هل تعلم أن عصابات برامج الفدية مفتوحة للتفاوض؟ إذا كانت الظروف تقتضي منك دفع الفدية ، فلا تتراجع فقط عن صفقة أفضل. وإليك كيفية القيام بذلك.
Whan Ransomware الضربات
يؤدي هجوم برامج الفدية إلى تثبيت برامج ضارة على شبكتك. يقوم بتشفير بياناتك ويطلب فدية للعملات المشفرة لفك تشفيرها. لا تزال ناقلات الهجوم الأكثر شيوعًا هي هجوم التصيد أو استغلال اتصال بروتوكول سطح المكتب البعيد ، غالبًا من خلال الاستفادة من إدارة كلمات المرور السيئة.
من وجهة نظر الجهات الفاعلة في التهديد ، تعد برامج الفدية مربحة للغاية ويسهل تحقيقها نسبيًا عبر الإنترنت.وفقًا لتقرير صادر عن وكالة الاتحاد الأوروبي للأمن السيبراني (ENISA) ، فإن 45 بالمائة من المنظمات الضحايا تدفع الفدية. ليس من المستغرب إذن أن تزداد هجمات برامج الفدية. يشير تقرير منتصف العام لـ Bitdefender 2020 إلى أن هجمات برامج الفدية العالمية زادت على أساس سنوي بنسبة 715 في المائة.
النصيحة التي قدمها مكتب التحقيقات الفيدرالي (FBI) هي عدم دفع الفدية. يؤدي دفع الفدية فقط إلى تشجيع المزيد من هجمات برامج الفدية. إذا كان لديك نظام قوي للتعافي من الكوارث ، وخطة تم اختبارها للحوادث ، ولم يتم اختراق النسخ الاحتياطية ، يمكنك استعادة أنظمتك إلى حالتها السابقة للهجوم. بمجرد أن تكون قد حددت كيفية وصولهم إلى شبكتك وإغلاق هذه الثغرة الأمنية. لكن القيام بذلك قد يستغرق أيامًا وربما أسابيع.
عندما تتعرض المستشفيات والخدمات والبنية التحتية الحيوية الأخرى لبرامج الفدية ، فإنها تحتاج إلى التعافي بأسرع ما يمكن. زاد جائحة COVID-19 من احتمالية استهداف المستشفيات وشركات الرعاية الصحية ببرامج الفدية.إذا كنت ببساطة لا تستطيع تحمل أي توقف أو أن عملية الاسترداد ستكلف أكثر من الفدية ، فقد يبدو دفع الفدية أهون الشرين.
تم تأسيس مشروع No More Ransom بواسطة الإنتربول والعديد من المنظمات الشريكة لتوفير أدوات فك التشفير لبرامج الفدية الشائعة. قد يكون لديهم أداة لفك تشفير بياناتك المشفرة.
تصاحب هجمات برامج الفدية بشكل متزايد سرقة معلومات سرية أو معلومات حساسة أخرى للشركة. يهدد مجرمو الإنترنت بكشف هذه المعلومات إذا لم تدفع الفدية. ضع في اعتبارك ، حتى لو دفعت الفدية ، فقد لا تستعيد بياناتك. قد لا يعمل فك التشفير الذي تستخدمه الجهات الفاعلة في التهديد بشكل صحيح. إذا تم فك تشفير بياناتك ، فلا يزال من المحتمل أن تكون مصابًا ببرامج ضارة.
بعض المنظمات مشمولة بالتأمين الإلكتروني. هذا جيد بقدر ما يذهب ، ولكن هناك أدلة تشير إلى أنه إذا علم المجرمون الإلكترونيون أن مؤسسة ما لديها تأمين إلكتروني ، فإنهم يفترضون أنه سيتم دفع الفدية سواء كان لدى المنظمة أموال كافية أم لا.هذا يعني أن حد الفدية لم يتم تحديده من قبل الشؤون المالية للمنظمة ، ولكن بالأحرى من خلال قيمة التغطية التي توفرها بوليصة التأمين. قد يضخمون مطالب الفدية الخاصة بهم وقد يستهدفون بشكل تفضيلي المؤسسات المؤمنة.
بالطبع ، السيناريو المثالي هو عدم التعرض لبرامج الفدية الضارة. لكن إذا قمت بذلك ، وتملي الظروف أنه يجب عليك دفع الفدية ، يمكنك التفاوض مع مجرمي الإنترنت.
ذات صلة: كيفية الاستعداد لمحاربة هجوم برامج الفدية
مزيج من الثقة واليأس
من المؤكد أنك لست أفضل شخص لإجراء المفاوضات ، ولا أي شخص آخر في مؤسستك. سيكون لديك ما يكفي في صفحتك لتحديد نقطة الدخول وإصلاح الثغرة الأمنية ومحاولة الحفاظ على عمل المنظمة باستخدام أي وسيلة ممكنة. ربما يمكن للموظفين العمل من المنزل. ربما كان لديك شبكة مجزأة وقد تجنبت بعض البنية التحتية لتكنولوجيا المعلومات ومعدات الاتصالات لديك الإصابة.
يجب عليك تحديث اللوحة أو المجموعة C ، وإدارة استفسارات العملاء والعملاء ، وتنفيذ الإجراءات التي تتطلبها تشريعات حماية البيانات الخاصة بك ، والتعامل مع العلاقات العامة ، والعديد من الإجراءات الأخرى التي ستكون جزءًا من دليل الاستجابة للحوادث.. حتى لو لم يكن لديك كل ذلك على ظهرك ، فستظل أفضل في التعامل مع الخبراء للتعامل مع المفاوضات.
تعتمد معرفة كيفية المتابعة على فهم من وما الذي تتعامل معه. ما هي سلالة برامج الفدية التي تم استخدامها ضدك. هل يمكنك التعرف على مجرمي الإنترنت وهل تعرف ما هو سجلهم؟
بعض عصابات برامج الفدية أكثر موثوقية من غيرها. لديهم إجراءات فك تشفير تعمل بشكل صحيح ، ويقومون بالفعل باستعادة بياناتك. لم يعودوا بعد ذلك لتقديم المزيد من ادعاءات الابتزاز فيما يتعلق بكشف البيانات التي قاموا بتسريبها. العصابات الأخرى أقل من ذلك. إذا تعطل فك التشفير ولم ينجح ، فهذا صعب عليك فقط.
توجد شركات يمكنها إجراء هذه المفاوضات نيابة عنك ، واستخدام خبراتها وخبراتها لصالحك.يمكن لبعض المنظمات تبرير الاحتفاظ بمثل هذه الشركة على التوكيل ، لكن العديد منها لا يستطيع ذلك. يمكن لكل منظمة البحث عن شركات إدارة حوادث الهجمات الإلكترونية في المناطق المجاورة لها والتي لديها خدمة تفاوض. سيقدم معظمهم خدمة استجابة كاملة للهجوم الإلكتروني ، مع التفاوض ضمن ذلك.
في معظم الولايات القضائية ، يُطلب منك - أو على الأقل ، نشجعك بشدة - إبلاغ سلطات إنفاذ القانون والإبلاغ عن الهجوم. قد تتطلب منك قوانين خصوصية البيانات الخاصة بك إخطار موضوعات البيانات المتأثرة وإعداد وسيلة لتحديثها. قد تحتاج إلى الإبلاغ عن الحادث إلى سلطة حماية البيانات. وإذا كان لديك تأمين إلكتروني ، يجب أن تبدأ في التحدث إليهم في أقرب وقت ممكن. تحتاج إلى معرفة ما إذا كانوا يتوقعون توفير غطاء لهذا الحادث أم لا. هذه معرفة حيوية للمفاوضات.
المفاوضات
الخطوة الأولى: التفاصيل الفنية
تأكد من أنك قد حددت وسائل الإصابة ، وأنك قد أغلقت تلك الثغرة الأمنية بحيث لا يمكن استغلالها مرة أخرى. بمجرد أن تكون واثقًا من أنه تم حظر الجهات الفاعلة في التهديد من نظامك ، فأنت بحاجة إلى إجراء تقييم. ما الذي تم تشفيره بالضبط ، ما مدى الاختراق؟
هل هي ملكية تقنية المعلومات بأكملها ، أم شبكة فرعية واحدة ، أم عدة خوادم ، أم جميع الخوادم الخاصة بك؟ إذا لم يتم تشفير شبكتك بالكامل سيكون لديك مناورة افتتاحية. لماذا يجب عليك دفع الفدية بالكامل إذا لم يتم تشفير الشبكة بالكامل؟ لكن يجب أن تكون متأكدًا تمامًا من أن مجرمي الإنترنت محبوسون. إذا كان لا يزال بإمكانهم الوصول إلى شبكتك واكتشاف وجود مناطق لم يتم تشفيرها ، فسيتم إعادة الاتصال وتشفير الأجهزة التي فاتتهم.
عادة ما يتم وصف طريقة التواصل مع الجناة في رسالة الفدية. عادةً ما تكون بوابة تقوم بتسجيل الدخول إليها لتبادل الرسائل. تحقق من أنه يمكنك الوصول إلى هذا ، ولكن لا تفتح المناقشات حتى الآن.يمكنك طرح سؤال مثل هل أنت في المكان المناسب ، أو استعلام بريء آخر. إنه يُظهر لمجرمي الإنترنت أنك تتبع أوامرهم حتى الآن دون إعطاء أي شيء.
الخطوة الثانية: البحث والاستطلاع
يجب على شخص ما تحديد سلالة برامج الفدية. هذا هو السبب في أن شركة الاستجابة الخارجية للحوادث تبدو منطقية. لديهم المهارات والخبرة للقيام بذلك. سيستخدمون هذه المعلومات مع أدلة أخرى مثل نوع مذكرة الفدية وناقل الهجوم وطريقة الإصابة ونوع بوابة الرسائل التي يستخدمونها للتواصل معك وتفاصيل من حالات برامج الفدية الأخرى لتحديد الجهات المهددة. خطوة الإسناد هذه مهمة جدًا.
معرفة هوية عصابة برامج الفدية تمكن فريق الاستجابة من الرجوع إلى سجلات هجمات برامج الفدية الأخرى من قبل هؤلاء الجناة. سيكونون قادرين على معرفة ما إذا كانت عصابة برامج الفدية هذه توفر عادةً أجهزة فك تشفير تعمل وما إذا كانت قد احترمت تاريخيًا موافقتها على عدم ابتزاز الضحية لاحقًا للحصول على المزيد من المال من خلال التهديد بالإفراج عن البيانات المسروقة.
الأهم من ذلك ، أنهم قد يكونون قادرين على معرفة الفدية التي طالبت بها هذه العصابة في الهجمات السابقة وما هو الرقم النهائي الذي تم التفاوض عليه. يمكن انتقاء الفديات من الهواء وتكون مطلب افتتاح قياسي ، أو قد يتم تحديدها من قبل الجهات الفاعلة المهددة بالنظر إلى معدل دوران المنظمة الضحية. يمكن أن تكون هذه التقييمات منحرفة بشكل كبير. في بعض الأحيان ينظرون إلى قيمة مجموعة قابضة بدلاً من العمل الفعلي الذي تم تشفيره.
"نحتاج إلى استعادة بياناتنا ، ونحن على استعداد للدفع ، ولكن تقييمك خاطئ ونحن ببساطة لا نملك هذه الأموال" ، هي خطوة أولى معقولة في المفاوضات.
الخطوة الثالثة: التفاوض
بالنسبة لعصابة برامج الفدية ، هذه مجرد معاملة تجارية. إنها ليست شخصية. سيتمكن المفاوض الخارجي من البقاء أكثر حيادية من الممثلين الداخليين للمنظمة. الانفعال لن يكون مثمرًا.
كما هو الحال مع جميع المعاملات التجارية عالية المستوى ، من المتوقع التفاوض.بطبيعة الحال ، يريد مجرمو الإنترنت أن يتم تغليف كل شيء بأسرع ما يمكن. تؤدي المفاوضات المطولة إلى زيادة احتمالية اكتشافهم من قبل سلطات إنفاذ القانون. لكن لا يمكنك المماطلة فقط. إذا قرروا أن الاستمرار في ذلك يمثل مخاطرة كبيرة ، فسوف يبتعدون عنك وستترك لديك شبكة مشفرة. ولكن إذا لم تستطع الضحية تلبية مطالب الفدية ، فسيتعين على عصابة برامج الفدية تقليل توقعاتها. بعض الفدية أفضل من عدم الفدية بعد كل شيء
تأكد من أن تطلب وتحصل على إثبات أن فك التشفير يعمل بشكل صحيح. يجب أن ترى أنه يقوم بنجاح بفك تشفير مجموعة مختارة من الملفات من أنواع مختلفة من خوادم وشبكات فرعية مختلفة. هذا ليس غير معقول ، ويجب أن يكون مجرمو الإنترنت قادرين على القيام بذلك بسهولة شديدة.
من العدل أن يكون لديك دليل على أنك ستحصل على ما تدفع مقابله. إنه يعادل طلب دليل على أن الرهائن البشر لا يزالون على قيد الحياة قبل دفع الفدية.
الخطوة الرابعة: الدفع
عند الاتفاق على تسوية يتم دفع الفدية. سيكون هذا بعملة مشفرة. تعتبر Bitcoin هي العملة المفضلة لأنه من السهل على مستخدم العملة المشفرة لأول مرة الحصول عليها. اعلم أن هذه الخطوة قد تستغرق أيامًا. قد يكون من الحكمة الحصول على كمية صغيرة من البيتكوين كإجراء احترازي ضد طلبها في المستقبل. سيستغرق الأمر الوقت المطلوب للحصول على محفظة رقمية وإنشاء بيانات اعتمادك كمستخدم Bitcoin بعيدًا عن المسار الحرج لحادث برنامج الفدية.
يتم تصدير نسخة من الاتصالات والمفاوضات والاتفاقية والإقرار بالدفع من البوابة وإتاحتها للمنظمة الضحية. غالبًا ما يكون هذا النص مطلوبًا لشركة التأمين أو لأسباب قانونية أو تعاقدية أخرى.
إذا تم استخراج البيانات قبل تشفير الشبكة ، فلن تحصل على شيء سوى كلمة مجرمي الإنترنت بأنهم سيحذفون البيانات ولن يستخدموها في المستقبل للابتزاز.إنه ليس كثيرًا ، ولكن هناك أمل في أن يفهم مجرمو الإنترنت أنهم إذا تراجعوا عن مثل هذه الصفقات ، فسيكون الضحايا في المستقبل أقل ميلًا لدفع الفدية - أو نفس القدر من الفدية - إذا كان لعصابة برامج الفدية سجل بعدم التمسك بجانبهم من الاتفاق
سيتم احتساب فقدان البيانات بهذه الطريقة على أنه خرق للبيانات ومن المحتمل أن يحتاج إلى إبلاغ سلطة حماية البيانات الخاصة بك. بموجب تشريعات معينة ، مثل اللائحة العامة لحماية البيانات ، يُعتبر هجوم برنامج الفدية نفسه انتهاكًا للبيانات لأنك فقدت السيطرة على البيانات.
الخطوة الخامسة: ما بعد الوفاة
ليس لديك وقت للجلوس ولعق جروحك.
كحد أدنى يجب:
- إجراء اختبار الاختراق واختبار الضعف في أسرع وقت ممكن. تأكد من أنك تعمل على النتائج. استخدم نتائج الاختبار لتوجيه الأنشطة العلاجية الخاصة بك.
- إذا كان لديك تأمين إلكتروني ، فأنت بحاجة إلى التقدم في المشكلة مع شركة التأمين الخاصة بك.
- التعامل مع الاتصالات الرسمية. هل أبلغت كل شخص تحتاج إليه ، بما في ذلك سلطات إنفاذ القانون وسلطات حماية البيانات؟ تحتاج إلى إرسال بيان رسمي إلى شركائك التجاريين والعملاء وموضوعات البيانات المتأثرة. تلخيص أحداث الهجوم وكيف تم الانتهاء منه. تأكد من تضمين قسم يصف ما قمت به لمنع التكرار.
الآن خطط في المرة القادمة
ما الذي منعك من التبديل إلى نظام التعافي من الكوارث ، أو تطهير النسخ الاحتياطية واستعادتها حتى لا تضطر إلى دفع الفدية؟
تحقق من هذه الخيارات وغيرها من خيارات استمرارية العمل. ستجد على الأرجح أنها أرخص مما كانت عليه فدية ، وأنها تقلل من قسط التأمين الخاص بك ، وتجعل الامتثال لتشريعات حماية البيانات أسهل.
