Κυβερνοασφάλεια: Σε «χτύπησε» χάκερ, πώς να διαπραγματευτείς και πώς να κερδίσεις

Η Euler Finance, μια πλατφόρμα κρυπτονομισμάτων με έδρα το Ηνωμένο Βασίλειο, έπεσε θύμα κυβερνοεπίθεσης που είχε σαν αποτέλεσμα να χάσουν κεφάλαια ύψους 197 εκατ. δολαρίων, η εταιρεία απευθύνθηκε σε ειδικευμένους δικηγόρους και κατάφερε να ανακτήσει το σύνολο των κεφαλαίων μέσα σε τρεις εβδομάδες.

Η συγκεκριμένη ομάδα δικηγόρων τα κατάφερε εκμεταλλευόμενη ένα σοβαρό λάθος της ομάδας που εκτέλεσε την κυβερνοεπίθεση: πλήρωσαν 100 Ether σε έναν λογαριασμό που φημολογείται ότι συνδέεται με χάκερ της Βόρειας Κορέας. Οι δικηγόροι χρησιμοποίησαν αυτό το γεγονός ως σημείο πίεσης για να προειδοποιήσουν τους δράστες ότι θα μπορούσαν να αντιμετωπίσουν αντίποινα από κρατικούς φορείς ή το οργανωμένο έγκλημα. Αυτό ήταν αρκετό για να πείσει τους χάκερ να επιστρέψουν τα χρήματα.

Εκτεθειμένα σε κυβερνοεπιθέσεις τα εταιρικά δεδομένα

Αν και η ανάκτηση κεφαλαίων με αυτόν τον τρόπο είναι εξαιρετικά σπάνια, τα θύματα επιθέσεων ransomware στρέφονται όλο και περισσότερο σε διαπραγματευτές – είτε πρόκειται για εσωτερικές ομάδες αντιμετώπισης, ασφαλιστές, εταιρείες ασφαλείας ή δικηγόρους – για να μειώσουν το κόστος των λύτρων ή ακόμη και να αποφύγουν την καταβολή τους εντελώς, αναφέρουν σε δημοσίευμά τους οι Financial Times.

Η τέχνη της διαπραγμάτευσης

«Οι διαπραγματευτές θα πρέπει να θέτουν ερωτήσεις ανοιχτού τύπου για να επιχειρήσουν την επίλυση προβλημάτων», λέει στους Financial Times η Αμάντα Γουέιραπ, επίκουρη καθηγήτρια διοίκησης στο Babson College και ειδικός στις διαπραγματεύσεις και τη διαχείριση συγκρούσεων.

«Για παράδειγμα, τι θα χρειαζόταν για να επιλυθεί αυτή η κατάσταση; Οι ισχυρότεροι διαπραγματευτές προσαρμόζουν την προσέγγισή τους με βάση τα συμφέροντα και τις προτεραιότητες των άλλων μερών», λέει, σημειώνοντας ότι, πέρα από το οικονομικό κέρδος, ορισμένοι εγκληματίες του κυβερνοχώρου επιδιώκουν την αναγνώριση για να προωθήσουν μια πολιτική ή ιδεολογική ατζέντα.

Η μάστιγα του ransomware

Οι παραβιάσεις τύπου ransomware – κατά τις οποίες οι εγκληματίες του κυβερνοχώρου κρυπτογραφούν συστήματα δεδομένων και απαιτούν πληρωμή για να τα απελευθερώσουν – έχουν πολλαπλασιαστεί μετά την πανδημία του κορονοϊού, καθώς η απομακρυσμένη εργασία μείωσε τα επίπεδα άμυνας στον κυβερνοχώρο.

Ωστόσο, τα στοιχεία του αμερικανικού τεχνολογικού ομίλου IBM δείχνουν ότι οι οργανισμοί που πλήρωσαν λύτρα πέτυχαν μόνο μια μικρή διαφορά στο κόστος της επίθεσης – 5,06 εκατ. δολάρια σε σύγκριση με 5,17 εκατ. δολάρια – αν και αυτό δεν περιλαμβάνει το κόστος των ίδιων των λύτρων. «Δεδομένου του υψηλού κόστους των περισσότερων απαιτήσεων ransomware, οι οργανισμοί που πλήρωσαν τα λύτρα πιθανότατα κατέληξαν να δαπανήσουν συνολικά περισσότερα από εκείνους που δεν το έκαναν», αναφέρει η έκθεση.

Ορισμένοι -ιδιαίτερα όσοι αντιτίθενται στην ιδέα της διαπραγμάτευσης με εγκληματίες- υποστηρίζουν ότι η πληρωμή των χάκερ απλώς τους ενθαρρύνει και συνεχίζει τον κύκλο του εγκλήματος στον κυβερνοχώρο. Σημειώνουν ότι, πληρώνοντας τους χάκερ, τα θύματα κινδυνεύουν να παραβιάσουν κυρώσεις και άλλους εθνικούς κανονισμούς και θα μπορούσαν να χρηματοδοτήσουν ακούσια έναν εθνικό αντίπαλο, ένα διεφθαρμένο καθεστώς, μια συμμορία οργανωμένου εγκλήματος, έναν διακινητή ανθρώπων ή έναν τρομοκράτη.

Η πληρωμή δεν εγγυάται επίσης ότι οι χάκερ θα ξεκλειδώσουν τα συστήματα ή ότι δεν θα επιστρέψουν για να ζητήσουν περισσότερα χρήματα. Πράγματι, καθώς η επιχείρηση του ransomware έχει αποδειχθεί πιο επικερδής, οι εγκληματίες του κυβερνοχώρου από τη Ρωσία, το Ιράν και τη Βόρεια Κορέα έχουν εξελίξει τις στρατηγικές τους για να αποσπάσουν όσο το δυνατόν περισσότερα χρήματα από ένα θύμα, λένε οι ειδικοί.

Η πραγματικότητα

Ο Ντέιβιντ Χίγκινς, ανώτερος διευθυντής του γραφείου τεχνολογίας πεδίου του ομίλου ασφάλειας πληροφοριών CyberArk, λέει στους Financial Times ότι τα στοιχεία του δείχνουν ότι οι οργανισμοί που επλήγησαν από ransomware το 2023 πλήρωσαν συνήθως τουλάχιστον δύο φορές, πράγμα που σημαίνει ότι ήταν πιθανότατα θύματα των λεγόμενων εκστρατειών διπλού εκβιασμού. Πρόκειται για επιθέσεις στις οποίες οι χάκερ όχι μόνο εμποδίζουν την πρόσβαση στα συστήματα του θύματος κρυπτογραφώντας τα δεδομένα, αλλά και κλέβουν δεδομένα, απειλώντας να δώσουν ευαίσθητες πληροφορίες μόνο αν καταβληθούν λύτρα.

«Οι εταιρείες θα πρέπει να έχουν ένα σχέδιο έκτακτης ανάγκης σε περίπτωση που η πληρωμή τους δεν επιφέρει τα αποτελέσματα που τους είχαν υποσχεθεί», συμβουλεύει ο Μάθιου Ροχ, επικεφαλής της κοινότητας i-4 cyber security leaders της KPMG UK.

Ορισμένες αρχές απαγορεύουν την καταβολή λύτρων – για παράδειγμα, οι αμερικανικές πολιτείες της Βόρειας Καρολίνας και της Φλόριντα έχουν απαγορεύσει ρητά στις πολιτειακές και τοπικές κυβερνητικές υπηρεσίες να πληρώνουν χάκερ.

Η… πικρή αλήθεια

Όμως οι επιχειρήσεις μπορεί να μην έχουν πολλές επιλογές αν θέλουν να παραμείνουν ζωντανές. «Στην πραγματικότητα, οι διαπραγματεύσεις με τους εγκληματίες του κυβερνοχώρου είναι συχνά απαραίτητες για τη μεγιστοποίηση των αποτελεσμάτων», λέει η Γουέιραπ. «Η καταβολή των λύτρων μπορεί να είναι ο ταχύτερος τρόπος ανάκτησης των δεδομένων και συνέχισης της λειτουργίας, ειδικά αν τα λύτρα είναι λιγότερα από το κόστος».

Η ομάδα διαπραγμάτευσης θα πρέπει τόσο «να προσδιορίσει τα υποκείμενα κίνητρα των χάκερ» όσο και «να διατυπώσει μια ανάλυση κόστους-οφέλους προσδιορίζοντας τις εναλλακτικές τους λύσεις», λέει η ίδια. Για παράδειγμα, τα θύματα θα πρέπει να ελέγξουν αν διαθέτουν αντίγραφα ασφαλείας δεδομένων ή άλλους τρόπους για να επαναφέρουν σε λειτουργία κρίσιμες υπηρεσίες.

Οι διαπραγματευτές θα πρέπει να εμπλακούν με τους χάκερ νωρίτερα παρά αργότερα για να αποτρέψουν την κλιμάκωση, λένε οι ειδικοί. «Περιμένουν να τους αγνοήσουν και θα αντιδράσουν κλιμακώνοντας τις απειλές τους, καλώντας στελέχη, διατυπώνοντας απειλές μέσω των μέσων κοινωνικής δικτύωσης και αυξάνοντας τις εχθροπραξίες μέχρι να νιώσουν ότι τους ακούνε», λέει ο Ροχ.

Όμως, ενώ οι χάκερ μπορεί να χρησιμοποιούν την πίεση του χρόνου για να εξαναγκάσουν τα θύματα να πληρώσουν, το ίδιο μπορούν να κάνουν και οι επιχειρήσεις που επιβραδύνουν τη διαδικασία – δίνοντάς τους χρόνο να ανακτήσουν τα δεδομένα τους ή τις λειτουργίες τους στο παρασκήνιο. «Οι εταιρείες μπορεί να επιλέξουν να διαπραγματευτούν σε μια προσπάθεια να προκαλέσουν καθυστέρηση αντί να μειώσουν απλώς το ποσό των λύτρων ή να αποφύγουν εντελώς την πληρωμή», λέει ο Ροχ.

Τελικά, το θύμα και οι διαπραγματευτές είναι αυτοί που πρέπει να καθορίσουν πώς θα μετρήσουν την επιτυχία, λέει η Γουέιραπ – είτε πρόκειται για ανάκτηση δεδομένων, είτε για ελαχιστοποίηση των οικονομικών απωλειών και διαταραχών, είτε για μείωση της ζημίας της φήμης.

«Είναι ζωτικής σημασίας να καθοριστεί… ένα σημείο πέρα από το οποίο δεν είναι διατεθειμένοι να συνεχίσουν τις διαπραγματεύσεις», καταλήγει.