Если пострадавшая компания решает заплатить операторам вымогательского ПО, Марк Бляйхер от ее имени договаривается с хакерами.
Управляющий директор консалтинговой ИБ-компании Arete Incident Response Марк Бляйхер (Marc Bleicher) пролил свет на то, как американские организации платят выкуп операторам вымогательского ПО.
От лица своих клиентов Бляйхер проводит переговоры с вымогателями по поводу уплаты выкупа и восстановления зашифрованных данных. Если компания принимает решение заплатить киберпреступникам, именно он договаривается с хакерами и осуществляет все нужные транзакции.
«Некоторые клиенты чрезвычайно обозленные. Многие клиенты также в шоке», – сообщил специалист в интервью CNBC. Однако все они преследуют общую цель – «остановить кровотечение и поскорее со всем покончить».
Через руки Бляйхера прошли уже сотни миллионов долларов, которые компании заплатили вымогателям, а размеры выкупа продолжают расти. К примеру, недавно одна из вымогательских группировок потребовала у клиента Arete Incident Response $70 млн. Компания смогла обойтись без соглашения со злоумышленниками, но, по словам специалиста, даже если требуемая сумма столь высока, вымогатели почти всегда готовы торговаться.
Переговоры с вымогателями ведутся в чате в даркнете. Во время переговоров Бляйхер не знает, кто находится по ту сторону экрана, зато вымогатели хорошо осведомлены о его клиентах. В случае с публично торгуемыми компаниями они знают их годовую выручку и рассчитывают сумму выкупа, исходя из этого. Более того, хакеры имеют полную картину того, как обстоят дела атакованной компании, в том числе могут иметь доступ к ее финансовой отчетности.
Однако на сумму выкупа влияет не только размер организации, но и уровень чувствительности данных. К примеру, юридическая контора может насчитывать не более десятка сотрудников, но ее клиентами могут быть политики, и в таком случае сумма выкупа будет превышать сумму выкупа, требуемую от компании из списка Fortune 50.
По словам Бляйхера, компании зачастую не против заплатить мошенникам, но они не хотят платить террористам или лицам/организациям, в отношении которых правительство США ввело санкции. Поэтому самое важное, что делает Arete Incident Response, – уточняет у Управления по контролю за иностранными активами Минфина США, имеют ли субъекты, которым она платит, какое-либо отношение к организациям, подпадающим под санкции. Таким образом ИБ-компания может обезопасить своих клиентов от неумышленного нарушения законодательства США.
Но есть и хорошие новости, по крайней мере, для руководителей американских корпораций. Как отметил специалист, воры придерживаются своего кодекса чести, и когда компании платят выкуп, почти всегда держат слово. По сути, весь их бизнес держится на репутации – если они не вернут данные одной заплатившей жертве, то вторая им попросту не заплатит.
По данным Arete Incident Response, самые крупные суммы требуют операторы вымогательского ПО Ryuk (в среднем $1,2 млн) и Maze (в среднем $923 тыс.) Кроме того, суммы существенно отличаются в зависимости от характера деятельности атакуемых организаций. К примеру, медицинские учреждения в среднем платят $140 тыс., а финансовые организации – $210 тыс. Самые крупные суммы вымогатели требуют от технологических, инженерных и телекоммуникационных компаний – более $1 млн.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках