O que esperar numa negociação de ransomware

Quisemos compreender melhor o que as vítimas passam durante todo o processo de recuperação e quais as sequelas de um ataque de ransomware. Para tal, analisámos as conversas de chat com as vítimas de cinco famílias de ransomware: Conti, Lockbit 2.0, AvosLocker, Hive e HelloKitty para Linux.

Porquê o suporte por chat?

Antes, os atores do ransomware como serviço (RaaS) utilizavam o email para comunicar com as suas vítimas. Depois passaram a usar identificadores de vítimas únicos para cada empresa. Este modelo assegura que, mesmo que 30 empregados tentem negociar isoladamente, todos acabam por ir parar à mesma página de chat. Isto inclui investigadores e agentes da lei.

O que aprendemos

As conversas de chat das famílias de ransomware que analisámos incluem alguns pontos- chave, que listamos em seguida:

O que foi roubado: embora a quantidade e a natureza dos dados roubados variem, o produto do roubo inclui sempre itens críticos para o negócio, tais como dados financeiros, contratos, etc. Os criminosos oferecem-se sempre para decifrar alguns ficheiros como prova.

Negociação do preço: muitas vítimas estão dispostas a pagar o resgate pedido para recuperar os seus dados, mas não conseguem fazê-lo por ser demasiado avultado. A principal justificação dos criminosos para os preços praticados prende-se com o saldo da conta bancária da vítima ou informações sobre a sua apólice de seguro.

Descontos e reduções de preços: observámos reduções do valor dos resgates iniciais que variam entre os 25% e os 90%. Cada grupo parece ter a sua própria filosofia no que diz respeito aos descontos aplicados. No entanto, conseguimos perceber que o que reivindicam inicialmente como política de descontos não é mantido por muito tempo.

Mudança de tom: na maioria das conversas, ocorre uma mudança de tom. Os criminosos começam por assegurar que a melhor opção é pagar e que a fuga de dados conduz a problemas legais e a multas. Mostram-se inclusive acessíveis para ajudar as vítimas, mas depois tornam-se impacientes, insistentes e agressivos se virem que o pagamento não é efetuado.

O que devem fazer as potenciais vítimas

Hoje em dia, as empresas já não se podem questionar se poderão vir a ser vítimas de ransomware, mas quando. Aceitar esta realidade é determinante para evitar que um ataque de ransomware inflija graves danos à empresa.

Para se preparar para a possibilidade de um ataque de ransomware moderno, as organizações devem, em primeiro lugar, desenvolver um plano de resposta a incidentes e realizar simulacros com todas as equipas relevantes. Em segundo lugar, contratar um negociador profissional. Algumas organizações são especializadas neste campo de negociação de termos de resgate em nome de empresas e a maioria dos agentes de ransomware não se importa se falam com um negociador ou com um funcionário da organização vítima.

Como evitar tornar-se vítima do ransomware

Antecipar as consequências é o primeiro passo fundamental para a prevenção. Um ponto de partida útil para proteger os sistemas é utilizar as guidelines do Instituto Nacional de Normas e Tecnologia (NIST) e os conselhos específicos para o ransomware, nomeadamente:

• Configurar o hardware e o software corretamente para o caso específico da sua empresa;
• Seguir o princípio de mínimos privilégios e limitar o acesso administrativo;
• Aplicar todos os patches e manter as atualizações de software;
• Auditar e supervisionar os registos de eventos;
• Utilizar a regra 3-2-1 para as cópias de segurança dos dados: Criar três backups em dois suportes, um dos quais fisicamente separado;
• Formar os colaboradores e testar os sistemas para ter a certeza de que os pressupostos de segurança se verificam quando postos à prova.

Conteúdo co-produzido pela MediaNext e pela Trend Micro