Is onderhandelen uw beste strategie als het om ransomware gaat?

Door Dan Raywood • 8 augustus 2024

Kunt u, in plaats van alleen maar een vergoeding te betalen om uit een ransomware-situatie te komen, een uitweg vinden met de juiste stappen en vaardigheden? Dan Raywood bekijkt de verhalen en opties.

Het afgelopen jaar woedde er een debat: moet je losgeld betalen aan een aanvaller of niet? Eerder dit jaar zei voormalig hoofd van het Britse National Cyber Security Center Ciaran Martin zei in een redactioneel commentaar dat losgeldbetalingen illegaal moeten zijn. Toenmalig directeur Jen Easterly van het Cybersecurity and Infrastructure Security Agency zei dat ze dat niet deed zie een algeheel verbod op het betalen van losgeld gebeuren.

Met of zonder verbod op het betalen van losgeld, ligt hier een enorme uitdaging: wanneer het slachtoffer is geïnfecteerd met ransomware, ziet het slachtoffer doorgaans een scherm met een verzoek om betaling, het bedrag dat nodig is om de decoderingssleutel te verkrijgen en waar de betaling naartoe moet worden gestuurd. Als ze pech hebben, is er soms een timer voor wanneer de betaling moet plaatsvinden, en dit kan leiden tot het verwijderen (of zelfs lekken) van in beslag genomen gegevens.

Ransomwarebetalingen zijn een vrij onbekende factor. Er zijn er enkele die we kennen: CNA Financial betaalde 40 miljoen dollar in 2021, terwijl casino-exploitant Caesars betaalde $ 15 miljoen vorig jaar. In Groot-Brittannië, de 2023 Royal Mail Bij de aanval eisten aanvallers een betaling van 80 miljoen dollar zij bepaalden 0.5% van de inkomsten van Royal Mail bedragen.

Royal Mail deed het bedrag af als “absurd” en zei dat 80 miljoen dollar “een bedrag is dat nooit serieus genomen zou kunnen worden door ons bestuur.” Dit zorgt ervoor dat er wordt nagedacht over hoeveel slachtoffers losgeld betalen – terwijl het geen absurd bedrag is – om de malware te laten verdwijnen.

Een van de problemen hier is dat er geen daadwerkelijke cijfers zijn over wie wat betaalt, en daarom is er geen schaal voor de omvang van de betaling die een oplossing kan zijn.

Geen andere keuze dan betalen?

Als u geen andere keuze heeft dan te betalen, staat u een onderhandelingen in het vooruitzicht. In dit geval werk je met criminelen: je hebt geen idee wie ze zijn, waar ze vandaan komen of hoe goed georganiseerd ze zijn.

De begeleiding bestaat, en het grootste deel ervan moedigt voorzichtigheid aan bij het spreken met de aanvallers, het beoordelen van wat ze hebben en het niet meer prijsgeven van informatie.

Alex Papadopoulos, directeur incidentrespons en paraatheid bij Secureworks, zegt dat het onderhandelingsproces niet alleen over de prijs gaat, maar ook over het kopen van tijd voor jezelf. Het is de moeite waard om te onderhandelen om de positie van de aanvaller beter te begrijpen.

“Wat we uit de rapporten van anderen lezen, is dat ze meestal openstaan voor onderhandelingen, omdat ze beseffen dat het niet goed is voor het bedrijfsleven als ze een te harde lijn hebben; dan staan ze bekend als volkomen onredelijk”, zegt hij.

Bovendien zullen de aanvaller en het slachtoffer tijdens het onderhandelingsproces meer over elkaar te weten komen. Papadopoulos zegt dat de meeste ransomware-aanvallen opportunistisch zijn en dat ze pas begrijpen wie het slachtoffer is als ze met hen beginnen te praten.

"Ze hebben niet de tijd en moeite gestoken in het uitvoeren van dat onderzoek", zegt hij. “Dus tijdens het onderhandelingsproces willen ze meer over u weten en dus ook over wat u kunt betalen.”

Dit leidt tot onderhandelen over de prijs: zoals we in de eerder genoemde gevallen hebben gezien, zal het slachtoffer nooit betalen als de aanvallers te veel vragen. In andere gevallen vragen aanvallers te weinig. Papadopoulos vertelt het verhaal van een aantal ransomware-aanvallers die €8 miljoen eisten, en het slachtoffer onmiddellijk betaalde omdat de aanvaller zich niet had gerealiseerd wat de waarde was van wat ze in beslag hadden genomen en waar ze om hadden kunnen vragen.

Verzekeringsvereisten

Onderhandeling is zelfs een vereiste geworden voor verzekeringsclaims. Waar bedrijven ooit uitsluitend onderhandelings- en betalingsuitwisselingsdiensten aanboden, zegt Papadopoulos, “is onderhandelen voor veel verzekeringsmaatschappijen een vereiste geworden.”

Hij legt uit dat “veel aanbieders van digitale forensische en incidentrespons (DFIR) praktisch gedwongen zijn om dat enigszins duistere, enigszins grijze gebied” van onderhandelen met cybercriminelen te betreden, en zegt dat bedrijven mensen nodig hebben die klaar zijn om die taak uit te voeren.

Dit leidt tot de noodzaak van een effectief en robuust bedrijfscontinuïteitsplan. Als u overweegt om aan ISO 22301 te voldoen, moet u ervoor zorgen dat u een ransomware-aanval kunt overwinnen en aan de goede kant van de legaliteit kunt blijven.

Een gat repareren

Na de onderhandelingen ben jij in handen van de aanvaller om de decoderingssleutel te bemachtigen, het systeem te herstellen en de gaten te dichten waar de aanvaller binnenkwam.

Dit leidt tot best practice-opties om te voorkomen dat aanvallers in de toekomst toegang krijgen, en het garanderen van naleving van een erkend raamwerk is een stap in de richting van een betere algehele beveiliging.

Manoj Bahtt, lid van de adviesraad van Club CISO, zegt dat er specifieke controles zijn die organisaties zouden moeten onderzoeken om te implementeren om ervoor te zorgen dat ze beschermd zijn tegen ransomware, en in ISO 27001:2022 zijn dit:

Training voor beveiligingsbewustzijn
Beheerderstoegang op desktops
Antivirus-/inbraakbeveiligingssysteem
Kwetsbaarheids-/configuratiebeheer
Gegevensback-ups

Binnen NIST CSF 2.0 zijn er ook controles in de zes categorieën die zich richten op het beschermen van organisaties tegen ransomware, en CIS versie 8.0 – Controle 8: Malware-verdediging stelt de volgende controles voor die organisaties kunnen helpen beschermen tegen ransomware:

8.2 Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt
8.4 Configureer anti-malwarescans van verwisselbare media
8.5 Apparaten zo configureren dat inhoud niet automatisch wordt uitgevoerd

Bhatt zei dat ondanks dat er geen specifieke controles in raamwerken zijn om te beschermen tegen ransomware, omdat het een aanvalsvector is, er begeleiding beschikbaar is om u te helpen de juiste bescherming te implementeren en de kans op een impact te verkleinen.

Uiteindelijk blijft ransomware een groot probleem voor alle bedrijven, maar het kan de moeite waard zijn om te overwegen of dit een manier is om jezelf te bevrijden. Er is echter de kwestie van het werken met criminelen, en er wordt een nieuwe sector gevormd om beoefenaars specifiek te helpen bij het omgaan met deze situatie.

Het hebben van de juiste beschermingsmaatregelen, het hebben van een auditor die uw beveiligingsniveau bevestigt en het volgen van de aanbevelingen van een raamwerk over best practices zullen er in grote mate toe bijdragen dat u dit duistere werk niet hoeft te doen.

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood