Компаниите, които плащат искания откуп при рансъмуер-атака с надеждата да възстановят своите ИТ системи, имат по-голям „шанс“ да попаднат в заглавията на вестниците от тези, които отказват да платят, сочи нов анализ.
Първоначален анализ на данни, добити от британската Национална агенция за борба с престъпността (NCA) относно кибер-изнудванията, предполага, че най-добрият начин да се избегне лошата публичност може би е да се откаже плащането.
Макс Смийтс, автор на книгата „Войната за откупи“, е получил контролиран достъп до данни за LockBit 3.0, иззети от NCA по време на операция „Хронос“, която прекрати дейността на рансъмуера LockBit, и е изследвал изтекли данни от LockBit 4.0.
Смийтс е сравнил прессъобщенията за 100 компании, които са платили за рансъмуер, с докладите за 100 компании, които са отказали да платят. „Оказва се, че е по-вероятно да бъде написана медийна история за вас, ако сте платили, отколкото ако не сте платили“, казва той.
Заключенията на Смийтс опровергават твърденията на престъпните рансъмуер банди, че компаниите, които си плащат, могат да избегнат лоша публичност. Той нарича явлението „ефектът на Стрейзанд“, при който, плащайки откуп, за да избегнат публичност, компаниите в крайна сметка привличат точно това обществено внимание, което се опитват да избегнат.
Правоохранителните органи отдавна твърдят, че компаниите не трябва да плащат такси за откуп, защото това поддържа екосистемата на рансъмуер-бандите, и няма гаранция, че ще си върнат данните.
„Това, което анализът показва, е, че не трябва да плащате, ако се страхувате от публично разкриване“, казва Смийтс.
Анализът разкрива и колко зле подготвени са били много организации, когато са договаряли рансъмуер плащания с престъпните филиали на LockBit.
Някои компании са заявили предварително на престъпните банди, че отчаяно искат да си върнат данните, тъй като нямат резервни копия, което веднага ги е поставило в неизгодна позиция в преговорите.
Други са се опитали безуспешно да спечелят симпатиите на хакерите, като са твърдели, че не могат да си позволят да платят откупа или че обслужват местната общност.
Смийтс също така е установил, че някои жертви са изпратили на бандите за рансъмуер копия от застрахователните си документи, за да покажат колко могат да си позволят да платят.
Откритията показват, че компаниите трябва да бъдат по-добре подготвени за преговори за рансъмуер, ако се случи най-лошото. „Има голяма вероятност, особено за малките и средните предприятия, да разберат по-добре как да взаимодействат с тези престъпници, без да правят екстремни и очевидни грешки“, каза той.
Криминалните филиали на LockBit следват стандартна процедура за договаряне на плащания за откуп, която обикновено включва искане на първоначален откуп, предлагане за декриптиране на два файла безплатно и заплаха от изтичане на данни, ако организациите не платят.
Анализът на Смийтс е установил, че престъпните групи имат толкова много жертви, че не отделят време за анализ на данните, които събират, за да търсят компрометиращ материал, който би могъл да увеличи стойността на искането за откуп – те са по-заинтересовани от следващата жертва.
Ако компаниите не платят в рамките на няколко седмици, изнудвачите може да са склонни да предположат, че липсата на отчаяние у жертвата може да означава, че атаката им с рансъмуер не е причинила големи щети. Те може да са склонни да приемат по-малки плащания в замяна на споразумение да не публикуват хакнатите данни.
Рансъмуер групите като LockBit мамят и крадат, но някак си трябва да убедят жертвите, че са достатъчно надеждни, за да възстановят данните им в замяна на плащане на откуп, така че репутацията е важна.
Съсипаната репутация на дадена кибер-банда може да доведе до нейното пълно сриване, сочи анализът на Смийтс. Той се надява да проведе допълнителни изследвания на връзката между плащането на откупи и негативното отразяване в пресата, за да провери първоначалните си открития.
