Met weinig opties geven bedrijven steeds meer toe aan de eisen van ransomware

Bedrijven worden met weinig opties geconfronteerd en geven steeds vaker toe aan cybercriminelen die hun gegevens gijzelen en betaling eisen voor de terugkeer ervan, terwijl wetshandhavers moeite hebben om de bijna onzichtbare daders te vangen.

De risico's voor organisaties zijn zo ernstig geworden dat velen hun aanvallers gewoon betalen om ze te laten verdwijnen - een strategie die de boeven alleen maar kan aanmoedigen.

Het is een geval van asymmetrische elektronische oorlogsvoering. Ransomware, die bestanden versleutelt totdat een slachtoffer betaalt om ze te laten ontgrendelen, kan verwoestend zijn voor een organisatie. Behalve een up-to-date back-up, kan er weinig worden gedaan behalve het betalen van de aanvallers om de decoderingssleutels te leveren.

Minder vaak, maar net zo schadelijk zijn afpersingsschema's, waarbij aanvallers beweren dat ze kritische gegevens hebben gestolen en dreigen deze openbaar te maken tenzij aan hun eisen wordt voldaan. Tijdschema's zijn krap: hackers kunnen een bedrijf minder dan 48 uur de tijd geven om te voldoen, waardoor een race begint om te bevestigen welke gegevens, indien aanwezig, zijn gestolen.

De kosten van ransomware en afpersing zijn moeilijk te berekenen. Afgelopen juni schatte de FBI dat de CryptoWall-ransomwarefamilie alleen Amerikaanse organisaties het afgelopen jaar 18 miljoen dollar had gekost. In oktober stelde een branchegroep de totale kosten van CryptoWall - die voor het eerst medio 2014 werd ontdekt - veel hoger uit, met een verbluffende $ 325 miljoen.

Afpersingskosten zijn nog moeilijker in te schatten, omdat bedrijven vaak niet willen toegeven dat ze het slachtoffer zijn geworden. Computerbeveiligingsbedrijf FireEye zegt bedrijven te kennen die meer dan $ 1.000.000 hebben betaald om te voorkomen dat gevoelige gegevens worden vrijgegeven, hoewel de meeste incidenten voor minder worden opgelost.

Het aantal zaken is overweldigend bij de wetshandhaving, zei Erin Nealy Cox, een voormalige federale aanklager voor cybercriminaliteit en hoofd van de eenheid voor incidentbestrijding bij Stroz Friedberg, die forensisch computeronderzoek uitvoert..

De FBI en de geheime dienst "vinden het in veel gevallen prima dat ze in wezen instemmen met de betaling van het losgeld", zei Nealy Cox, hoewel ze benadrukte dat dit niet hun officiële standpunt is.

Groepen die de aanvallen uitvoeren, zijn moeilijk te vinden. Ze zijn ervaren in het volgen van hun sporen en eisen betaling in de cryptocurrency bitcoin, waardoor betalingen moeilijk te traceren zijn. Ook zijn de hackers vaak gevestigd in landen die niet nauw met de VS samenwerken op het gebied van cyberbeveiliging, waardoor arrestaties onwaarschijnlijk zijn.

Het ontgrendelen van de gecodeerde bestanden is vaak bijna onmogelijk.

"Het is een grote uitdaging om slachtoffers te decoderen", zegt Andrew Komarov, CIO van InfoArmor, die informatie verzamelt over cyberdreigingen.

InfoArmor heeft enig succes gehad met het verstoren van ransomware door te infiltreren in de computernetwerken waarmee het werd beheerd. In een voorbeeld zei Komarov dat er een kwetsbaarheid was gevonden binnen het command-and-control-netwerk dat werd gebruikt om ransomware te verspreiden genaamd CryptoLocker.

Screenshot

De waarschuwing die wordt weergegeven door CryptoLocker, een van de vele ransomwareprogramma's.

Door de kwetsbaarheid konden onderzoekers een opdracht verzenden waardoor het leek alsof duizenden slachtoffers hun losgeld hadden betaald, waardoor hun computers werden gedecodeerd, aldus het rapport van InfoArmor.

Maar gelukkige eindes zijn ongebruikelijk. De meest goed gedocumenteerde incidenten met ransomware hebben de medische industrie getroffen. Hollywood Presbyterian Medical Center in Los Angeles betaalde 40 bitcoins - ongeveer $ 17.000 - om de bestanden te decoderen. 

Allen Stefanek, president en CEO van Hollywood Presbyterian, zei dat de betaling 'in het belang van het herstel van de normale bedrijfsvoering' was.

Vier weken later zei het Methodist Hospital in Henderson, Kentucky, dat een stuk ransomware dat bekend staat als Locky zijn systemen heeft geïnfecteerd, aldus computerbeveiligingsschrijver Brian Krebs. Het ziekenhuis betaalde geen losgeld, maar kon zijn systemen herstellen, volgens een lokaal nieuwsbericht.

Ransomware- en afpersingsschema's bieden voordelen boven andere vormen van cybercriminaliteit. In plaats van gegevens te stelen en daarvoor een koper te zoeken in risicovolle transacties die plaatsvinden in ondergrondse fora, wordt een kwetsbaar slachtoffer rechtstreeks benaderd voor betaling.

"We beginnen tegenstanders in veel regio's te zien die data als een wapen gaan beschouwen", zegt Dmitri Alperovitch, CEO van Crowdstrike. 'Zeker hebben de Noord-Koreanen dat met Sony gedaan.'

Sony Pictures, wiens aanvallers gigabytes aan gevoelige interne gegevens hebben vrijgegeven en computers hebben vernietigd, werd gevraagd geen film uit te brengen die als aanstootgevend werd beschouwd voor de Noord-Koreaanse leider Kim Jong-un. De Amerikaanse regering schreef de aanval snel toe aan Noord-Korea.

Het betalen van losgeld is een hang-wringend voorstel en niet zonder tegenstanders.

Vorige maand lanceerde Roman Hussy, die een beveiligingsblog beheert, een Ransomware Tracker - een tool die servers over de hele wereld catalogiseert die zijn gekoppeld aan ransomwarecampagnes. Hij startte de tracker nadat hij zag dat veel mensen het slachtoffer werden.

"De gouden regel is regelmatig back-ups maken en nooit losgeld betalen", schreef Hussy. "Het betalen van losgeld zal de cybercriminaliteit van de onverlaten financieren en de infrastructuur die ze gebruiken om verdere fraude te plegen, en zal de aanvallers motiveren om hun aanvallen te blijven uitvoeren."

Hussy's verzetsstrategie zou uiteindelijk kunnen werken, maar daarvoor zouden veel organisaties op hun zwaard moeten vallen.

Kevin Mandia, chief operating officer van FireEye en oprichter van Mandiant, zei dat het resultaat van niet betalen een groot risico en schaamte zou kunnen betekenen - als bijvoorbeeld de e-mail van een bedrijfsadviseur wordt gelekt.

"Wat zou jij doen?" Zei Mandia in een recent interview. 'De alternatieven zijn behoorlijk slecht.'

De toename van pogingen tot ransomware en afpersing is waarschijnlijk een uitvloeisel van een betere beveiliging van betaalkaarten in de Verenigde Staten. Het wordt steeds moeilijker om geld te verdienen met gestolen kaartgegevens, dus aanvallers hebben een gemakkelijkere manier gevonden om geld te genereren.

FireEye heeft gezien dat een aantal van dezelfde hacktools en infrastructuurgebruik voor door de staat gesponsorde cyberspionage nu wordt gebruikt voor afpersing, wat suggereert dat ervaren hackers een jus-trein zien.

"Eindelijk realiseerden de Russische georganiseerde misdaad en groepen uit China zich, nou, we hebben nog steeds de hackvaardigheden, we krijgen kaartgegevens waarmee we niet meer zo gemakkelijk geld kunnen verdienen, dus dwingen we af," zei Mandia.

Op 22 maart heeft het ministerie van Justitie aanklachten tegen drie leden van het Syrische elektronische leger, een groep die een meerjarige hackcampagne heeft gevoerd ter ondersteuning van president Bashar al-Assad, niet openbaar gemaakt..

Twee van de mannen worden ook beschuldigd van het afpersen van 14 Amerikaanse en internationale slachtoffers nadat ze hun systemen hadden gehackt en dreigden schade te veroorzaken of gestolen gegevens te verkopen. Onder de slachtoffers waren een Chinees online gamingbedrijf, een Britse webhostingprovider en een online mediabedrijf.

Alles bij elkaar eisten de mannen naar verluidt meer dan $ 500.000, hoewel ze hun eisen na onderhandelingen vaak verlaagden, volgens de strafklacht.

'Een deel hiervan lijkt op gijzelingonderhandelingen', zei Alperovitch van Crowdstrike. 'Je kunt de dialoog met een crimineel beginnen en kijken of je ze kunt tegenhouden en meer tijd voor jezelf kunt krijgen.'

Maar 'niets is waterdicht als je met dieven te maken hebt', zei hij.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.