مذاکره با باج‌افزارها؛ آیا باید پول بدهیم یا مقاومت کنیم؟ / بررسی استراتژی‌ها و واقعیت‌ها

وقتی باج‌افزار‌ها سیستم‌های حیاتی سازمان را رمزگذاری می‌کنند، زمان تصمیم‌گیری فرا می‌رسد: آیا باید مذاکره کرد؟ آیا باید باج پرداخت؟ این سوالی است که بسیاری از شرکت‌ها، از بیمارستان‌ها تا تأسیسات انرژی و کسب‌وکار‌های بزرگ، هنگام حمله سایبری با آن مواجه می‌شوند.

با پیشرفت تکنولوژی و پیچیده‌تر شدن حملات، باند‌های باج‌افزاری مانند کسب‌وکار حرفه‌ای عمل می‌کنند، پورتال پرداخت دارند، حتی خدمات مشتری ارائه می‌دهند. برخی گزارش‌ها نشان می‌دهد که پرداخت باج‌های چند ده میلیون دلاری موجب تشویق مجرمان بیشتر به اجرای حملات شده است.

مذاکرات باج‌افزار برای شرکت‌ها

باند‌های باج‌افزار روزبه‌روز سازمان یافته‌تر و تهاجمی‌تر می‌شوند و بسیاری از آنها اکنون مانند کسب‌وکار‌ها عمل می‌کنند. آنها خدمات مشتری، پورتال‌های پرداخت و کتابچه‌های راهنمای مذاکره دارند. هیچ سازمانی در امان نیست. بیمارستان‌ها، مدارس، زیرساخت‌های حیاتی و شرکت‌های جهانی همگی مورد حمله قرار گرفته‌اند.

بر اساس گزارش Zscaler، پرداخت باج ۷۵ میلیون دلاری به گروه Dark Angels ممکن است سایر عاملان باج‌افزار را برای دریافت پرداخت‌های بالاتر تشویق کرده باشد.

در جنبه مثبت قضیه، روند امیدوارکنند‌های مشاهده می‌شود. طبق آخرین گزارش Chainalysis، تعداد فزاینده‌ای از قربانیان از پرداخت باج خودداری می‌کنند.

این تغییر ممکن است تا حدی ناشی از اقدامات اخیر اجرای قانون جهانی باشد که ضربه‌های سنگینی به باند‌های باج‌افزار وارد کرده است. از جمله تخریب زیرساخت LockBit، اتهامات علیه مدیر باج‌افزار Phobos، اختلال در گروه Radar/Dispossessor و حذف سایت‌های افشای اطلاعات ALPHV/BlackCat. این یک بازی دائمی موش و گربه بین مجرمان و اجرای قانون است.

چرا شرکت‌ها وارد مذاکرات باج‌افزار می‌شوند؟

پاسخ ساد‌ه‌ای برای این سوال وجود ندارد. دولت‌ها و مجریان قانون معمولاً توصیه می‌کنند پرداخت نکنید، با این استدلال که این کار نه تنها چرخه جرایم سایبری را تقویت می‌کند، بلکه جرایم سازمان‌یافته را تأمین مالی کرده و ممکن است از عملیات سایبری حمایت شده توسط دولت‌ها پشتیبانی کند.

اما برخی دیگر می‌گویند اولین مسئولیت، محافظت از سازمان و ذی‌نفعان آن است. در آن لحظه، کمتر بحث اخلاقیات مطرح است و بیشتر مسئله بقاء است.

برای بسیاری، پرداخت باج سریع‌ترین راه برای بازگشت به حالت عادی احساس می‌شود. هرچه سیستم‌ها بیشتر خاموش بمانند، هزینه‌ها بالاتر می‌رود.

در برخی موارد، پرداخت ممکن است تنها گزینه باشد. اگر نسخه‌های پشتیبان به خطر افتاده یا در دسترس نباشند، شرکت‌ها ممکن است چاره‌ای جز مذاکره برای دسترسی مجدد به داده‌های خود نداشته باشند؛ و در مورد بیمارستان‌ها چه؟ اگر نتوانند به سوابق بیماران دسترسی داشته باشند، یا اگر خدمات شهری نتوانند برق را بازیابی کنند، جان افراد در خطر است. در چنین شرایطی، جایی برای مصالحه وجود ندارد.

با این حال، همان‌طور که در مورد نقض داده‌های Change Healthcare مشاهده شد، پرداخت باج تضمینی برای بازگرداندن داده‌های حیاتی نیست.

در تاریخ می ۲۰۲۱، خط لوله Colonial Pipeline، یک تأمین‌کننده بزرگ سوخت در ایالات متحده، توسط گروه باج‌افزار DarkSide مورد حمله قرار گرفت. برای بازیابی عملیات و کاهش اختلالات عرضه سوخت، شرکت ۵ میلیون دلار باج پرداخت کرد. وزارت دادگستری این کشور از طریق اقدامات هماهنگ تحقیقاتی، ۲.۳ میلیون دلار از پرداخت باج را بازیابی کرد.

تیم موریس، مشاور ارشد امنیتی در Tanium گفت: «اگر فقط یک ملاحظه قانونی و اخلاقی بود، به عنوان یک اصل، نباید پرداخت کنید و مجریان قانون با این رویکرد موافق هستند. با این حال، گاهی پرداخت باج بیشتر یک تصمیم تجاری است تا یک سوال اخلاقی. انجام کار اخلاقی ممکن است بسیار بیشتر از پرداخت باج هزینه داشته باشد.»

متخصصان چگونه فرآیند را مدیریت می‌کنند؟

وقتی شرکتی تصمیم به مذاکره می‌گیرد، متخصصان وارد عمل می‌شوند. تیم‌های پاسخ به حادثه معمولاً پیشتاز هستند و با تیم‌های حقوقی، فناوری اطلاعات و ارتباطات همکاری می‌کنند تا اوضاع را تحت کنترل نگه دارند.

مذاکره‌کنندگان به عنوان شخص ثالث معمولاً وارد می‌شوند. اینها متخصصانی هستند که می‌دانند چگونه بدون تسلیم شدن آسان با حمله‌کنندگان صحبت کنند. آنها مذاکرات را حرفه‌ای نگه می‌دارند و سعی می‌کنند تقاضای باج را کاهش دهند بدون اینکه خطر از دست دادن داده‌ها افزایش یابد.

یک تیم پاسخ به حادثه بسیار ماهر شخص ثالث می‌تواند طیف وسیعی از تخصص‌ها را تحت یک سقف به کسب‌وکار‌ها ارائه دهد که ممکن است در تیم‌های امنیتی سنتی داخلی وجود نداشته باشد.

حمله کنندگان اغلب از یک سناریوی از پیش تعیین‌شده پیروی می‌کنند. برخی ابتدا تهاجمی عمل می‌کنند، سپس بعد از شروع مذاکرات به حالت مفید تغییر موضع می‌دهند. آنها از فشار و ترس برای دریافت سریع پرداخت استفاده می‌کنند. ممکن است با افشای داد‌ه‌ها، افزایش باج یا تعیین مهلت‌های جعلی تهدید کنند. مذاکره‌کنندگان خوب می‌دانند که نباید وحشت کنند.

تعلل یک تاکتیک رایج است، زیرا زمان می‌تواند به نفع شما کار کند. طولانی کردن مذاکرات به تیم‌ها فرصت می‌دهد تا نسخه‌های پشتیبان را بازیابی کنند، ریسک‌های حقوقی را ارزیابی کنند یا مجریان قانون را درگیر کنند.

اولین تقاضا به ندرت نهایی است. مذاکره‌کنندگان ماهر مبالغ کمتر پیشنهاد می‌دهند، درخواست تخفیف می‌کنند یا بدون عصبانی کردن حمله‌کننده، زمان بیشتری می‌خواهند.

قبل از هر پرداختی، مذاکره‌کنندگان درخواست می‌کنند یک فایل نمونه باز شود. اگر حمله‌کنندگان نتوانند این کار را انجام دهند، کل مذاکره ممکن است لغو شود.

درگیر کردن مجریان قانون

درگیر کردن مجریان قانون در یک حمله باج‌افزار یک گام حیاتی است، اما زمان‌بندی در این امر موضوعی کلیدی است.

هرچه زودتر به مقامات اطلاع داده شود، شانس آنها برای بررسی حمله، شناسایی مجرمان و جلوگیری از حملات آینده بهتر است.

مجریان قانون معمولاً با حمله‌کنندگان مذاکره نمی‌کنند، اما می‌توانند به شرکت در فرآیند راهنمایی کنند.

شرکت‌ها همچنین باید بررسی کنند که آیا سیاست بیمه سایبری آنها نیاز به اطلاع‌رسانی به مجریان قانون دارد یا خیر. بسیاری از سیاست‌ها این مورد را به عنوان بخشی از فرآیند ادعا شامل می‌شوند.

ساخت یک برنامه پاسخ به باج‌افزار

۱. آماده‌سازی:

سازمان‌ها به یک کتابچه راهنما برای باج‌افزار نیاز دارند. این برنامه باید مراحل مدیریت حمله، از جمله نحوه تصمیم‌گیری درباره مذاکرات را مشخص کند. یک چارچوب ازپیش تعیین شده به تیم‌ها کمک می‌کند در بحران سریع و با اطمینان عمل کنند.

۲. تمرین‌های شبیه‌سازی (Tabletop Exercises):

حمله‌های شبیه‌سازی شده باج‌افزار یا تمرین‌های میزگردی، تیم‌ها را برای حوادث واقعی آماده می‌کنند. این تمرین‌ها به شناسایی نقاط ضعف و بهبود تصمیم‌گیری کمک می‌کنند. همچنین به بازیکنان کلیدی اجازه می‌دهند تا مدیریت شرایط پراسترس را تمرین کنند.

کسب‌وکار‌ها باید اطمینان حاصل کنند که برنامه‌های پاسخ به حادثه آنها چالش‌های منحصر‌به‌فرد ناشی از سرقت داده‌ها را پوشش می‌دهد. این شامل آمادگی برای سناریو‌های اخاذی دوگانه و آمادگی برای مدیریت عواقب با مشتریان و سایر ذی‌نفعان است.

چگونگی پاسخ برای تأثیر حداقلی حمله باج‌افزارها، وقتی مذاکرات شکست می‌خورد

مراحل زیر چگونگی پاسخ سازمان‌ها برای به حداقل رساندن تأثیر حمله باج‌افزار را مشخص می‌کند:

• ارزیابی وضعیت: تعیین کنید کدام سیستم‌ها تحت تأثیر قرار گرفته‌اند و آیا نسخه‌های پشتیبان در دسترس هستند.
• درگیر کردن متخصصان: متخصصان امنیت سایبری را برای تحلیل نقض و کمک به بازیابی وارد کنید.
• جداسازی سیستم‌ها: دستگاه‌های به خطر افتاده را از شبکه قطع کنید تا از گسترش بیشتر حمله جلوگیری شود.
• اطلاع به مقامات: حادثه را به مجریان قانون و نهاد‌های نظارتی مربوطه گزارش دهید.
• ارتباطات شفاف: ذی‌نفعان را از نقض داده و اقدامات در حال انجام مطلع کنید.
• بازیابی داده‌ها: از نسخه‌های پشتیبان پاک برای بازگردانی سیستم‌ها و داده‌ها استفاده کنید و مطمئن شوید همه بدافزار‌ها حذف شده‌اند.
• تقویت دفاع‌ها: اقدامات امنیتی را به روز کنید، آسیب‌پذیری‌ها را رفع کرده و کارمندان را برای جلوگیری از حوادث آینده آموزش دهید.
• بررسی و یادگیری: تحلیل پس از حادثه انجام دهید تا نقاط ضعف را شناسایی و استراتژی‌های پاسخ را بهبود بخشید.

وقتی همه گزینه‌ها دردناک هستند

همانطور که می‌بینیم، هیچ قانونی در این مذاکرات وجود ندارد، زیرا در میان دزد‌ها شرافتی نیست. الگو‌هایی که این گروه‌ها زمانی دنبال می‌کردند در حال تغییر است، زیرا تاکتیک‌های خود را اصلاح می‌کنند. هیچ‌کس نمی‌خواهد در موقعیت CISO یا سازمان در چنین شرایطی قرار گیرد.

فشار روانی می‌تواند طاقت فرسا باشد، زیرا نمی‌توانید نتیجه را پیش‌بینی کنید و هیچ راه‌حلی ایده‌آل نیست. اگر پرداخت کنید، شرکت‌ها پول از دست می‌دهند. اگر پرداخت نکنید، نه تنها داده‌ها، بلکه اعتماد مشتریان خود را نیز از دست می‌دهید که می‌تواند برای آینده کسب‌وکار شما ویران‌گرتر باشد.

منبع: پلیس فتا

انتهای پیام/