Ransomware: Varför du inte ska betala lösensumman (och vad du ska göra istället)

Thomas Eeles, CSIRT(1)  Manager på Orange Cyberdefense UK hanterar ransomware-attacker varje dag. Här är hans råd:

När CERT(2) träffar potentiella nya kunder får vi nästan alltid samma typ av frågor:

• Hur hanterar vi nationsstatsattacker?
• Hur många ”zero-day”-attacker har vi hanterat?
• Hur hanterar vi ransomware?
• Har vi ett sätt att betala angripare?

Den sista frågan är den känsligaste för mig att besvara. Främst för att det är en moralisk fråga. Jag vet att jag tittar på detta ovanpå min moraliska höga häst, i den verkliga världen skulle en del av min moral flyga ut genom närmaste fönster när jag stod inför dilemmat att betala en lösensumma eller förlora ett företag genom dataförlust. Som med alla situationer, när man står inför möjligheten att människor förlorar sitt uppehälle kan tvivelaktiga moraliska val göras. Jag förstår att mycket av den verksamhet som mitt team hanterar är ett direkt resultat av ransomware-attacker. Det är svårt för mig att prata om ransomware och attackgrupper utan att erkänna det faktum att vi direkt drar nytta av undersökningen, inneslutningen och saneringen av dem.

För den här bloggen vill jag också lägga åt sidan det faktum att angripare stjäl data och kräver pengar för att inte offentliggöra det.

Orange Cyberdefenses ståndpunkt när det gäller lösenbetalning är tydlig: Ingen ska någonsin betala, angripare kommer att sälja/använda datat eller släppa den ändå.

Logiken för oss om ransomware är enkel: Vi kan inte lita på cyberbrottslingar och det borde inte du heller göra. Varför ska du lita på någon som olagligt kom åt ditt nätverk, krypterade dina data och krävde pengar för att dekryptera det. Som sedan stal ditt data samtidigt som du blev hotad med att de ska släppa datan offentligt, för att svartmåla ditt företag?

Ransomware är framför allt en utpressningsbluff och bör hanteras som sådan.

Som med all olaglig/brottslig verksamhet är förövarna bara ute efter pengarna. Om du tar bort det, tar du bort incitamentet. Tyvärr är riskerna, för många cyberbrottslingar, små. De har liten eller ingen risk att åka fast, och om de gör det så har de praktiken ingen oro för att det ska leda till åtal.

Så logiken säger att om pengarna finns där, kommer de att utföra brottet. Den gamla klichén “brott lönar sig inte” håller inte i detta läge. Bara under de senaste 12 månaderna har mitt team sett en kraftig ökning av beloppen som angripare ber om. Belopp som tidigare skulle ha verkat extrema är nu normen, och de flesta krav som vi ser komma in är nu över 2 miljoner SEK, och ibland upp mot 10 miljoner SEK.

Det finns många orsaker till ökningen. Under de första fyra månaderna av 2021 har Orange Cyberdefenses CSIRT sett tre fall av angripare som lägger till detta (eller liknande) till hotbrevet, “vi har tittat på dina finansiella dokument och vet att du har råd med det begärda beloppet”, eller angripare som påstår sig ha “gjort stora mängder efterforskning” och riktat in sig på det specifika företaget eftersom de vet att de kan betala stora belopp.

I ett extremt fall hade angriparna, vad som verkade vara, legitima kontoutdrag för att bevisa att ett företag hade “djupa fickor”.

Angripare har en stor chans att göra stora pengar, och vi vet med säkerhet att många (om inte alla?) specialiserade attackgrupper som CISRT-spåret har tiotals, kanske hundratals, attacker pågående samtidigt. Jag är inte den första som säger “Ransomware handlar om stora affärer”. Men det behöver det inte vara.

Det finns en myt jag har hört mycket om: “Ransomware-grupper är som företag, de vill ha bra recensioner, och då hjälper de dig om du betalar”. Teorin bakom är att om attackgrupper inte återställde data efter betalning, skulle ryktet komma ut och ingen skulle betala.

Det kan finnas en liten gnutta sanning i detta, men från vad jag har sett hittills har angriparna ett aggressivt förakt för offren och ser dem som bara som ett led på väg till lönedagen, och när de väl har fått betalt erbjuder de lite eller inget stöd.

Även med de mest sofistikerade ransomware- och dekrypteringsverktygen kan det gå fel. Detta är särskilt besvärligt när man hanterar stora filer som VHD:s. De dekrypterar mycket sällan i användbart tillstånd, grov tumregel är att du kommer att förlora alla filer som är över 5 GB i storlek även med dekrypteringsverktygen. Jag har aldrig sett (under tio års arbete i DFIR) en klient som har betalat en lösensumma och lyckats få 100% av data tillbaka.

Huvudfrågan kvarstår: “Hur ser vi till att vi inte hamnar i ransomware situationen överhuvudtaget?”

För det första, en liten övning som jag gillar att köra med nya kunder:
Tänk på ett belopp som du skulle vara villig att betala för att rädda ditt företag, halvera det och investera det i att göra grunderna i IT-säkerhet så bra som möjligt. Om varje företag gjorde detta skulle behovet av betalningar minska drastiskt, eftersom den enkla attackytan som är tillgänglig för skadliga grupper skulle krympa till nästan ingenting.

Varför grunderna? Jag skulle säga att 80% av angriparna som vi stöter på svävar precis över “script kiddie”-nivån.

Även de mest organiserade ransomware-grupperna använder grundläggande ”off-the-shelf”-attackverktyg, utnyttjar dåliga användar- och nätverkskontroller och går oupptäckta på grund av dålig visibilitet i nätverket/detektering.

Saker som CIS (3) Benchmarks, råd från Microsoft och NIST (4) Framework är bra utgångspunkter. Få sedan alla ändringar testade av ett pålitligt oberoende penetrationstestteam, se till att alla rekommendationer följs upp och testade igen.

För det andra, back-up! Att bara ha en Veeam Server igång i samma platta nätverk som alla andra servrar är helt enkelt inte tillräckligt bra. Det kan rädda er från hårdvarufel men det kommer att vara ett mål för en angripare, och även om många företag förlitar sig på den pålitliga gamla tape-backuplösningen, är de mindre nöjda när ett helt nätverk ska återställas från band.
Prova detta på ert nästa interna IT-möte: fråga ert team hur lång tid det tar att återställa hela nätverket från er nuvarande backup-lösning. Du bör få tillbaka många svar eftersom företaget bör ha återställningsplaner för en rad scenarier, till exempel oavsiktlig filborttagning, hårdvarufel, systemåterställning, fullständig nätverksåterställning. Du bör behandla dina back-up:s som dina kronjuveler eller ”frikort för att komma ut från fängelset”. De bör vara helt segmenterade från huvudnätverken och övervakas minutiöst. Alla försök att komma åt dem bör generera larm och därmed undersökas grundligt.

Dessa är bara utgångspunkterna för att skydda mot ransomware, när du är nöjd med grunderna kan du börja titta på din detektion och incident respons, policy och processer och mer avancerad threat-hunting och härdning av system. Vi genomförde en paneldiskussion med våra experter om hur man övervinner ransomware och vi har publicerat en omfattande guide för att hantera cyberutpressningshotet. Djupdyk i det för mer information. Och naturligtvis, kontakta oss för råd och hjälp, före, under och/eller efter en attack.