Zgłaszanie ransomware do władz
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Spis treści
- Czy należy zgłaszać incydenty związane z ransomware?
- Więcej powodów.
- Jak zgłosić incydent związany z ransomware?
- Jeśli jesteś ofiarą ransomware, zgłoś ten incydent lokalnym władzom.
Stanie się ofiarą cyberataku, nie mówiąc już o ataku ransomware, wymaga podjęcia kilku trudnych decyzji. Z niedawnego raportu Europolu jasno wynika, że zgłoszenie incydentu władzom jest jedną z tych trudnych decyzji. W raporcie podkreślono, że incydenty ransomware są zbyt rzadko zgłaszane i często władze dowiadują się o nich wyłącznie za pośrednictwem mediów, a nie od samych ofiar.
Łatwo jest oczekiwać, aby ofiary przestępstw je zgłaszały z wielu powodów prawnych i etycznych, nie mówiąc już o pomocy władzom w złapaniu sprawców przestępstw. W rzeczywistości stanie się ofiarą przestępstwa wiąże się z pewnym piętnem. Przyznanie się, że zostałeś oszukany może być krępujące. W przypadku organizacji, które padły ofiarą ataków ransomware, to piętno wydaje się być jednym z głównych powodów, dla których konkretne przestępstwo nie jest zgłaszane.
Obecny krajobraz zagrożeń ransomware ewoluował i obejmuje kilka gangów ransomware, a nawet gagów, które utworzyły “kartele” skierowane specjalnie do dużych organizacji, czy to prywatnych firm bądź agencji rządowych. Ta zmiana, która nastąpiła na dobre na początku 2019 roku, spowodowała, że do stale rosnących list ofiar zostały dodane ogromne organizacje i niektóre firmy z listy Fortune 500. Garmin, Canon i Konica Minolta to tylko niektóre z głośnych ofiar, na które ogromny wpływ miał gang ransomware.
Piętno stania się ofiarą ransomware nabiera nowego znaczenia, ponieważ firmy obawiają się, że taki atak będzie miał wpływ na ich relacje z klientami i interesariuszami. Może to być jeden z powodów niedostatecznego zgłaszania przestępstw. Każdy incydent cybernetyczny wpływa nie tylko na wynik finansowy, a odzyskanie danych może być kosztowną perspektywą. Dodatkowo, można się spodziewać uszczerbku na reputacji. Eksperci uważają, że zachowanie przejrzystości w odniesieniu do incydentu związanego z ransomware może pomóc w naprawieniu szkód w reputacji skuteczniej niż w przypadku prób zamiatania sprawy pod dywan. Reszta tego artykułu jest poświęcona temu, dlaczego incydenty ransomware powinny być zgłaszane władzom i, co ważne, jak to zrobić.
Czy należy zgłaszać incydenty związane z ransomware?
Krótka odpowiedź brzmi: tak, ale krótkie odpowiedzi w niewielkim stopniu przekazują znaczenie pytania. Najłatwiejszą odpowiedzią jest to, że w przypadku wielu organizacji, które są zobowiązane do przestrzegania pewnych przepisów dotyczących zgodności lub zestawu norm, należy zgłaszać naruszenia danych. Rok temu można by argumentować, że incydent związany z ransomware nie był równoznaczny z naruszeniem danych. Inaczej mówiąc, że nie był to incydent cybernetyczny, w którym ujawniono poufne informacje należące do klientów lub zarejestrowanych użytkowników usługi. Początek 2020 roku przerwał akademicką debatę dotyczącą tego, czy atak ransomware był naruszeniem danych, czy nie.
W styczniu 2020 roku, zaczęły się pojawiać doniesienia, że gang ransomware Maze groził ujawnieniem danych skradzionych ofiarom, zanim ransomware zostanie uruchomione, a dane zaszyfrowane.
Wkrótce zagrożenia stały się rzeczywistością, gdy Maze zaczął publikować dane, które zostały ukradzione za pośrednictwem czegoś, co można by nazwać „witryną wycieku", zwykle hostowaną w jednym z rogów ciemnej sieci. To umieściło konkretne incydenty ransomware w kategorii naruszenia danych i musiały być one tak traktowane. W przypadku wielu aktów prawnych i norm zgodności istnieje wymóg zgłaszania incydentów odpowiednim władzom określonym w przepisach.
Należy zauważyć, że pomimo ewolucji ataków ransomware, które obecnie obejmują eksfiltrację danych, czasami określaną jako “podwójne wyłudzenie”,nie wszystkie ataki ransomware są również naruszeniami danych. Decydującym czynnikiem będzie to, czy dane zostały wyprowadzone, czy też nie. Najnowszą ewolucją taktyki są gangi ransomware, które wykorzystują centra telefoniczne do dalszego grożenia ofiarom. W wielu krajach ten podwyższony poziom nadużyć może być uznany za przestępstwo, a zatem powinien również zostać zgłoszony organom ścigania.
Więcej powodów
Jeśli ofiara jest zobowiązana do zgłoszenia ransomware z powodów prawnych, stanowi to mocny argument do zgłoszenia incydentu. Istnieje kilka innych powodów, dla których należy zgłaszać incydenty związane z ransomware, niezależnie od przepisów, które tego wymagają. Po pierwsze, informacje, które funkcjonariusze organów ścigania uzyskują od zgłoszenia incydentu do faktów podanych przez specjalistów ds. cyberbezpieczeństwa sądowego, w dużym stopniu pomagają złapać osoby odpowiedzialne za nie.
Ze względu na wysoki poziom anonimowości zapewniany cyberprzestępcom dzięki wykorzystaniu technologii takich jak Dark Web i innym usługom, anonimowe złapanie przestępców może być trudnym zadaniem. Takim, które na początku może być prawie niemożliwe. Jednak z biegiem czasu badacze mogą dowiedzieć się, kto stoi za atakiem lub w wielu przypadkach za serią ataków. Zgłoszenie incydentu umożliwia śledczym dostęp do ważnych informacji potrzebnych właśnie do tego.
Po drugie, im więcej zebranych danych, tym lepsza świadomość i edukacja. Dzieje się tak w przypadku organów ścigania i innych organów, których zadaniem jest ochrona przed cyberprzestępczością, i które mogą wydawać powiadomienia o problemach. Zazwyczaj te ostrzeżenia zawierają informacje dotyczące taktyk stosowanych przez określone gangi, preferowanych wektorów naruszeń oraz środków, które mogą być podjęte przez inne organizacje, aby zapobiec padnięciu ofiarą określonego szczepu ransomware objętego ostrzeżeniem. Aby te alerty były skuteczne w zwalczaniu gangów ransomware, informacje muszą być najwyższej jakości, a ofiary zgłaszające incydenty pomagają w rozpowszechnianiu prawidłowych informacji.
Na koniec należy omówić międzynarodowy charakter cyberprzestępczości. Organizacje cyberprzestępcze, takie jak gangi ransomware, będą atakować organizacje spoza ich kraju pochodzenia z kilku powodów. W Rosji, jak zostało to dobrze udokumentowane, rząd przymyka oko na cyberprzestępców atakujących organizacje zagraniczne, ponieważ takie ataki nie szkodzą polityce stosunków zagranicznych rządu, a nawet mogą sprzyjać określonym celom.
Takie wpływy geopolityczne mogą utrudniać organom ścigania postawienie ich przed wymiarem sprawiedliwości, ale nie jest to niemożliwe. W walce z cyberprzestępczością współpracuje wiele organów ścigania, w tym organizacje międzynarodowe, takie jak Interpol i Europol. Zgłoszone incydenty pomagają zamknąć pierścień cyberprzestępców, prowadząc do zajęcia serwerów i aresztowań, jeśli agenci organizacji podróżują za granicę. Rządy mogą również nakładać sankcje na państwa, które uważa się za schronienie dla cyberprzestępców.
Z powyższych powodów z pewnością wynika, że zgłaszanie incydentów ransomware jest korzystne dla organów ścigania, ale co z organizacją, której to dotyczy? Gdy zgłaszane są incydenty, organy ścigania są w stanie udzielić cennych porad zaradczych, które z łatwością mogą okazać się korzystne dla szybkiego przywrócenia stanu organizacji. Ponadto kilka organów ścigania nawiązało współpracę z prywatnymi firmami bezpieczeństwa, aby udostępnić osobom, których to dotyczy, bezpłatne narzędzia odszyfrowujące. Zgłoszenie incydentu może pomóc liderom biznesu uzyskać narzędzie odszyfrowujące, którego potrzebują do powrotu do normalności po ataku. Partnerstwa takie jak No More Ransom chcą stworzyć bazę danych zawierającą informacje o ransomware wraz z programami odszyfrowującymi, aby pomóc wszystkim zainteresowanym.
Jak zgłosić incydent związany z ransomware?
Aby zgłosić incydent, należy skontaktować się z odpowiednimi władzami lokalnymi. Wcześniej może się to zdarzyć, ponieważ trzeba zebrać wiele danych kryminalistycznych dotyczących incydentu. Może to zrobić wykwalifikowany personel IT. Pamiętaj, że informacje potrzebne do zgłoszenia ataku ransomware będą się różnić w zależności od tego, czy zgłaszasz atak na swoją firmę, czy po prostu jako użytkownik komputera osobistego. Ogólnie rzecz biorąc, podczas zgłaszania incydentu organizacje mogą zostać poproszone o podanie następujących informacji:
- Informacji o twojej organizacji (branży, rodzaju działalności, wielkości) i kto jest najlepiej przygotowany do komunikowania się z władzami.
- Przybliżonej daty i godziny ataku ransomware.
- Jak doszło do ataku (poprzez link e-mail lub załącznik, wykorzystaną lukę w zabezpieczeniach, źle skonfigurowany port RDP itp.)
- Kopii lub zdjęcia notatki z żądaniem okupu lub ekranu blokady.
- Nazwy wariantu ransomware (zwykle zawartej w żądaniu okupu lub zaszyfrowanym rozszerzeniu pliku dodanym po zaszyfrowaniu).
- Wszelkich istotnych adresów IP podłączonych do twojej sieci, których nie rozpoznajesz.
- Rozszerzenia zaszyfrowanych plików.
- Adresu e-mail, adresu URL lub jakiejkolwiek innej metody komunikacji udostępnionej przez podmiot stwarzający zagrożenie.
- Elektronicznych kopii wszelkiej korespondencji, jaką miałeś z aktorem zagrożenia.
- Adresu portfela Bitcoin aktora zagrożenia, który często jest podawany w żądaniu okupu lub w późniejszej komunikacji z napastnikiem.
- Kwoty żądanego okupu i kwoty zapłaconego okupu.
- Ogólnych strat związanych z atakiem ransomware, w tym kwoty okupu.
Jeśli jesteś ofiarą ransomware, zgłoś ten incydent lokalnym władzom:
Australia ACSC |
Austria Polizei |
Belgia Police |
Brazylia Polícia Federal |
Bułgaria CyberCrime |
Kanada Centre for Cyber Security |
Chorwacja Ministry of the Interior |
Cypr Cyber Crime Police |
Republika Czeska Policie |
Dania Politi |
Anglia Action Fraud |
Estonia Politsei |
Finlandia Poliisi |
Francja Ministère de l'Intérieur |
Niemcy Polizei |
Grecja Hellenic Police |
Hong Kong Hong Kong Police |
Węgry Rendőrség |
Indie Cyber Crime Cell |
Iran Cyber Police |
Irlandia Garda Síochána |
Izrael Nomoreransom project |
Włochy Polizia di Stato |
Japonia Cybercrime Project |
Łotwa Policija |
Litwa ePolicija |
Luksemburg Police |
Malta Pulizija |
Holandia Politie |
Nowa Zelandia Police |
Rosja Ministry of Internal Affairs |
Szkocja Police Scotland |
Singapur Singapore Police Force |
Słowacja Ministerstvo Vnútra |
Słowenia Policija |
Korea Południowa National Police Agency |
Hiszpania Policía Nacional |
Szwecja Polisen |
Ukraina Cyber Police |
Stany Zjednoczone IC3 |