Erwägen Sie folgende Faktoren, bevor Sie sich entscheiden, das Lösegeld nach einem Ransomware-Angriff zu zahlen. Besser noch: Machen Sie klar, wo Sie stehen, bevor man Ihnen schaden kann. [...]
In den letzten Jahren riet die konventionelle Weisheit, niemals das Lösegeld zu zahlen, das von Lösegeldverbrechern gefordert wird, weil es sie nur ermutigt. Trotz dieser Warnungen wurde gemunkelt, dass etwa 40% aller Ransomware-Opfer das Lösegeld dennoch bezahlt haben.
Heute scheint es, als hätten viele betroffene Unternehmen das Lösegeld bezahlt und die ganz wenigen, die es nicht getan haben, wünschen sich vielleicht, sie hätten es doch getan. Es gibt Hinweise darauf, dass Ransomware-Recovery-Firmen, die behaupten, bei der Wiederherstellung von Umgebungen zu helfen, ohne das Lösegeld zu zahlen, oft das Lösegeld heimlich zahlen und den Entschlüsselungscode dafür im Verborgenen erhalten.
Wer bezahlt Lösegeld?
Ich habe mit John Mullen von Mullen Coughlin gesprochen, der in seiner Karriere an Tausenden von Maßnahmen zur Bewältigung von Cybersicherheitsvorfällen beteiligt war. Seine Kanzlei hat im vergangenen Jahr über 1.200 Datenschutzfragen bearbeitet und wird 2019 über 1.500 Angelegenheiten bearbeiten.
Ich fragte Mullen, ob er gesehen habe, dass die Zahl von zahlenden Opfern kürzlich von 40% gestiegen ist. „Es waren nie 40% oder 50%. Ich weiß nicht, woher diese Zahl kommt, aber sie war immer schon höher. Die meisten Unternehmen zahlen das Lösegeld, wenn sie vor der Entscheidung stehen, zu zahlen oder zu schließen. Sie leisten die Zahlung in der Regel, weil sie keine andere gültige Geschäftsoption mehr haben. Bezahlen oder ihr Unternehmen wird für Tage, Wochen oder sogar länger nicht im Geschäft sein.“ Mullen fügt hinzu, dass niemand den tatsächlichen Prozentsatz der Unternehmen kennt, die das Lösegeld zahlen, aber er hat „einige Zweifel“ daran, dass es eine steigende Zahl ist.
Ich erwähnte, dass Strafverfolgungsbehörden häufig empfehlen, das Lösegeld nicht zu zahlen, egal was passiert. „Wenn Sie mit individuell erfahrenen Strafverfolgungsbehörden sprechen, stimmt nur selten, was sie sagen“, sagt Mullen. Die meisten werden zugeben, dass es für das Opfer oft besser ist, das Lösegeld zu zahlen. Die Realität ist, dass die Leute bezahlen, weil sie keine andere gute Alternative haben.“
Ein Grund, warum die Leute zahlen, so Mullen, ist, dass Angreifer immer besser darin werden, die Schäden durch Ransomware zu maximieren. „Heute greifen die Angreifer auf Systeme zu, führen Aufklärungskampagnen durch und identifizieren kritische Schwachstellen, um die Wirkung ihrer Angriffe zu maximieren“, sagt er. „Diese Art von Angriffen macht es schwieriger denn je, sie zu reparieren oder wiederherzustellen. Der Prozentsatz der Leute, die das Lösegeld zahlen, ist jetzt höher, weil die bösen Jungs besser sind.“
Neuere Studien belegen Johns Behauptungen. Alle zeigen, dass die meisten Unternehmen viel mehr Zeit, Geld und Ressourcen investieren (ein Bericht gibt an, dass das durchschnittliche Unternehmen 23 mal mehr ausgibt), um sich ohne den Key von einer Ransomwareattacke zu erholen, als wenn sie das Lösegeld von Anfang an bezahlt hätten.
Sie werden vielleicht denken, dass die Entscheidung, das Lösegeld zu zahlen, davon abhängt, ob Sie ein gut getestetes Backup besitzen, aber es ist mehr als das.
Wie Sie feststellen können, ob Sie eine Ransomware-Anforderung bezahlen sollten
Bei der Entscheidung, ob Sie mit der Wiederherstellung von Ransomware beginnen sollen, ohne das Lösegeld zu bezahlen, sollten Sie Folgendes beachten:
1. Hat Ihr Unternehmen eine Ransomware-Richtlinie?
Was ist die Richtlinie Ihres Unternehmens bezüglich Lösegeldzahlungen? Wenn Ihr Unternehmen eine schriftliche, unerschütterliche Richtlinie gegen die Zahlung des Lösegeldes hat, dann haben Sie Ihre Antwort. Wenn Sie trotz einer schriftlichen Richtlinie wissen, dass die Unternehmensleitung 23-mal mehr Geld und Ressourcen nicht tolerieren wird, anstatt das Lösegeld zu zahlen, und dafür wahrscheinlich eine Ausnahme schaffen würde, wenn sie an Ort und Stelle gesetzt wird, dann sollten Sie auch das in Betracht ziehen. Viele Unternehmen haben sich an ihre Verpflichtung, nicht zu zahlen, gehalten und mussten wochenlange Ausfallzeiten hinnehmen. Es ist eine Sache, es zu schriftlich festzulegen, und eine andere, es auch wirklich durchzusetzen, wenn der Betrieb ausfällt.
2. Wie groß ist der Schaden?
Haben sie nur ein paar kritische Anlagen bekommen oder gleich das Herz Ihrer Firma herausgeholt? Können Sie weitere Schäden verhindern? Können Sie den Bösewicht davon abhalten, erneut anzugreifen? Müssen Sie Ihre Zugangspunkte herunterfahren, alle Passwörter ändern und ein Netzwerk-Scrub für Malware und bösartige Netzwerkverbindungen durchführen? Wie zuversichtlich sind Sie, dass Sie das Ausmaß des Schadens und die Reichweite kennen?
3. Wie gut sind Ihre Wiederherstellungsmöglichkeiten?
Selbst wenn Sie ein großartiges Backup haben, haben Sie jemals wirklich eine vollständige Testwiederherstellung aller betroffenen kritischen Assets durchgeführt? Wie lange dauert die Wiederherstellung? Wie können Sie sicher sein, dass die Wiederherstellungen keine Hintertüren enthalten, die die bösen Jungs einfach wieder reinlassen? Wie lange wird es dauern, bis Sie die Wiederherstellungen und die notwendigen Unit-Tests durchgeführt haben? Sind alle Ihre neuesten Backups online und auch für den Verbrecher erreichbar?
In der heutigen Zeit hacken Ransomware-Kriminelle alle Ihre Online-Wiederherstellungen, von den neuesten Online-Kopien bis hin zu den angeblich „vertrauenswürdigen“ Offline-Kopien. Ich habe von Ransomware-Kriminellen gehört, die den legitimen Verschlüsselungscode ändern, den das Unternehmen verwendet, um ihre Daten während des Backup-Prozesses zu verschlüsseln.
Jedes Unternehmen sollte alle Datensicherungen verschlüsseln (es ist eine Compliance-Anforderung in jeder Richtlinie). Die Angreifer ändern die Verschlüsselungscodes auf diese Backups, ohne dass es das Opfer bemerkt. Die Opfer gehen über ihre normalen Datensicherungsroutinen und bemerken nicht, dass die Verschlüsselungscodes geändert wurden. Alle Datensicherungen werden für Tage bis Monate mit einem falschen Code-Key verschlüsselt. Dann, kurz bevor der Ransomware-Angriff beginnt, ändern sie ihn wieder. Auf diese Weise sind bereits vor langer Zeit gespeicherte Offline-Datensicherungen nicht wiederherstellbar.
Wenn ich also frage, ob Sie eine gute Datenwiederherstellung bereit haben, meine ich, ob Sie auch wirklich alles überprüft haben.
4. Haben Sie einen Business Continuity Plan?
Wird Ihr Business Continuity Plan (BCP) das Ransomware-Ereignis bewältigen, falls Sie das Lösegeld nicht zahlen? Wenn nicht, bedeutet das mehr Ausfallzeiten und mehr alternative Datenprozesse. Wie viel Ausfallzeit kann Ihr BCP bewältigen oder abdecken? Wenn die geschätzte Ausfallzeit die Fähigkeit des BCP, damit umzugehen, übersteigt, zahlen Sie dann das Lösegeld von Anfang an?
5. Haben Sie Unterstützung im oberen Management?
Egal, ob Sie das Lösegeld zahlen oder nicht, haben Sie Unterstützung durch das Senior Management und den Vorstand für die Aktion? Ich habe viele CISO-Köpfe wegen enes Ransomware-Angriffs rollen sehen. Sie können Sie lieben, solange alles gut läuft, aber wenn Sie ihnen sagen müssen, dass Ihre vermeintlich exzellente Datensicherung und -wiederherstellung doch nicht so lebensfähig ist und sie für Tage bis Wochen ausgefallen sein könnten, werden sie dann noch Vertrauen in Sie haben? Ich habe gesehen, wie CISOs während des Genesungsprozesses gefeuert wurden.
6. Haben Sie das nötige Personal?
Ob Sie das Lösegeld zahlen oder nicht, Sie brauchen alle verfügbaren Kräfte an Bord, um sich zu erholen. Wenn Sie das Lösegeld nicht zahlen, brauchen Sie noch viel mehr Hilfe. Unternehmen wie Mullen Coughlin können helfen, die benötigten zusätzlichen Mitarbeiter und Fachkenntnisse bereitzustellen, aber haben Sie das Geld und die Zeit dafür?
7. Wird die Zahlung des Lösegelds etwas nützen?
Wenn Sie das Lösegeld zahlen, geben Ihnen die Ransomware-Banden in der Regel die Codes, die Ihre Systeme freischalten und dies in der Regel auch konsequent tun. Sonst würde niemand das Lösegeld zahlen. Sie sind gezwungen, Gentlemen-Verbrecher zu sein.
Aber es gibt Randfälle, in denen die Zahlung des Lösegelds nicht funktioniert. Ich habe von einigen Fällen gehört, in denen der Zahlende den Entschlüsselungscode erhalten hat, aber der Wiederherstellungsprozess nicht funktionierte oder weitaus mehr zusätzliche Wiederherstellungsmaßnahmen erforderte, die die Zahlung des Lösegeldes fast wertlos machten.
Wenn Sie können, sprechen Sie mit einem Ransomware-Experten, um herauszufinden, wie die Wiederherstellungen von anderen Personen verlaufen sind, die das Lösegeld an dieselben kriminellen Gruppen gezahlt haben. Die sachkundigsten Ransomware-Kämpfer werden darüber aufgeklärt, wann die Zahlung des Lösegeldes funktioniert und wann nicht. Holen Sie sich zuerst ein Expertengutachten über das genaue Malware-Programm, mit dem Sie es zu tun haben.
8. Haben Sie eine Cybersicherheitsversicherung, die die Zahlung des Lösegelds übernimmt?
Wenn Ihre Cybersicherheitsversicherung die Zahlung des Lösegelds übernimmt, wer entscheidet dann? Wie ich bereits erwähnt habe, decken einige Cybersicherheitsversicherungen keine Handlungen ab, die durch Social Engineering verursacht werden (der beliebteste Typ) oder bieten eine sehr reduzierte Schadenszahlung.
Verkünden Sie nicht öffentlich, dass Sie eine Cybersicherheitsversicherung haben und vor allem, wie hoch sie ist, wie bei der Ankündigung von Baltimore, es würden 20 Millionen Dollar in die Cybersicherheitsversicherung fließen. Für solche Dinge ist oft eine öffentliche Bekanntmachung erforderlich – willkommen im Regierungsleben – aber wenn Sie diese Tatsache verbergen können, tun Sie es. Kriminelle werden das nur als Verhandlungsgrundlage gegen Sie nutzen. Wenn Ihre Cybersicherheitsversicherung online ist, verschieben Sie sie auf einen sicheren, schnell zugänglichen Offline-Speicher. Es ist nicht nötig, dass die bösen Jungs es finden, bevor sie ihren Angriff starten.
Ob man eine Lösegeldforderung bezahlt, ist meist eine einfache Geschäftsentscheidung. Viel zu viele Unternehmen sind nicht vorbereitet, und die Zahlung des Lösegelds scheint für die meisten der einfachste und schnellste Ausweg zu sein. Wählen Sie Ihren besten Weg.
*Roger Grimes, der seit 2005 Kolumnist im Bereich Sicherheit ist, verfügt über mehr als 40 Computerzertifizierungen und hat zehn Bücher über Computersicherheit verfasst.
Be the first to comment