η οποία έχει Firewall, Antivirus, Backup και ISO27001 διαδικασίες δεν μπορεί να υποστεί πολύ μεγάλη ζημιά, τότε δεν έχετε την πραγματική εικόνα της αγοράς.
Μια πραγματικότητα που βλέπουμε καθημερινά είναι ότι παρόλο που έχουμε ένα 15% των μεγάλων επιχειρήσεων να έχουν επενδύσει στην κυβερνοασφάλεια τα τελευταία χρόνια, έχουμε άλλο ένα 15% των μικρότερων επιχειρήσεων να έχει επίσης λάβει μέτρα προστασίας, το 70% των ελληνικών επιχειρήσεων είναι εντελώς απροετοίμαστες για μια κυβερνοεπίθεση τύπου Ransomware ή Business Email Compromise.
Τα ποσοστά δεν είναι απόλυτα, είναι κατ’ εκτίμηση από την επαγγελματική μου εμπειρία καθώς το τελευταίο διάστημα πραγματοποιούμε Risk Assessment σε επιχειρήσεις που υπάγονται στην οδηγία NIS2 αλλά και σε μικρότερες επιχειρήσεις που δεν υπάγονται αλλά άκουσαν ότι τον ανταγωνιστή τους τον «χτύπησε Ransomware» και μας ζήτησαν έναν τεχνικό έλεγχο (Risk assessment).
Τι ακριβώς συμβαίνει στα περιστατικά Ransomware;
Θα προσπαθήσω να αποτυπώσω την εικόνα όσο πιο παραστατικά μπορώ καθώς την έχω ζήσει χιλιάδες φορές. Ειδικά τα περιστατικά Ransomware τα οποία αφορούν μεγάλες εταιρίες είναι ένας αγώνας δρόμου για όλους.
Συνήθως ξεκινάμε Δευτέρα ή Τρίτη πρωί, καθώς ιστορικά τα περιστατικά συμβαίνουν σαββατοκύριακο. Φυσικά έχουμε και περιστατικά τα οποία ξεκινάνε βράδυ.
Ο πελάτης μας καλεί και μπαίνουμε μέσα σε 30-90 λεπτά σε ένα Teams Meeting όπου μας εξηγεί ότι δεν λειτουργεί τίποτα και ότι δεν λειτούργησε ούτε το Backup του, οπότε βρίσκεται στο σημείο μηδέν… συνήθως δεν έχει μείνει τίποτα όρθιο. Έχουν κρυπτογραφηθεί όλοι οι Servers του, είτε είναι φυσική υποδομή είτε είναι virtualized και το NAS του ή τα offline backup του δεν λειτουργούν.
Μέσα σε μερικές ώρες βρίσκεται η ομάδα των Incident Responders στην έδρα του (επειδή οι συνάδελφοι Incident Responders βρίσκονται σε όλη την Ελλάδα).
Μερικές φορές φεύγουμε από το ένα περιστατικό όπου έχουμε ξενυχτήσει και πάμε στο επόμενο κατευθείαν. Ευτυχώς όλοι στην ομάδα μας, ζούμε για αυτά τα περιστατικά καθώς εκεί μπορούμε να δείξουμε τα γαλόνια μας στο πεδίο της μάχης και οι σχέσεις που χτίζουμε με τους πελάτες μας είναι το Α και το Ω σε αυτό που κάνουμε.
***Νιώθεις ότι είσαι πιο σημαντικός από γιατρό! ***
Το ζούμε και στην Ανάκτηση Δεδομένων αυτό αλλά στο Ransomware Incident κορυφώνεται γιατί είναι ομαδική δουλειά. Μπορεί στο Project να εμπλεκόμαστε 6-7 άτομα για να μπορέσει να λειτουργήσει ο πελάτης το συντομότερο δυνατόν. Φυσικά καταλαβαίνετε ότι αυτή η εργασία δεν έχει ωράρια για κανέναν.
Αφού έχει φτάσει η ομάδα Incident Response πιάνουμε όλοι δουλειά ΤΑΥΤΟΧΡΟΝΑ!
Incident responders, Ransomware negotiator, cyber security engineers, forensic engineers και data recovery engineers προσπαθούν παράλληλα να βρουν κάποιο Backup, να ανακτήσουν κάποιο αρχείο και να περιορίσουν τη ζημιά, να βοηθήσουν τον πελάτη σε κανονιστικές διαδικασίες και να διαχειριστούν την κρίση απομονώνοντας παράλληλα το περιβάλλον. Όλα τρέχουν ταυτόχρονα!
Και εκεί φαίνεται η μεγάλη εμπειρία καθώς τόσο οι μέτοχοι όσο και το προσωπικό της μηχανογράφησης πάνω στον πανικό μπορεί να κάνει θανάσιμα λάθη!
Για παράδειγμα ένα πολύ συχνό λάθος είναι σε μια υποδομή που έχεις κρυπτογράφηση Ransomware να φέρεις απευθείας backup.
Πολύ απλά ξαναφέρνεις και την σύνδεση με τον hacker online. Θέλει μεγάλη προσοχή τόσο η απομόνωση της υποδομής όσο και το πώς θα βγεις με ασφάλεια στον αέρα για να λειτουργήσεις.
Φανταστείτε ένα περιστατικό Ransomware για μια επιχείρηση είναι μια κατάσταση σαν να πήρε φωτιά όλο το κτίριο!
Οι ιδιοκτήτες και οι μέτοχοι αλλά και οι μηχανογράφοι στην εταιρία που έχει πληγεί φτάνουν στα όρια τους. Δοκιμάζονται οι σχέσεις, απολύεται κόσμος και υπάρχει μια μάχη επίρριψης ευθυνών την πιο ακατάλληλη στιγμή που πρέπει όλοι να είναι ενωμένοι.
Η διαδικασία του πανικού μέχρι να οργανωθεί το πλάνο και να βρούμε τα πατήματα μας παίρνει από 24 ωρες μέχρι και 3-4 ημέρες. Όμως δεν τελειώνει το περιστατικό επειδή επαναφέραμε συστήματα. Έχουμε δουλειά να βάλουμε πόρτες ασφαλείας και να παρακολουθείται το νέο περιβάλλον εργασίας με εξειδικευμένο λογισμικό για τουλάχιστον ένα μήνα.
Επίσης τις μέρες που είμαστε στην υποδομή του πελάτη, παίρνουμε backup τα πάντα!
Ακόμα και αν ο πελάτης πληρώσει λύτρα και πάρουμε decryptor (το εργαλείο αποκρυπτογράφησης αρχείων που μας δίνει ο hacker αν πληρώσει ο πελάτης) είναι σημαντικό να έχουμε κρατήσει backup τα κρυπτογραφημένα αρχεία. Δεν είναι λίγες οι περιπτώσεις που ένας Decryptor μπορεί να μην αποκρυπτογραφήσει σωστά και να χαλάσει κάποια κρίσιμα αρχεία.
Τέλος είναι σημαντικό αφού τελειώσουμε να παραδώσουμε ένα report στον πελάτη για το τι ακριβώς κάναμε και να δημιουργήσουμε ένα Report για τις αρχές με πλήρη καταγραφή των πάντων για να είμαστε σωστοί με τις κανονιστικές διαδικασίες.
Πλέον και μετά το NIS2 και το DORA υπάρχει εξειδικευμένος συνάδελφος που ασχολείται με τις ενημερώσεις στις αρχές και τα Governance Risk and Compliance κομμάτια του συμβάντος.
Βέβαια η μεγαλύτερη απόλαυση στην εργασία αυτή είναι το χαμόγελο του πελάτη όταν λειτουργεί ξανά και έχουν μπει τα μέτρα προστασίας που προτείνουμε.
Πώς ξεκίνησα να είμαι Ransomware Negotiator;
Από το 2016 περίπου έκαναν την εμφάνιση τους και στη χώρα μας τα πρώτα περιστατικά Ransomware.
Δηλαδή οι κυβερνοεπιθέσεις που κλειδώνουν αρχεία επιχειρήσεων και ιδιωτών και ζητούν χρήματα ως αντίτιμο ξεκλειδώματος τα οποία πληρώνονται σε κρυπτονομίσματα.
Θυμάμαι ακόμα τη στιγμή το φθινόπωρο του 2016 που στο εργαστήριο μας, στο οποίο κάνουμε ανάκτηση δεδομένων, μας ήρθε ένα μεγάλο λογιστικό γραφείο το οποίο είχε υποστεί κρυπτογράφηση Ransomware. Όλοι οι τεχνικοί στους οποίους είχε απευθυνθεί είχαν σηκώσει τα χέρια ψηλά, οπότε ήρθε στο εργαστήριο μας για να δούμε αν μπορούμε να κάνουμε κάτι.
Διαπιστώσαμε λοιπόν ότι τα αρχεία που μας στείλανε δεν είχαν σβηστεί. Δεν είχε χαλάσει ο σκληρός δίσκος, αλλά είχαν κρυπτογραφηθεί. Η συμμορία που είχε αναλάβει την επίθεση ονομαζόταν «Cerber».
Αφού μελετήσαμε την υπόθεση καταφέραμε και ανακτήσαμε για τον πελάτη ένα πολύ μικρό ποσοστό των αρχείων του το οποίο δεν ήταν ικανοποιητικό, για να λειτουργήσει η επιχείρηση ξανά.
Με απλά λόγια φανταστείτε να σας πεί ένα πρωί ο λογιστής σας, οτι δεν έχω στοιχεία να υποβάλλω τις δηλώσεις σας.
Δυστυχώς δεν βρήκαμε τρόπο να αποκρυπτογραφήσουμε όλα τα αρχεία του παρόλο που δώσαμε όλο μας τον εαυτό.
Στη συνέχεια επειδή τα αρχεία του πελάτη ήταν ιδιαίτερα σημαντικά μας ζήτησε να κάνουμε ότι χρειάζεται, με οποιοδήποτε κόστος σε χρήμα και έρευνα για να ανακτήσουμε τα αρχεία του.
Για την ακρίβεια μας έδωσε ένα πολύ μεγάλο ποσό για να βρούμε οποιαδήποτε πιθανή λύση στο πρόβλημα του γιατί χάνοντας τα αρχεία του και τα backup του, αυτό θα μπορούσε να τον οδηγήσει σε σταδιακή καταστροφή της φήμης του γραφείου του.
Σε προσωπικό επίπεδο πάντα ήμουν λάτρης της διαδικασίας μιας διαπραγμάτευσης. Τι θέλεις; Τι θέλω; Πώς θα κάνουμε συμφωνία; Πώς θα το κάνουμε να δουλέψει σωστά για να είμαστε και οι δύο ικανοποιημένοι; Είχα διαβάσει αρκετά βιβλία πάνω στο θέμα από προσωπικό ενδιαφέρον.
Επίσης ήμουν ενεργός χρήστης, εισηγητής σεμιναρών και σύμβουλος σε θέματα κρυπτονομισμάτων και του Blockchain, το οποίο βοήθησε πολύ στη συμβουλευτική μας όταν χρειαζόταν κάποιος να πληρώσει με κρυπτονομίσματα χωρίς να γίνουν λάθη.
Τέλος, έχοντας ένα πολυετές βιογραφικό και εμπειρία ως IT Administrator και Data Recovery Engineer θεωρήσαμε με την ομάδα μας ότι είμαι ο κατάλληλος να αναλάβουμε να κάνουμε έρευνα πάνω στο συγκεκριμένο αντικείμενο και ο πελάτης μας πλήρωσε προκαταβολικά για αυτό. Ήταν μια πρόκληση και μας αρέσουν οι προκλήσεις.
Αφού λοιπόν εξετάσαμε όλους τους πιθανούς τρόπους να κάνουμε ανάκτηση δεδομένων, διαβάσαμε άρθρα, επισκεφτήκαμε forum, κάναμε διασυνδέσεις με αντίστοιχες τεχνικές εταιρίες στο εξωτερικό και βλέποντας ότι δεν υπάρχει λύση στο πρόβλημα αυτό πέραν από κάποιες σπάνιες περιπτώσεις που από σφάλμα των hacker μπορούμε να βρούμε το κλειδί κρυπτογράφησης.
Μπορούσαμε (τότε) κάποιες φορές να το βρούμε στη μνήμη του υπολογιστή ή σε κάποιο φάκελο που έχει φτιαχτεί προσωρινά και κάποιες άλλες πολύ σπάνιες περιπτώσεις καταλήξαμε ότι ο τρόπος για να το αντιμετωπίσουμε δεν είναι η αποκρυπτογράφηση, καθώς δεν μπορεί να αναπαραχθεί και σε κάθε υπόθεση απαιτεί πολλούς πόρους εξειδικευμένου προσωπικού (κυρίως developers) που δεν μπορεί να πληρώσει ο πελάτης στην Ελλάδα.
Έτσι κάπως καταλήξαμε να ξεκινάμε τις συζητήσεις με τους Hackers.
Εκείνη την περίοδο είχαμε πάρει σβάρνα τα συνέδρια για να εξηγήσουμε στις επιχειρήσεις τι μας περιμένει! Πολλές επιθέσεις και πολύ μυστικοπάθεια απο τους πελάτες μας. Το κρατάγανε μυστικό γιατί το θεωρούσανε ντροπή… μέχρι που η γειτονική τους επιχείρηση είχε ενα αντίστοιχο περιστατικό!
Θυμάμαι τις πρώτη μας ομιλία στην Infocom 2015 όταν μας πιάσανε στο διάλλειμμα απο το κοινό με μας ρωτάγανε για αυτά τα “φαντάσματα” που λέγαμε… τους Hackers και τα Ransomware.
Και κάπως έτσι εξέλιξα το skill του Ransomware Negotiator καθώς οι προσεγγίσεις που έκαναν στις συνομιλίες με τους hackers, οι πελάτες μας μόνοι τους, δεν είχαν αίσιο αποτέλεσμα.
Όταν ζητάγαμε από τους πελάτες μας το ιστορικό συνομιλίας των τεχνικών ή των ίδιων των πελατών με τους hacker είδαμε τραγελαφικές ιστορίες με μερικά σύντομα παραδείγματα:
- Ο πελάτης να το παίρνει προσωπικά και **να βρίζει τον hacker**
- **Οι συμφωνίες να αθετούνται από τον πελάτη** και να ζητάει περεταίρω έκπτωση ενώ έχει κλείσει τη συμφωνία
- Οι πελάτες **να κάνουν μαθήματα ηθικής στους hackers**
- Οι τεχνικοί **να πληρώνουν με λάθος τρόπο τα κρυπτονομίσματα** ή να παγώνουν ποσά σε ανταλλακτήρια και να μην γίνεται η πληρωμή
- Οι πελάτες να πέφτουν θύματα περεταίρω εκβιασμού και **να πληρώνουν 2 και 3 φορές αφού γινει η πρώτη πληρωμή**
- **Oι decryptors που παραδίδονται να καταστρέφουν τα αρχεία** αντί να τα αποκρυπτογραφούν
- Οι ίδιοι οι επιτιθέμενοι να στέλνουν **λάθος εργαλείο αποκρυπτογράφησης**
- Οι τεχνικοί των πελατών να μην καταλαβαίνουν τα διαφορετικά ID κρυπτογράφησης που υπάρχουν και να εκνευρίζονται με τον επιτιθέμενο
Οπότε από τα λάθη των πελατών έμαθα με την ομάδα μου να κατηγοριοποιούμε τους επιτιθέμενους σε δύο κατηγορίες: Τους περιστασιακούς hackers και τις οργανωμένες εγκληματικές οργανώσεις που λειτουργούν ως franchising με αυστηρούς κανόνες και ηθική (αν μπορούμε να την πούμε ηθική)
Αυτή τη στιγμή έχουμε φτάσει σε ένα επίπεδο αυτοματοποίησης με βάση την εμπειρία μας και τα ιστορικά Logs διαπραγματεύσεων σε πάνω από 2000 περιστατικά, να γνωρίζουμε με στατιστική ανάλυση τι να περιμένουμε από την αρχή.
Όταν πλέον μπαίνω σε ένα περιστατικό με την ομάδα μου, ειδικά σε οργανωμένες συμμορίες υπάρχει ένας συγκεκριμένος αλγόριθμος, που γνωρίζω τι θα ζητήσει και που θα καταλήξει η διαπραγμάτευση. Και σε αυτό έχω μια μικρή απόκλιση του τύπου 15%.
Υπάρχει συγκεκριμένο πρωτόκολλο στην διαδικασία που κάνουμε:
- Αναγνώριση και Threat Intelligence για την συμμορία Ransomware που έχουμε απέναντι μας και αξιολόγηση της συμπεριφοράς τους
- Χρήση του ιστορικού των διαπραγματεύσεων που έχουμε στη διάθεση μας
- Προσέγγιση ρόλων που θα πάρουμε στην διαπραγμάτευση (τεχνικός, ιδιοκτήτης, ενδιάμεσος ή ακόμα και χωρίς συγκεκριμένο ρόλο)
- Συζήτηση με τον πελάτη για το τι ποσό αναμένουμε ότι θα ζητήσει και που μπορούμε να καταλήξουμε
- Στόχος διαπραγμάτευσης (καθυστέρηση, παραλαβή decryptor, αποτροπή data leak ή όλα)
- Εκτίμηση της ζημιάς του πελάτη και αν υπάρχουν εναλλακτικές
- Ποσό το οποίο μπορεί να πληρώσει ο πελάτης;
Επομένως τα skills τα οποία συντέλεσαν στο να είμαι κατάλληλος για τη θέση αυτή είναι:
- Διαπραγματευτικά skills
- Διαπροσωπικές δεξιότητες
- Μεγάλη προϋπηρεσία στο χώρο της πληροφορικής
- Ενασχόληση με την κυβερνοασφάλεια
- Ενασχόληση με την ανάκτηση δεδομένων
- Πολύ καλή γνώση χρήσης των κρυπτονομισμάτων
Ποιος είναι ο σκοπός σε μια διαπραγμάτευση με έναν hacker;
Υπάρχουν πολλά που μπορεί να πει κανείς για αυτό το θέμα καθώς κάθε διαπραγμάτευση δεν είναι ίδια, δεν γίνεται πάντα για να πληρωθούν λύτρα.
Αν μπορούσα κάπως να ιεραρχήσω τους συνήθεις σκοπούς μιας διαπραγμάτευσης με hacker θα έλεγα τα παρακάτω:
- Να μην χάσουμε επικοινωνία με τον επιτιθέμενο (καθώς κρατάει τα δεδομένα μας)
- Να εγγυηθούμε (όσο αυτό είναι εφικτό) ότι η συμφωνία δεν θα αλλάξει και θα γίνει αυτό που συμφωνήσαμε
- Να μάθουμε όσο περισσότερα πράγματα μπορούμε για τη ζημιά που μας έκανε και για την παρουσία του στο δίκτυο μας
- Να διαμορφώσουμε το προφίλ του: Να μάθουμε τι συνήθως ζητάει και πώς διαμορφώνει την τιμολογιακή του πολιτική, να δούμε αν εντάσσεται σε κάποιο γενικότερο πλαίσιο ηθικής μιας γνωστής ομάδας, να μάθουμε τα περιθώρια εκπτώσεων που μπορεί να μας δώσει (αν υπάρχουν), ώστε να είμαστε προετοιμασμένοι για τον επόμενο πελάτη μας
- Να έχουμε πλήρη καταγραφή όλων των ψηφιακών αποδείξεων για να τα προσκομίσουμε στις αρχές με αναλυτικό report
- Να φτάσουμε σε επίπεδο που μπορεί ο πελάτης να καλύψει το ποσό των λύτρων που του ζητούνται
- Να είμαστε όσο το δυνατόν πιο άμεσοι για να τελειώσει γρήγορα
Αναφέραμε παραπάνω ότι η διαπραγμάτευση δεν γίνεται πάντα για πληρωμή. Γίνεται για να μάθουμε στοιχεία για τον επιτιθέμενο και τι στοιχεία έχει για εμάς.
Ειδικά τα τελευταία χρόνια όταν ένας hacker κάνει επίθεση σε μια εταιρία ξέρει ότι πλέον θα βρει αποδοτικότερα συστήματα προστασίας, πολύ καλύτερα backup συστήματα και αναβαθμισμένη ασφάλεια. Άρα το ότι κρυπτογράφησε τα αρχεία και τα Backup μπορεί τελικά να είναι άσκοπο αν ο πελάτης έχει εξελιγμένο σύστημα immutable backup (αδιάβλητο backup από κυβερνοεπιθέσεις).
Και αν αναρρωτιέστε πόσο μπορεί να κατέβει η τιμή… απο 10% έως και 98%.
Όλα εξαρτώνται απο το ποιόν έχεις απέναντι σου και το ιστορικό αρχείο των διαπραγματεύσεων που έχουμε διαχειριστεί, μας δίνει τη δυνατότητα να έχουμε πληροφορίες που μπορεί να γλιτώσουν στον πελάτη εκατοντάδες χιλιάδες ευρώ.
Για να το πούμε κάπως λαικά θα έλεγα “πραγματικά αξίζουμε τα χρήματα μας”.
Φυσικά δεν είναι όλες οι περιπτώσεις οι ίδιες, όμως έχουμε ιστορικό που μας δίνει “διαπραγματευτικό πλεονέκτημα”. Ξέρουμε πού υπάρχει μπλόφα και που μπορεί να σπάσει μια συζήτηση και να έχουμε άσχημες συνέπειες είτε πάυση επικοινωνίας είτε διαρροή στοιχείων.
Πληρώνονται ακόμα λύτρα σε Ransomware;
Φυσικά! Στο 85% των περιπτώσεων που ο πελάτης δεν έχει άλλη επιλογή, ρπληρώνονται λύτρα.
Η μεγαλύτερη μας χαρά βέβαια είναι το 15% που δεν θα χρειαστεί να πληρώσει ο πελάτης λύτρα
Μερικές τέτοιες περιπτώσεις είναι οι παρακα΄τω:
- **Υπάρχει διαθέσιμος decryptor** για το συγκεκριμένο Ransomware (εξαιρετικά σπάνιο την ώρα που το χρειάζεται ο πελάτης αλλά και σπάνιο γενικότερα)
- **Το τμήμα ανάκτησης δεδομένων (data recovery) της εταιρίας μας καταφέρνει να βγάλει δεδομένα** από τα κρυπτογραφημένα αρχεία. Το 2025 γλιτώσαμε κάποιες μεγάλες εταιρίες από το να πληρώσουν λύτρα γιατί καταφέραμε από τα κρυπτογραφημένα αρχεία να ανακτήσουμε αντίγραφο του CRM τους. Αυτό τους επέτρεψε να γλιτώσουν την πληρωμή. Τα λύτρα συνολικά που δεν πληρώθηκαν ήταν πάνω από 4.000.000ευρω.
- **Το τμήμα ανάκτησης δεδομένων καταφέρνει να ανακτήσει αρχεία** από κάποιο χαλασμένο NAS
- **Οι Incident Responders καταφέρνουν και βρίσκουν κάποια παλαιότερα Backups** που είναι σε κατάσταση και ημερομηνίες που μπορούν να χρησιμοποιηθούν.
- Ένας παλαιός χαλασμένος δίσκος ή ένα χαλασμένο ξεχασμένο RAID σύστημα που χάλασε πρόσφατα και μπορούμε να κάνουμε ανάκτηση
- Ενας Offline δίσκος
Στις υπόλοιπες περιπτώσεις (που είναι κει το μεγαλύτερο ποσοστό) συνήθως ο πελάτης πληρώνει λύτρα στους επιτιθέμενους αν δεν έχει άλλη επιλογή.
Μια Κυβερνοεπίθεση μπορεί να οδηγήσει μια επιχείρηση σε άμεση καταστροφή ή την σταδιακή καταστροφή της.
Το πώς πληρώνει πάλι είναι ένα ιδιαίτερο θέμα. Δεν είναι πάντα εύκολο να πληρώσεις, ακόμα και αυτό πάνω στον πανικό είναι δύσκολο, έχει διαδικασίες και αν δεν τις ξέρεις είναι δύσκολο και μπορεί να γινουν λάθη.
Στην εταιρία μας δεν πληρώνουμε τους Hackers, δεν κάνουμε συναλλαγή με κρυπτονομίσματα.
Όμως γνωρίζουμε τους αξιόπιστους Providers που μπορούν να βοηθήσουν σε κάθε περίπτωση και βοηθάμε τον πελάτη (εφόσον έχουν εξαντληθεί όλες οι δυνατές λύσεις που έχουμε χρονικά στη διάθεση μας) να κατανοήσει τη διαδικασία της πληρωμής και να αξιολογήσει ποιόν θα πληρώσει. Δηλαδή πάνω στην κρίση, αποτρέπουμε περεταίρω λάθη και καθοδηγούμε τον πελάτη να έχει σωστές επιλογές.
Επίσης κρατάμε και όλα τα αποδεικτικά στοιχεία για να μπορούν οι διωκτικές αρχές να συνεχίσουν το έργο τους με την αναφορά που τους παραδίδουμε.
Και βέβαια έχουμε δει πελάτες που παρόλο που έχουμε ανακτήσει τα αρχεία τους πληρώνουν για να γλιτώσουν την δημοσίευση των δεδομένων που τους πήρε ο hacker ή τη δημοσίευση του ονόματος τους.
Δεν δημοσιεύονται όλα τα περιστατικά;
Όχι. Ειδικά σε πολύ μικρές επιχειρήσεις (στις οποίες έχουμε πάρα πολλά περιστατικά) οι ιδιοκτήτες και οι μέτοχοι δεν θέλουν να δημοσιευτεί το περιστατικό.
Στις μεγάλες εταιρίες πάνω από 10.000.000 τζίρο / 50+ άτομα προσωπικό, πλέον είναι απαραίτητο να δημοσιευτεί το περιστατικό και να ενημερωθούν οι απαραίτητες αρχές αλλά παράλληλα ανάλογα τις κανονιστικές υποχρεώσεις να γίνει κοινοποίηση προς τρίτους.
Ποιες εταιρίες πέφτουν θύματα Ransomware συνήθως;
Οι μεγάλες εταιρίες γίνονται στόχαστρο λόγω του τζίρου τους. Οι hackers τις στοχοποιούν και καταβάλλουν μεγαλύτερη προσπάθεια. Ξοδεύουν χρόνο μέσα στις υποδομές τους, εντοπίζουν τα Backup τους και μόλις σιγουρευτούν ότι έχουν αναγνωρίσει το περιβάλλον και τα backup κρυπτογραφούν τα πάντα.
Για να σας δώσω ένα πολύ ιδιαίτερο παράδειγμα πολύ μεγάλης εταιρίας στον κλάδο των τροφίμων, επειδή είχαν μεγάλους τζίρους, ανακαλύψαμε ότι ο επιτιθέμενος είχε μπει στο περιβάλλον τους 3 μήνες περίπου πριν το περιστατικό.
Είχε αναγνωρίσει που έχουν όλα τα Backup, τα διαφορετικά locations της εταιρίας αλλά και ότι είχαν offline backups. Συγκεκριμένα ο μηχανογράφος κρατούσε 6 σκληρούς δίσκους που κάθε μέρα έβαζε και έναν για Backup και τον έβγαζε offline. Την επόμενη μέρα τον επόμενο και ούτω καθεξής. Άρα στο τέλος της εβδομάδας έγραφε ξανά offline backup στον πρώτο δίσκο πάλι.
Όταν μπήκαμε στο περιστατικό, διαπιστώσαμε ότι ο επιτιθέμενος είχε αναγνωρίσει αυτή τη διαδικασία και είχε φτιάξει ένα Script το οποίο με το που γινότανε κάθε Offline backup έγραφε μηδενικά στα αρχεία και τα έκανε corrupt. Με αποτέλεσμα την ημέρα που κρυπτογραφήθηκε η υποδομή τα Offline backups δεν μπορούσανε να γίνουν restore. Σενάρια επιστημονικής φαντασίας.
Οι μικρές εταιρίες δέ πέφτουν στην κατηγορία “βρήκα φώς και μπήκα”. Δηλαδή τα χτυπήματα γίνονται τυχαία. Δεν έχει σημασία αν είσαι μικρός ή μεγάλος, δεν έχει σημασία αν είσαι στην Αθήνα ή αν έχεις ενα μικρό γραφείο με 2 υπολογιστές στην Χίο.
Οι Hackers σκανάρουν μαζικά τα διάφορα IPs και βλέπουν αν έχεις πόρτες ανοιχτές (και οι περισσότερες μικρές εταιρίες έχουν πολλές).
Δηλαδή κάνεις απλά ενα port scanning και φτάνεις στον Server της εταιρίας με username: admin και κωδικό: p@$$w0rd. Με ένα μικρό Brute force attack ή ένα Windows 10 μηχάνημα φτάνουν να έχουν πρόσβαση στα πάντα. Οπότε μέσα σε 30 λεπτά κρυπτογραφούν τα πάντα και ζητάνε 5000, 10000 ή 20000 ευρω. Μερικές φορές δεν ξέρουν και δεν τους ενδιαφέρει καν αν έχεις να τα πληρώσεις.
Άρα λοιπόν ο κίνδυνος υπάρχει ανεξάρτητα του τι είσαι και που είσαι και αν αντέχεις να πληρώσεις. Η ζημιά θα γίνει και θα ειναι μεγάλη.
Υπάρχει ικανοποίηση στην εργασία του Ransomware Negotiator;
Όταν ήμουν μικρότερος, ήθελα να γίνω γιατρός για να βοηθάω τον κόσμο και να σώζω ζωές. Φυσικά η πραγματικότητα με προσγείωσε απότομα όταν κατάλαβα οτι δεν έχω τις αντοχές να το πλαισιώσω αυτό με τις αντίστοιχες σπουδές. Η πληροφορική σε όλες τις μορφές της ήταν η λατρεία μου και με θυμάμαι απο 13 χρονών να διαβάζω περιοδικά πληροφορικής χωρίς καν να έχω υπολογιστή.
Όταν λοιπόν πέρασα απο το αντικείμενο της ανάκτησης δεδομένων, ένιωσα για πρώτη φορά τη χαρά να παραδίδεις αρχεία τα οποία ο πελάτης σου θεωρεί για πάντα χαμένα. Τα χαμόγελα και η αίσθηση που νιώθεις με τα καλά λόγια που σου μεταφέρει ο πελάτης είναι πολύ πιο σημαντικά για εμένα απο ότι η ίδια η πληρωμή (η οποία φυσικά είναι και υψηλή λόγω εξειδίκευσης, εργαλείων, ανταλλακτικών και ρίσκου). Ακόμα και σήμερα όταν έχω κακό mood διαβάζω κριτικές πελατών της ανάκτησης δεδομένων.
Συγκρίνοντας το με το Ransomware Negotiation και το Incident Response θα έλεγα οτι η σχέση που αποκτάς με τον πελάτη τις μέρες που περνάει αυτή η κρίση, είναι μια απίστευτη εμπειρία. Είσαι ψυχολόγος, κάνεις crisis management, είναι σαν να βρίσκεσαι σε μια πολυκατοικία που καταρρέι… ειδικά όταν είναι μεγάλη η εταιρία.
Γίνεσαι ένα με τους μετόχους ή τους ιδιοκτήτες και αποκτάς μια πολύ προσωπική επαφή μαζί τους. Ζείς το προσωπικό, τους τεχνικούς να κρέμμονται απο την παρουσία σου και τα λόγια σου. Το ζείς πολύ πιο έντονα το περιστατικό της καταστροφής.
Είναι επίσης εκπληκτική η αίσθηση του δεσίματος που έχεις με τα μέλη της ομάδας σου. Στο Incident Response οι στιμές και οι αγωνίες σε δένουν με τους συναδέλφους, γιατί δεν πάνε πάντα ρόδινα όλα, οπότε πρέπει να έχεις μαζί σου τους καλύτερους! Να σε στηρίξουν και να τους στηρίξεις. Να σε βοηθήσουν και να βοηθηθείς, να ανταλλάξεις τεχνογνωσία, να μάθεις πράγματα και να γίνεις σοφότερος… ιδίως στην επικοινωνία και τις ανθρώπινες σχέσεις. Και βέβαια ζείς πολύ πιο έντονα και τα εύσημα στο τέλος όταν πάνε καλά τα πράγματα.
Όταν κάποια βράδια περιμένεις απάντηση απο τον hacker ή πρέπει να πάρεις αποφάσεις βρίσκεται όλη η ευθύνη πάνω σου. Οι στιγμές είναι ιδιαίτερα δύσκολες και δεν υπάρχουν ωράρα. Κάθε λέξη που θα πείς μετράει. Όση εμπειρία και να έχεις πάντα υπάρχουν ιδιαίτερα έντονες στιγμές γιατι και οι hackers είναι άνθρωποι και οι άνθρωποι έχουν Patterns, αλλά μερικές φορές ξεφεύγουν απο αυτά και πρέπει να προσαρμοστείς.
Ειναι μια εργασία με πολύ έντονες στιγμές, τόσο δύσκολες όσο και απολαυστικές.
Το μεγάλο κακό της υπόθεσης είναι οτι μόλις ένας στους 500 πελάτες θα σου γράψει μια δημόσια κριτική, καθώς δεν θέλει να παραδεχτεί το συμβάν. Οπότε χάνεις τα φώτα της δημοσιότητας.
Απο την άλλη μεγαλώσαμε πολύ, διότι παρόλο που οι πελάτες δεν γράφουν δημόσιες κριτικές, θα σε αναφέρουν σε κάποιον φίλο ή γνωστό όταν έχει κυβερνοεπίθεση. Και το word of mouth στη δουλειά μας μετράει πολύ. Έτσι παίρνουμε την ικανοποίηση που πάλι είναι πάνω απο οποιαδήποτε πληρωμή.
Τι μπορούν να κάνουν οι εταιρίες για να προστατευτούν;
Σε απάντηση αυτού θα σας δώσω την απάντηση ενός χακερ σε ένα πρόσφατο περιστατικό που μας έδωσε κάποιες γενικές συμβουλές.
- **Backups ή Disaster Recovery πλάνο το οποίο δεν δοκιμάστηκε αν αντέχει κυβερνοεπίθεση**
Οι περισσότερες επιχειρήσεις έχουν ένα είδος Backup. Δημιουργία αντιγράφου ασφαλείας στον ίδιο τον Server, σε ένα δικτιακό File Sharing Space ή NAS, σε μια άλλη τοποθεσία, σε εξωτερικούς δίσκους αποσυνδεδεμένους, στο Cloud κλπ. Όμως ποιός κοίταξε το backup τελευταία φορά αν λειτουργεί; Πώς γνωρίζετε οτι ο hacker δεν σας “παρακολουθούσε” όταν κάνατε το backup; Πώς γνωρίζετε οτι ο Hacker δεν μπορεί να σβήσει το backup? Για αυτό χρειάζεστε ένα Risk Assessment με τα μάτια ενός ειδικού.
- **"Η αρχική πρόσβαση αγοράστηκε στο dark web" - το ακούσαμε πολλές φορές απο hackers**
Δεν έγινε hacking από το μηδέν. Κάποιος είχε ήδη πουλήσει credentials ή VPN access. Το ransomware ξεκινά από κλεμμένη ταυτότητα, όχι από malware.
- **Kerberoasting και brute-force οδήγησαν σε Domain Admin**
Αδύναμοι ή παλιοί κωδικοί, service accounts χωρίς έλεγχο και Active Directory χωρίς hardening επιτρέπουν τον πλήρη έλεγχο του domain.
- **Οι attackers έμειναν εβδομάδες μέσα στο δίκτυο**
Απουσία ουσιαστικού monitoring και έγκαιρης ανίχνευσης lateral movement. Οι περισσότερες επιθέσεις είναι αργές και αόρατες, όχι άμεσες.
- **Ο ανθρώπινος παράγοντας παραμένει κρίσιμος**
Phishing, ύποπτα emails και links εξακολουθούν να λειτουργούν. Awareness χωρίς τεχνικά controls δεν αρκεί.
- **Αδύναμοι και επαναχρησιμοποιημένοι κωδικοί**
Σπάνια αλλαγή passwords και έλλειψη πολιτικής δημιουργούν ιδανικές συνθήκες για credential abuse.
- **Έλλειψη MFA / 2FA**
Αν υπήρχε MFA παντού, το αρχικό access πιθανότατα δεν θα είχε πουληθεί και η επίθεση δεν θα είχε κλιμακωθεί.
- **Μη ενημερωμένα λειτουργικά και λογισμικό**
Όχι μόνο θέμα exploits. Τα μη patched συστήματα διευκολύνουν το lateral movement και την παραμονή του attacker.
- **EDR χωρίς πραγματικό monitoring**
Τα εργαλεία υπήρχαν ή θα μπορούσαν να υπάρχουν, αλλά χωρίς διαδικασία και ανθρώπινη επίβλεψη δεν αποτρέπουν την επίθεση.
- **Flat network και VPN χωρίς segmentation**
Η έλλειψη jump hosts και διαχωρισμού δικτύου επιτρέπει γρήγορη εξάπλωση και πλήρη έλεγχο.
Οι «συμβουλές» του hacker δεν είναι best practices. Είναι η λίστα των λαθών που εκμεταλλεύτηκε. Και εξηγούν γιατί το Backup & Disaster Recovery, το Security by design, το monitoring και το Incident Response είναι κρίσιμα.
Δυστυχώς η χώρα μας είναι αρκετά πίσω σε όλα αυτά και αργά η γρήγορα ένα Ransomware Incident θα συμβεί κάπου δίπλα σας. Αχρείαστος να είναι ο ρόλος του Ransomware Negotiator καθώς η διαπραγμάτευση δεν είναι αυτοσκοπός αλλά ένα εργαλείο crisis management.
Μιχάλης Μίγγος COO Tictac Cyber Security / Expert Ransomware Negotiator www.tictac.gr / www.tictaclabs.com