Betalen na een ransomware gijzeling… Een goed idee of niet?
We zien dat een aantal aanvallers van ransomware steeds driester te werk gaan, en agressief op zoek gaan naar nieuwe methodes om meer geld te verdienen. Het belang van “een tevreden klant” (zie ook: “Ransomware gijzelingen, een bloeiende economie, mèt klantendienst, op the dark web“) komt dan ook in een aantal recente gevallen onder druk te staan.
In dit artikel lijsten we de zaken op waar u dient rekening mee te houden wanneer u overweegt digitaal losgeld te betalen aan de hackers…
Dubbele encryptie
Een nieuwe tactiek die toegepast wordt is de “dubbele versleuteling”. Wanneer u een betaling heeft gedaan voor uw eerste decryptiesleutel, blijken de gegevens vaak nog een tweede keer versleuteld te zijn. Ook voor de tweede decryptie-sleutel dient u grof losgeld te betalen in de vorm van bitcoins. De achterliggende strategie van de aanvallers: sinds u reeds een eerste keer betaald heeft, zou de drempel lager liggen om opnieuw te betalen, dan alsnog uw infrastructuur volledig van nul opnieuw op te bouwen.
Betaalt u één keer?
Dan volgt er vaak nog een volgende afpersing voor een tweede decryptiesleutel!
Diefstal van gegevens
Alvorens uw systemen te versleutelen, stelen de hackers eerst uw gegevens. Wanneer u niet of onvoldoende snel wenst te betalen, lekken de hackers uw data en bestanden rechtstreeks op het internet. U heeft uiteraard liever niet dat uw boekhouding, klantgegevens of HR-gegevens open en bloot op het internet staan.
Niet werkende decryptie
Net zoals in echte software, zitten er ook bugs in ransomware. Deze, soms onbedoelde, bugs zorgen ervoor dat de decryptie van uw systemen niet of slechts gedeeltelijk werkt. Zelfs als dit niet met slechte bedoelingen is voorzien door de maker, valt er in die situatie nog weinig aan te doen en bent u uw gegevens definitief kwijt.
Een herbezoek van de hackers...
Hackers die zichzelf toegang verschaffen tot uw IT-systemen zorgen altijd dat ze één of meerdere backup-toegang(en) hebben geactiveerd, bijvoorbeeld door het installeren van extra backdoors in uw netwerk die uw beveiliging omzeilen (of zelfs actief uitschakelen). Deze backdoors zijn doorgaans niet eenvoudig op te sporen in grote netwerken.
Omdat het voor de ransombendes in de eerste plaats om snel geldgewin gaat, besteden ze weinig aandacht aan “nazorg” van hun slachtoffers. Backdoors worden zelden opgeruimd of toegegeven. We zien nu cases opduiken waarbij bedrijven die eerder gehackt werden (en betaalden), nu na bijvoorbeeld een jaar opnieuw te maken krijgen met een ransomwaregijzeling door dezelfde bende. Onder het motto “ze betaalden vorige keer, dus zullen ze dat nu ook wel doen”… . Ze doen vooraf steeds erg goed hun research over hun volgende slachtoffer…
Schending van internationale sancties
Veel van de ransomware-bendes zitten veilig verborgen in schurkenstaten zoals Noord-Korea. Ook de Russen zijn erg actief in het hacken van Westerse bedrijven voor losgeld. Weet dat er tal van internationale sancties lopen tegen deze landen (denk maar aan de nieuwe economische sancties tegen Rusland na de oorlog in Oekraïne). U weet nooit zeker waar de hackers zitten, maar wanneer u beslist om de gijzelnemers te betalen, schendt u dus mogelijk internationale sancties met mogelijke gerechtelijke gevolgen. Ook het Bitcoin-verkeer naar deze landen wordt nauw in het oog gehouden door de internationale veiligheidsdiensten…
Digitale gids ransomware: bescherm uw zaak tegen een digitale gijzeling
Dit artikel maakt deel uit van onze whitepaper over ransomware-gijzelingen.
Download de volledige gids hier.
In deze gids proberen we om een zo realistisch mogelijk beeld te vormen van het risico op ransomware. We vermijden daarbij doemdenken en overdreven bangmakerij, maar gaan ook de harde realiteit niet uit de weg.