Agence web » Actualités du digital » Besoin de payer la rançon? Négocier d’abord –

Besoin de payer la rançon? Négocier d’abord –

Shutterstock / vchal

Saviez-vous que les gangs de ransomwares sont ouverts à la négociation? Si les circonstances l’exigent, vous ne devez pas simplement payer la rançon, négocier une meilleure affaire. Voici comment procéder.

Whan Ransomware Strikes

Une attaque de ransomware installe des logiciels malveillants sur votre réseau. Il crypte vos données et exige une rançon de crypto-monnaie pour les décrypter. Les vecteurs d’attaque les plus courants sont toujours une attaque de phishing ou l’exploitation d’une connexion Remote Desktop Protocol, souvent en profitant d’une mauvaise gestion des mots de passe.

Du point de vue des acteurs de la menace, les ransomwares sont extrêmement rentables et une cyberattaque relativement facile à réaliser. Selon un rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA), 45% des organisations de victimes paient la rançon. Il n’est donc pas surprenant que les attaques de ransomwares soient en hausse. Le rapport de mi-année de Bitdefender 2020 indique que les attaques mondiales de ransomwares ont augmenté de 715% chaque année.

Le conseil donné par le Federal Bureau of Investigation (FBI) est de ne pas payer la rançon. Payer la rançon n’encourage que plus d’attaques de ransomwares. Si vous disposez d’un système de reprise après sinistre robuste, d’un plan d’incident répété et que vos sauvegardes n’ont pas été compromises, vous pouvez restaurer vos systèmes à leur état d’avant l’attaque. Une fois, c’est-à-dire, vous avez déterminé comment ils ont accédé à votre réseau et fermé cette vulnérabilité. Mais cela peut prendre des jours, voire des semaines.

Lorsque les hôpitaux et autres services et infrastructures critiques sont touchés par un ransomware, ils doivent se rétablir aussi vite que possible. La pandémie COVID-19 a augmenté la probabilité que les hôpitaux et les entreprises de soins de santé soient ciblés par les ransomwares. Si vous ne pouvez tout simplement pas supporter de temps d’arrêt ou si le processus de récupération va coûter plus cher que la rançon, payer la rançon peut sembler le moindre de deux maux.

Le projet No More Ransom a été fondé par Interpol et de nombreuses organisations partenaires pour fournir des décrypteurs pour les ransomwares courants. Ils peuvent avoir un outil qui décryptera vos données cryptées.

Les attaques de ransomwares s’accompagnent de plus en plus d’une exfiltration d’informations confidentielles de l’entreprise ou d’autres informations sensibles. Les cybercriminels menacent d’exposer ces informations si vous ne payez pas la rançon. Gardez à l’esprit que même si vous payez la rançon, vous risquez de ne pas récupérer vos données. Le décrypteur utilisé par les acteurs de la menace peut ne pas fonctionner correctement. S’il décrypte vos données, vous risquez toujours d’être infecté par des logiciels malveillants.

Certaines organisations sont couvertes par la cyberassurance. C’est très bien, mais il existe des preuves suggérant que si les cybercriminels savent qu’une organisation a une cyberassurance, ils supposent que la rançon sera payée, que l’organisation dispose de fonds suffisants ou non. Cela signifie que la limite de rançon n’est pas fixée par les finances de l’organisation, mais plutôt par la valeur de la couverture fournie par la police d’assurance. Ils peuvent gonfler leurs demandes de rançon et peuvent même cibler préférentiellement les organisations assurées.

Bien sûr, le scénario idéal est de ne pas être touché par un ransomware. Mais si vous le faites et que les circonstances vous obligent à payer la rançon, vous pouvez négocier avec les cybercriminels.

Connexes: Comment se préparer et combattre une attaque de ransomware

Un mélange de confiance et de désespoir

Vous n’êtes certainement pas la personne la mieux placée pour mener les négociations, et personne d’autre dans votre organisation non plus. Vous allez en avoir assez sur votre assiette pour identifier le point d’entrée et corriger la vulnérabilité et essayer de maintenir l’organisation en activité en utilisant tous les moyens que vous pouvez. Peut-être que le personnel peut travailler à domicile. Peut-être aviez-vous un réseau segmenté et une partie de votre infrastructure informatique et de votre équipement de télécommunications évitait les infections.

Vous devez tenir à jour le tableau ou la C-suite, gérer les requêtes des clients et des clients, exécuter les actions requises par votre législation sur la protection des données, gérer les relations publiques et de nombreuses autres actions qui feront partie de votre guide de réponse aux incidents. même si vous n’aviez pas tout cela sur le dos, vous ferez toujours mieux de vous engager avec des experts pour gérer les négociations.

Savoir comment procéder repose sur la compréhension de qui et de quoi vous avez affaire. Quelle souche de ransomware a été utilisée contre vous. Pouvez-vous identifier les cybercriminels et connaissez-vous leur bilan?

Certains gangs de ransomwares sont plus fiables que d’autres. Ils ont des routines de décryptage qui fonctionnent correctement, et ils restaurent réellement vos données. Ils ne reviennent pas par la suite en faisant d’autres réclamations de chantage concernant l’exposition des données qu’ils ont exfiltrées. D’autres gangs le sont moins. Si le décrypteur a un hoquet et ne fonctionne pas, c’est juste difficile pour vous.

Il existe des cabinets qui peuvent mener ces négociations à votre place et utiliser leur expertise et leur expérience à votre avantage. Certaines organisations peuvent justifier le maintien d’une telle entreprise sur un acompte, mais beaucoup ne le peuvent pas. Chaque organisation peut rechercher des sociétés de gestion des incidents de cyberattaque dans son voisinage qui disposent d’un service de négociation. La plupart d’entre eux offriront un service complet de réponse aux incidents de cyberattaque, avec négociation incluse dans celui-ci.

Dans la plupart des juridictions, vous êtes tenu (ou du moins fortement encouragé) d’informer les forces de l’ordre et de signaler l’attaque. Vos lois sur la confidentialité des données peuvent vous obliger à informer les personnes concernées et à mettre en place un moyen de les mettre à jour. Vous devrez peut-être signaler l’incident à une autorité de protection des données. Et si vous avez une cyberassurance, vous devriez commencer à leur parler dès que possible. Vous devez savoir s’ils prévoient de fournir une couverture pour cet incident ou non. C’est une connaissance vitale pour les négociations.

Les négociations

Shutterstock / vchal

Première étape: détails techniques

Assurez-vous d’avoir identifié les moyens d’infection et d’avoir fermé cette vulnérabilité afin qu’elle ne puisse plus être exploitée. Une fois que vous êtes sûr que les acteurs de la menace ont été exclus de votre système, vous devez faire le point. Qu’est-ce qui a été chiffré exactement, quelle est l’étendue du compromis?

S’agit-il de l’ensemble du parc informatique, d’un sous-réseau, de plusieurs serveurs ou de tous vos serveurs? Si votre réseau n’a pas été crypté dans son intégralité, vous aurez un gambit d’ouverture. Pourquoi devriez-vous payer la totalité de la rançon si l’ensemble du réseau n’était pas crypté? Mais vous devez être absolument certain que les cybercriminels sont en lock-out. S’ils peuvent toujours accéder à votre réseau et découvrir que certaines zones n’ont pas été chiffrées, ils se reconnecteront et crypteront les appareils qu’ils ont manqués.

La manière de communiquer avec les auteurs est généralement décrite dans le message de rançon. Il s’agit généralement d’un portail auquel vous vous connectez pour échanger des messages. Vérifiez que vous pouvez y accéder, mais n’ouvrez pas encore de discussions. Vous pouvez poser une question telle que vous êtes au bon endroit, ou une autre requête innocente. Il montre aux cybercriminels que vous suivez leurs ordres jusqu’à présent sans rien dévoiler.

Deuxième étape: recherche et reconnaissance

Quelqu’un doit identifier la souche du ransomware. C’est pourquoi une société extérieure de réponse aux incidents a du sens. Ils ont les compétences et l’expertise pour le faire. Ils utiliseront ces informations avec d’autres indices tels que le type de note de rançon, le vecteur d’attaque et la méthode d’infection, le type de portail de messages qu’ils utilisent pour vous communiquer et les détails d’autres cas de ransomware pour identifier les acteurs de la menace. Cette étape d’attribution est très importante.

Connaître l’identité du gang de ransomwares permet à l’équipe d’intervention de se référer aux enregistrements d’autres attaques de ransomwares par ces auteurs. Ils pourront voir si ce gang de ransomwares fournit généralement des décrypteurs qui fonctionnent et s’ils ont historiquement honoré leur accord de ne pas faire chanter ultérieurement la victime pour plus d’argent en menaçant de divulguer les données exfiltrées.

Surtout, ils pourront peut-être savoir quelles rançons ce gang a exigé lors d’attaques précédentes et quel était le chiffre final négocié. Les rançons peuvent être choisies à l’improviste et constituer une demande d’ouverture standard, ou elles peuvent être déterminées par les acteurs de la menace en examinant le chiffre d’affaires de l’organisation victime. Ces évaluations peuvent être très faussées. Parfois, ils examinent la valeur d’un groupe de portefeuille au lieu de l’activité réelle qui a été chiffrée.

«Nous avons besoin de récupérer nos données, nous sommes prêts à payer, mais votre évaluation est erronée et nous n’avons tout simplement pas ces fonds», est une première étape raisonnable dans les négociations.

Troisième étape: négocier

Pour le gang des ransomwares, il ne s’agit que d’une transaction commerciale. Ce n’est pas personnel. Un négociateur externe pourra rester plus neutre que les représentants internes de l’organisation. Être émotif ne sera pas productif.

Comme pour toutes les transactions commerciales importantes, une négociation est attendue. Naturellement, les cybercriminels veulent que tout soit bouclé le plus rapidement possible. Des négociations prolongées rendent plus probable leur détection par les forces de l’ordre. Mais vous ne pouvez pas simplement caler. S’ils décident qu’il est trop risqué de continuer, ils s’éloigneront et vous vous retrouverez avec un réseau crypté. Mais si la victime ne peut tout simplement pas répondre aux demandes de rançon, le gang de ransomwares devra réduire ses attentes. Une certaine rançon vaut mieux que pas de rançon, après tout.

Assurez-vous de demander et d’obtenir une démonstration que le décrypteur fonctionne correctement. Vous devez voir qu’il décrypte avec succès une sélection de fichiers de différents types provenant de différents serveurs et sous-réseaux. Ce n’est pas déraisonnable et les cybercriminels devraient pouvoir le faire très facilement.

Il est juste que vous ayez la preuve que vous en aurez pour votre argent. C’est l’équivalent de demander des preuves que des otages humains sont toujours en vie avant que la rançon ne soit payée.

Quatrième étape: paiement

Lorsqu’un règlement a été convenu, la rançon est payée. Ce sera dans une crypto-monnaie. Bitcoin est un favori car il est facile à obtenir pour le premier utilisateur de crypto-monnaie. Sachez que cette étape peut prendre des jours. Il pourrait être prudent d’obtenir une petite quantité de Bitcoin par mesure de précaution pour ne pas en avoir besoin à l’avenir. Il faudra le temps nécessaire pour obtenir un portefeuille numérique et pour établir vos informations d’identification en tant qu’utilisateur Bitcoin hors du chemin critique de l’incident du ransomware.

Une transcription des communications, des négociations, de l’accord et de l’accusé de réception du paiement est exportée depuis le portail et mise à la disposition de l’organisation victime. Cette transcription est souvent requise pour la compagnie d’assurance ou pour d’autres raisons légales ou contractuelles.

Si les données ont été exfiltrées avant que le réseau ne soit crypté, vous n’avez rien d’autre que le mot des cybercriminels selon lesquels ils supprimeront les données et ne les utiliseront plus à l’avenir pour faire du chantage. Ce n’est pas grand-chose, mais il y a l’espoir que les cybercriminels comprennent que s’ils renoncent à de tels accords, les futures victimes seront moins enclines à payer la rançon – ou autant de rançon – si le gang de ransomwares a un bilan de l’accord.

La perte de données de cette manière comptera comme une violation de données et devra probablement être signalée à votre autorité de protection des données. En vertu de certaines lois, telles que le règlement général sur la protection des données, l’attaque par ransomware elle-même compte comme une violation de données parce que vous avez perdu le contrôle des données.

Cinquième étape: post-mortem

Vous n’avez pas le temps de vous asseoir et de lécher vos blessures.

Au minimum, vous devez:

  • Effectuez des tests de pénétration et des tests de vulnérabilité dès que possible. Assurez-vous d’agir sur les résultats. Utilisez les résultats du test pour guider vos activités de rattrapage.
  • Si vous avez une cyberassurance, vous devez faire progresser le problème avec votre compagnie d’assurance.
  • Gérez les communications officielles. Avez-vous informé toutes les personnes dont vous avez besoin, y compris les autorités chargées de l’application de la loi et de la protection des données? Vous devez envoyer une déclaration officielle à vos partenaires commerciaux, clients et personnes concernées. Résumez les événements de l’attaque et comment elle a été conclue. Assurez-vous d’inclure une section décrivant ce que vous avez fait pour éviter une récidive.

Maintenant, planifiez pour la prochaine fois

Qu’est-ce qui vous a empêché de passer à un système de reprise après sinistre, ou de purger et de restaurer les sauvegardes afin que vous n’ayez pas à payer la rançon?

Examinez ces options et d’autres options de continuité des activités. Vous constaterez probablement qu’ils sont moins chers que votre rançon, qu’ils réduisent votre prime d’assurance et facilitent la conformité à la législation sur la protection des données.

★★★★★