Med få muligheder giver virksomheder i stigende grad krav til ransomware

Over for få muligheder giver virksomheder i stigende grad efter for cyberkriminelle, der holder deres data som gidsler og kræver betaling for dets tilbagevenden, mens de retshåndhævende myndigheder kæmper for at fange de næsten usynlige gerningsmænd.

Risikoen for organisationer er blevet så alvorlig, at mange simpelthen betaler deres angribere for at få dem til at forsvinde - en strategi, der muligvis kun embolder skurker.

Det er et tilfælde af asymmetrisk elektronisk krigsførelse. Ransomware, som krypterer filer, indtil et offer betaler for at få dem låst op, kan være ødelæggende for en organisation. Bortset fra en opdateret sikkerhedskopi kan der kun gøres lidt bortset fra at betale angribere for at give dekrypteringsnøglerne.

Mindre almindelige, men lige så skadelige, er afpresningsordninger, hvor angribere hævder at have stjålet kritiske data og truer med at frigive dem offentligt, medmindre deres krav er opfyldt. Tidsrammer er stramme: Hackere kan give et selskab mindre end 48 timer til at overholde, idet de starter et løb for at bekræfte hvilke data, hvis nogen, der er stjålet.

Omkostningerne ved ransomware og afpresning er vanskelige at beregne. Sidste juni vurderede FBI, at CryptoWall-ransomware-familien alene havde kostet amerikanske organisationer 18 millioner dollars i løbet af det foregående år. I oktober satte en erhvervskoncern de samlede omkostninger ved CryptoWall - som først blev opdaget i midten af ​​2014 - langt højere til en svimlende $ 325 millioner.

Omkostninger ved afpresning er endnu sværere at estimere, da virksomheder ofte ikke er villige til at indrømme, at de er offer. Computersikkerhedsfirma FireEye siger, at det kender til virksomheder, der betalte mere end $ 1.000.000 for at forhindre, at følsomme data frigives, selvom de fleste hændelser løses for mindre.

Mængden af ​​sager er overvældende retshåndhævelse, sagde Erin Nealy Cox, en tidligere føderal cyberkriminaladvokat og leder af hændelsesresponsenheden i Stroz Friedberg, der foretager computer-retsmedicinske undersøgelser.

FBI og Secret Service "i mange tilfælde er det fint med i det væsentlige at frigive sig til betaling af løsepenge," sagde Nealy Cox, skønt hun understregede, at dette ikke er deres officielle holdning.

Det er vanskeligt at finde grupper, der udfører angrebene. De har erfaring med at dække deres spor og kræve betaling i cryptocurrency bitcoin, hvilket gør betalinger vanskelige at spore. Desuden er hackere ofte baseret i lande, der ikke samarbejder tæt med USA om cybersikkerhed, hvilket gør arrestationer usandsynlige.

Det er ofte umuligt at låse de krypterede filer op.

"Det er en stor udfordring at dekryptere ofre," sagde Andrew Komarov, CIO for InfoArmor, der indsamler efterretninger om cybertrusler.

InfoArmor har haft en vis succes med at forstyrre ransomware ved at infiltrere de computernetværk, der bruges til at kontrollere det. I et eksempel sagde Komarov, at der blev fundet en sårbarhed inden for kommando- og kontrolnetværket, der blev brugt til at distribuere ransomware kaldet CryptoLocker.

screenshot

Advarslen vises af CryptoLocker, et af mange ransomware-programmer.

Sårbarheden gjorde det muligt for forskere at sende en kommando, der gjorde det tilsyneladende, at tusinder af ofre havde betalt deres løsepenge, hvilket medførte, at deres computere blev dekrypteret, ifølge InfoArmors rapport.

Men lykkelige afslutninger er usædvanlige. De mest veldokumenterede ransomware-hændelser har ramt den medicinske industri. Hollywood Presbyterian Medical Center i Los Angeles betalte 40 bitcoins - omkring $ 17.000 - for at dekryptere sine filer. 

Allen Stefanek, præsident og administrerende direktør for Hollywood Presbyterian, sagde, at betalingen var "i den bedste interesse at genoprette normale operationer."

Fire uger senere sagde Methodist Hospital of Henderson, Kentucky, et stykke løseprodukter kendt som Locky inficeret dets systemer, ifølge computersikkerhedsskribent Brian Krebs. Hospitalet betalte ikke løsepenge men var i stand til at gendanne sine systemer, ifølge en lokal nyhedsrapport.

Ransomware- og afpresningsordninger giver fordele i forhold til andre metoder til cyberkriminalitet. I stedet for at stjæle data og behøver at finde en køber til det i risikable transaktioner, der finder sted i underjordiske fora, kontaktes et sårbart offer for direkte betaling.

"Vi begynder at se modstandere i mange regioner begynde at tænke på data som et våben," sagde Dmitri Alperovitch, administrerende direktør for Crowdstrike. ”Det gjorde bestemt nordkoreanerne med Sony.”

Sony Pictures, hvis angribere frigav gigabyte med følsomme interne data og ødelagte computere, blev bedt om ikke at frigive en film, der blev betragtet som stødende for den nordkoreanske leder Kim Jong-un. Den amerikanske regering tilskrev hurtigt angrebet til Nordkorea.

At betale løsepenge er et hang-wringing forslag og ikke et uden dets modstandere.

Sidste måned lancerede Roman Hussy, der driver en sikkerhedsblog, en Ransomware Tracker - et værktøj, der katalogiserer servere over hele verden, der er bundet til ransomware-kampagner. Han startede trackeren efter at have set mange mennesker blive ofre.

"Den gyldne regel er at udføre sikkerhedskopier ofte og aldrig betale nogen løsepenge," skrev Hussy. "Betaling af løsepenge vil finansiere miscreants 'cybercrime-operation og den infrastruktur, som de bruger til at begå yderligere svig, samt motivere angribere til at fortsætte med at udføre deres angreb."

Hussys modstandsstrategi fungerer muligvis i sidste ende, men det kræver, at mange organisationer falder på deres sværd.

Kevin Mandia, administrerende direktør for FireEye og grundlægger af Mandiant, sagde, at resultatet af ikke at betale, kunne betyde stor risiko og forlegenhed - hvis f.eks. En virksomheds generaladvokats e-mail lækkes.

"Hvad ville du gøre?" Mandia sagde i en nylig samtale. "Alternativerne er temmelig dårlige."

Upticket i ransomware og afpresningsforsøg er sandsynligvis en udvækst af bedre betalingskortsikkerhed i U.S. Stolen-kortoplysninger bliver sværere at tjene penge, så angribere har fundet en lettere rute til at generere kontanter.

FireEye har set nogle af de samme hackingværktøjer og infrastrukturbrug til statsstøttet cyberespionage, der nu bruges til afpresning, hvilket tyder på, at erfarne hackere kan se et skagtog.

"Endelig realiserede russisk organiseret kriminalitet og grupper ud af Kina, ja, vi har stadig hackingfærdighederne, vi får kortdata, som vi ikke kan tjene penge så let længere, så bare afpres," sagde Mandia.

Den 22. marts afviste Justitsministeriet anklager mod tre medlemmer af den syriske elektroniske hær, en gruppe, der førte en flerårig hackingkampagne til støtte for præsident Bashar al-Assad.

To af mændene er også anklaget for at have udpresset 14 amerikanske og internationale ofre efter at have hacket deres systemer og truet med at forårsage skade eller sælge stjålne data. Ofrene omfattede et kinesisk onlinespilfirma, en britisk webhostudbyder og et onlinemedieselskab.

Alt i alt krævede mændene angiveligt mere end $ 500.000, selvom de ofte sænkede deres krav efter forhandling i henhold til den kriminelle klage.

"Noget af dette er som gidselsforhandlinger," sagde Crowdstrikes Alperovitch. "Du kan starte dialogen med en kriminel og se, om du kan stoppe dem og få dig mere tid."

Men "intet er idiotsikkert, når du har at gøre med tyve," sagde han.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.