Ha beüt a zsarolóvírus, és jön vele a váltságdíj követelés, akkor elsőre gyakran roppant magas összeget jelölnek meg az elkövetők. A dolog egyik oldala, hogy a bűnözők ha okosak, figyelembe veszik a megtámadott cég méretét, bevételeit, egy rájuk kiróható GDPR bírság mértékét, és ezek fényében testre szabják a követelésüket. A dolog másik oldala pedig az áldozat megfelelő reagálásán múlik, jó ha van neki ilyen.
Akár kérhetünk is dolgokat, ezt a tanulságot talán a Rendőr akadémia film azon jelenete szimbolizálja a legjobban, ahol az újoncoknak még civil ruhában a borbélynál kell kezdeniük. Az első két jelentkezőnek nullás géppel letolják a haját, ám a harmadik azt kéri a fodrásztól, hogy csak egy picit igazítsa meg neki oldalt, mire a válasz: oké, rendben. A két első kopasz pedig elképedve összenéz: hát ezt is lehet?
Nagyjából erre mutat rá a ransomware zsarolások tárgyalási menete is, ahol ha van megfelelő szakember a cégen belül, vagy egy külsős biztonsági szakértő, aki képes érdemben alkudozni, akkor ezzel jelentős engedményeket lehet elérni.
Voltak korábban is olyan ismertebb incidensek, ahol konkrétan lehetett tudni, hogy tárgyalás, egyeztetés, alkudozás zajlott le a háttérben. Az egyik például a CWT Business Travel Management Company elleni támadás volt. A Minnesotában található utazási társaság éves bevétele hozzávetőlegesen 1.5 Mrd dollár, és világszerte mintegy 18 ezer alkalmazottal dolgoznak.
A támadásban 30 ezer számítógép állományait lopták és kódolták el, megsemmisítve és egyúttal megszerezve mintegy 2 TB bizalmas céges adatot. A beszámolók szerint a végül bitcoinban kifizetett 4.5 millió dollár már egy kialkudott ár volt, a kezdeti követelés összege a zsarolók részéről ugyanis eredetileg 10 millió USD volt.
Tudni kell azonban, hogy a bűnözők is igyekeznek ellenállni és maximalizálni a profitjukat, így az alkudozás korántsem egyszerű, sőt még azt is szabályozzák, hogy mekkora engedményt kell elutasítani, és mekkorát lehet elfogadni az áldozatok részéről.
Például központilag megszabják, hogy a megtámadott intézmény éves árbevételéhez kell igazítani a váltságdíjat, és a RaaS partnereiknek eleve megtiltják az 50%-ot meghaladó kedvezményt a tárgyalási folyamat során. Ha pedig azt látják, hogy az áldozat vállalata rendelkezik kiberbiztosítással, úgy gyakran nem is engednek az alkudozásnak.
Szóval észszerű kereteken belül azért igenis lehet eredményeket elérni azoknak, akik nem elutasítják, hanem egyáltalán hajlandóak a váltságdíj fizetésre. Egy friss felmérés szerint a megkérdezett 3400 informatikai és kiberbiztonsági cégvezető közel fele fizetett már ki váltságdíjat az adatai visszaszerzéséért tavaly, ám az is látszik, hogy az áldozatok több mint fele (53%) kevesebbet fizetett az eredeti követelésekhez képest.
Tovább színesíti a képet az az adat, hogy ezen esetek 71%-ban sikerült valamiképpen lebuktatni a támadókat a tárgyalási, alkudozási folyamatok során megszerzett extra információk segítségével.
A vállatoknak a védekezés mellett fontos feladata a felkészülés, ami nem csak az incidensekre való reagálási tervet jelenti, hanem a különböző forgatókönyvekre kidolgozott gyors lépéseket.
Például szakképzett külső IT biztonsági tárgyaló igénybevételét, amivel nemcsak a váltságdíj fizetések összegét tudják hatékonyan csökkenteni, hanem felgyorsítják a rendszereik helyreállítási idejét, sőt sok esetben további károkat, folyamatban lévő támadásokat is meg tudnak ezzel állítani.
Pár szó még a jelentésben szereplő összegekről, a statisztika szerint az átlagos váltságdíj követelés mértéke tavaly harmadával csökkent, az előző évi 2 millió dollárról 1.3-ra. A ténylegesen kifizetett összegek is csökkentek a tanulmány szerint felére, ez tavaly átlagosan 1 millió USD volt, szemben az előző évi átlag 2 millió dollárhoz képest.
Ebben ha nem is kizárólagos, de mindenesetre jelentős járulékos szerepe lehetett annak, hogy a vállalatok közel fele aktívan tárgyalt a zsarolókkal, és sok esetben sikerült elérniük, hogy ha egyszer már rákényszerültek, akkor legalább kevesebbet fizessenek, mint amennyit a bűnözők eredetileg kértek tőlük.
