האם משא ומתן הוא האסטרטגיה הטובה ביותר שלך בכל הנוגע לתוכנת כופר?

מאת דן רייווד • 8 אוגוסט 2024

במקום לשלם רק תשלום כדי לצאת ממצוקת תוכנת כופר, האם תוכל לנהל משא ומתן על הדרך החוצה עם הצעדים והכישורים המתאימים? דן רייווד מסתכל על הסיפורים והאפשרויות.

בשנה האחרונה התחולל ויכוח: האם לשלם כופר לתוקף או לא? מוקדם יותר השנה, ראש מרכז אבטחת הסייבר הלאומי בבריטניה לשעבר, סיארן מרטין אמר במאמר מערכת שתשלומי כופר צריכים להיות בלתי חוקיים. אחר כך מנהלת הסוכנות לאבטחת סייבר ותשתיות, ג'ן איסטרלי אמרה שלא לראות איסור גורף על תשלום כופר קורה.

עם או בלי איסור על תשלום כופר, יש כאן אתגר עצום: כאשר הוא נגוע בתוכנת כופר, הקורבן בדרך כלל רואה מסך עם דרישת תשלום, הסכום הנדרש כדי לקבל את מפתח הפענוח ולאן לשלוח את התשלום. אם אין להם מזל, לפעמים יש טיימר למועד התשלום, וזה עלול להוביל למחיקה - או אפילו דליפה - של נתונים שנתפסו.

תשלומי כופר הם הגורם הלא ידוע למדי. יש כמה שאנחנו יודעים עליהם: CNA Financial שילם 40 מיליון דולר בשנת 2021, בעוד מפעילת הקזינו Caesars שילם $ 15 מיליון דולר אֶשׁתָקַד. בבריטניה, 2023 דואר מלכותי התקפה ראתה תוקפים דורשים תשלום של 80 מיליון דולר, אשר הם קבעו להיות 0.5% מההכנסות של הדואר המלכותי.

רויאל מייל דחה את הסכום כ"אבסורדי", ואמר כי 80 מיליון דולר "הוא סכום שלעולם לא יכול להילקח ברצינות על ידי הדירקטוריון שלנו". זה גורם לשיקול מסוים של כמה קורבנות משלמים כופר - כאשר זה לא סכום אבסורדי - כדי לגרום לתוכנה הזדונית להיעלם.

אחת הבעיות כאן היא שאין מספרים ממשיים על מי משלם מה, ולכן אין קנה מידה על איזה גודל תשלום יכול להיות פתרון.

אין ברירה אלא לשלם?

אם אין לך ברירה אלא לשלם, אתה עומד בפני סיכוי למשא ומתן. במקרה הזה, אתה עובד עם פושעים: אין לך מושג מי הם, מאיפה הם או כמה הם מאורגנים היטב.

ההדרכה קיימת, ורוב זה מעודד זהירות כאשר מדברים עם התוקפים, מעריכים מה יש להם, ולא מוותרים על מידע נוסף.

אלכס פפדופולוס, מנהל התגובה והמוכנות לאירועים ב-Secureworks, אומר שתהליך המשא ומתן עוסק לא רק במחיר אלא גם בקניית זמן. כדאי לנהל משא ומתן כדי להבין טוב יותר את עמדת התוקף.

"מה שאנחנו קוראים מדיווחים של אנשים אחרים הוא שהם בדרך כלל פתוחים למשא ומתן כי הם מבינים שזה לא נהדר לעסקים אם יש להם קו קשה מדי; אז הם ידועים כבלתי סבירים לחלוטין", הוא אומר.

כמו כן, תהליך המשא ומתן יאפשר לתוקף ולקורבן ללמוד יותר זה על זה. פאפאדופולוס אומר שרוב התקפות תוכנות הכופר הן אופורטוניסטיות, והם לא מבינים מי הקורבן עד שהם התחילו לדבר איתם.

"הם לא השקיעו זמן ומאמץ לערוך את המחקר הזה", הוא אומר. "לכן, בתהליך המשא ומתן, הם רוצים להבין עליך יותר, ולכן, מה אתה יכול לשלם."

זה מוביל למשא ומתן על המחיר: כפי שראינו במקרים שהוזכרו קודם לכן, אם התוקפים יבקשו יותר מדי, הקורבן לעולם לא ישלם. במקרים אחרים, התוקפים מבקשים מעט מדי. פאפאדופולוס מספר סיפור על כאשר כמה תוקפי תוכנות כופר הגישו דרישה של 8 מיליון אירו, והקורבן שילם מיד מכיוון שהתוקף לא הבין את הערך של מה שהם תפסו ומה הם יכלו לבקש.

דרישות ביטוח

למעשה, משא ומתן הפך לדרישה של תביעות ביטוח. כאשר פעם חברות הציעו אך ורק שירותי משא ומתן והחלפת תשלומים, אומר פאפאדופולוס, "משא ומתן הפך לדרישה עבור חברות ביטוח רבות".

הוא מסביר ש"ספקי זיהוי פלילי ותקריות דיגיטליים רבים (DFIR) נאלצו למעשה להיכנס לאזור מעט מוצל, מעט אפור" של משא ומתן עם פושעי סייבר, ואומר שחברות צריכות להחזיק אנשים שמוכנים לבצע את המשימה הזו.

זה מוביל לדרישה לתוכנית המשכיות עסקית יעילה וחזקה. אם אתה שוקל עמידה בתקן ISO 22301, הבטחה שאתה יכול להתגבר על מתקפת כופר ולהישאר בצד הנכון של החוקיות צריכה להיות שיקול.

תיקון חור

לאחר המשא ומתן, אתה בידי התוקף לקבל את מפתח הפענוח, לשחזר את המערכת ולתקן את החורים שבהם נכנס התוקף.

זה מוביל לאפשרויות שיטות עבודה מומלצות כדי למנוע מתוקפים לקבל גישה בעתיד, והבטחת תאימות למסגרת מוכרת היא צעד לקראת אבטחה כללית טובה יותר.

Manoj Bahtt, חבר במועצה המייעצת של Club CISO, אומר שיש בקרות ספציפיות שארגונים צריכים לבחון ליישם כדי להבטיח שהם מוגנים מפני תוכנות כופר, וב-ISO 27001:2022, אלה הם:

אימון למודעות ביטחונית
גישת מנהל במחשבים שולחניים
מערכת אנטי וירוס/הגנה מפני חדירה
ניהול פגיעות/תצורה
גיבויי נתונים

כמו כן, בתוך NIST CSF 2.0, יש בקרות על פני שש הקטגוריות המתמקדות בהגנה על ארגונים מפני תוכנות כופר, וכן CIS גרסה 8.0 - בקרה 8: הגנת תוכנות זדוניות מציע את הפקדים הבאים שיכולים לסייע בהגנה על ארגונים מפני תוכנות כופר:

8.2 ודא שהתוכנה והחתימות נגד תוכנות זדוניות מעודכנות
8.4 הגדר סריקה נגד תוכנות זדוניות של מדיה נשלפת
8.5 הגדר התקנים כך שלא יפעילו תוכן אוטומטי

בהאט אמר שלמרות שאין בקרות ספציפיות במסגרות להגנה מפני תוכנות כופר מכיוון שהיא וקטור התקפה, הנחיות זמינות שיעזרו לך ליישם את ההגנות המתאימות מלכתחילה ולהפחית את הסבירות להשפעה.

בסופו של דבר, תוכנת כופר נשארת בעיה משמעותית עבור כל העסקים, אבל כדאי לשקול אם זו דרך להשתחרר. עם זאת, יש את הנושא של עבודה עם פושעים, ומתגבש מגזר חדש שיסייע במיוחד למתרגלים להתמודד עם המצב הזה.

קיום ההגנות הנכונות, קבלת מבקר שיאשר את רמת האבטחה שלך, וביצוע המלצות של מסגרת לגבי שיטות עבודה מומלצות יובילו הרבה כדי להבטיח שלא תצטרך לעשות את העבודה המפוקפקת הזו.

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.