Ataki z wykorzystaniem ransomware okazują się skuteczne. Dotknięte atakiem Colonial Pipeline zapłaciło 5 milionów dolarów okupu, a zaatakowane mniej więcej w tym samym czasie Brenntag - 4 miliony. Tak wysokie kwoty były najwyraźniej i tak niższe niż potencjalne straty wywołane przez paraliż wskutek infekcji. Czy zaatakowane firmy popełniły błąd, płacąc przestępcom? I dlaczego taki sam atak ciągle się powtarza?
Kilku rzeczy możemy być pewni: tak duży zastrzyk gotówki pozwoli autorom ransomware'u, grupie DarkSide, kontynuować swoje dzieło oraz ulepszyć stosowane metody. A skuteczność ataków zachęci kolejnych przestępców do zamawiania (ulepszonych za pieniądze ofiar) nowych kampanii wymierzonych w infrastrukturę IT.
DarkSide jest bowiem sprzedawcą ransomware'u do wynajęcia. Oferują oni obsługę techniczną i infrastrukturę dla swoich "zleceniodawców", z którymi dzielą się zyskami. Odbywa się to z zachowaniem pełnego profesjonalizmu: ofiary otrzymują na przykład namiar na kanał czatowy, gdzie mogą negocjować z "konsultantem". Mamy tu więc do czynienia z ludźmi, którzy nie zajmują się cyberprzestępczością z nudów, a ze skutecznymi i bezwzględnymi recydywistami.
Na ile pozorne były zabezpieczenia?
Narzędzia do ochrony przed ransomware trafiają na niezwykle chłonny rynek. Każdy szef chce wykazać się odpowiedzialnością, często więc wydaje pieniądze na ochronę firmowej infrastruktury. Zazwyczaj składa się ona z agentów do tworzenia kopii zapasowych, dysku chmurowego oraz programu antywirusowego. Jedną z najczęściej przytaczanych zalet w takich ofertach jest ich bezobsługowość. "Kup i zapomnij!". Po takich wdrożeniach, rubryka "bezpieczeństwo" bywa odhaczana jako zaliczona.
Problem w tym, że żadne oprogramowanie nie jest bezobsługowe. Narzędzia do kopii zapasowych mogą zapełnić dysk przeznaczony na backupy, dysk chmurowy może paść ofiarą zaszyfrowania tak samo jak lokalny, a antywirusy na końcówkach mogą się "zaciąć" i miesiącami nie pobierać nowych definicji. Co gorsza, całkiem możliwe że nikt tego nie zauważy, bo przecież wykupiono bezobsługową ochronę.
Czy możemy zaufać naszym oprawcom?
W takim przypadku odporność na atak ransomware jest zerowa i decyzja o opłaceniu okupu zależy wyłącznie od tego, co będzie droższe: przestój aż do czasu odbudowy infrastruktury czy sam okup. Może się okazać, że odbudowa jest niemożliwa, bo stracono jedyne kopie niektórych danych. Jeżeli są one niezbędne - wtedy trudno o rzeczywisty wybór.
Ponownie jednak, kwestia ta nie jest aż tak prosta. Tak, jak w przypadku ochrony która może się okazać wadliwa, opłacenie okupu także może się wiązać z problemami. Pierwszy z nich jest oczywisty: skąd mamy gwarancję, że po zapłaceniu, naprawdę otrzymamy klucz? Czy klucz w ogóle istnieje? A może dane są tak naprawdę zniszczone i przestępcy tylko próbują wyłudzić haracz za święty spokój?
Jakkolwiek cynicznie to zabrzmi, nasze szanse na klucz rosną wraz z tym, jak poważnej ulegliśmy infekcji. "Chałupnicze", mniejsze kampanie ransomware faktycznie nie dają gwarancji odzyskania danych. Ale gdy chodzi np. o DarkSide, dane raczej mogą być odzyskane. A to dlatego, że przestępcy nie mogą sobie pozwolić na ich zniszczenie z powodów… wizerunkowych.
Jeżeli nie udostępnią klucza swoim obecnym ofiarom, następne będą wiedzieć, że nie ma się co szarpać z budżetem, bo przestępcy tylko wezmą pieniądze i znikną. Toteż "renoma" autorów ransomware'u którego pada się ofiarą jest istotnym czynnikiem podczas podejmowania decyzji o płaceniu okupu.
Jak łatwo będzie im wrócić?
Nie wolno zapominać także o tym, że okup to nie wszystko. Płaci się go z domniemaniem skuteczności, przez którą rozumie się dostęp do danych. Ale włamanie do firmowej sieci każe zakładać, że wiarygodność zabezpieczeń została zniszczona. Zapłacenie okupu może istotnie umożliwić dostęp do danych… przez jakiś tydzień.
Wkrótce potem może się okazać, że wykradziono hasła z routerów i odblokowano opcje zdalnego dostępu na krawędziach sieci. A wszystkie hasła wykradziono, więc jeżeli nie zostały masowo unieważnione, przestępcy mogą po prostu wrócić, "wejść jak do siebie", zaszyfrować dane na nowo i ponownie poprosić o pieniądze. Przedstawiając się najlepiej jako ktoś inny niż poprzednio.
Mając kiepską obsługę IT możemy być zmuszeni do zapłacenia okupu… ale jeżeli nasza obsługa IT jest naprawdę kiepska, możemy padać ofiarami ransomware'u już w nieskończoność. Dlatego warto wziąć pod uwagę podczas analizy ryzyka, czy przypadkiem nie lepiej będzie zacząć ze wszystkim od zera.
A gdyby tak… nie płacić?
Wreszcie, w żądaniu okupu wcale nie musi chodzić o odzyskanie danych, a o szantażowanie ich udostępnieniem. Zaszyfrowane tajemnice handlowe mogą być dostępne całe i zdrowe na bezpiecznych kopiach zapasowych, ale bez opłacenia okupu, cenna własność intelektualna może wpaść w ręce konkurencji. Ewentualnie, wewnętrzna korespondencja zyskałaby "drugie życie" w mediach społecznościowych, szkodząc wizerunkowi firmy jeszcze bardziej niż włamanie.
Istotnie bowiem zaszyfrowane przez ransomware dane nie muszą być tylko "stracone". Mogą być (i należy to niestety zakładać) skradzione. A wyciek np. danych wrażliwych wszystkich pacjentów prywatnej kliniki oznaczałby dla niej brak możliwości powrotu do biznesu. Potencjalnie także na skalę indywidualną: klinika bankrutuje, ale z jej szefem nikt potem nie chce robić (uczciwych) interesów.
Rachunek zysków i strat
Infekcja ransomwarem to nie jest dobry moment na udzielanie rad w stylu "trzeba było uważać, a teraz to cierpcie męki, bo terrorystom nie wolno płacić". Łatwo o formułowanie takich uwag, będąc postronnym obserwatorem. Tymczasem na niniejszą kwestię należy patrzeć przez pryzmat zarządzania ryzykiem. I nie mierzymy się tu z kimś pokroju osiedlowych złodziei samochodów.
Uchronienie firmy przed konsekwencjami infekcji to frustrująco rozbudowane i dość mocno zależne od okoliczności zagadnienie. Scenariusze osobiste są (względnie) łatwiejsze, a zajmiemy się nimi w kolejnej części.
