Ist Verhandeln Ihre beste Strategie, wenn es um Ransomware geht?

Von Dan Raywood • 8 August 2024

Anstatt einfach eine Gebühr zu bezahlen, um aus einer Ransomware-Situation herauszukommen, könnten Sie sich mit den richtigen Schritten und Fähigkeiten einen Weg aus der Sache verhandeln? Dan Raywood sieht sich die Geschichten und Optionen an.

Im vergangenen Jahr wurde heftig darüber diskutiert, ob man einem Angreifer Lösegeld zahlen sollte oder nicht. Anfang des Jahres sagte der ehemalige Leiter des britischen National Cyber Security Centre, Ciaran Martin sagte in einem Leitartikel dass Lösegeldzahlungen illegal gemacht werden sollten. Dann Cybersecurity und Infrastructure Security Agency Direktor Jen Easterly sagte, sie habe nicht Es könnte zu einem generellen Verbot der Zahlung von Lösegeld kommen.

Ob mit oder ohne Verbot der Lösegeldzahlung, hier gibt es eine große Herausforderung: Bei einer Infektion mit Ransomware wird dem Opfer normalerweise ein Bildschirm mit einer Zahlungsaufforderung, dem für den Entschlüsselungsschlüssel erforderlichen Betrag und der Adresse angezeigt, an die die Zahlung gesendet werden soll. Wenn sie Pech haben, gibt es manchmal einen Timer für den Fälligkeitszeitpunkt der Zahlung, und dies könnte zur Löschung oder sogar Weitergabe der beschlagnahmten Daten führen.

Ransomware-Zahlungen sind ein ziemlich unbekannter Faktor. Es gibt einige, von denen wir wissen: CNA Financial zahlte 40 Millionen Dollar im Jahr 2021, während der Casinobetreiber Caesars zahlte 15 Millionen Dollar letztes Jahr. In Großbritannien wird die Royal Mail Angriff forderten die Angreifer eine Zahlung von 80 Millionen Dollar, die Sie entschieden 0.5 % der Einnahmen der Royal Mail betragen.

Royal Mail wies den Betrag als „absurd“ zurück und sagte, dass 80 Millionen Dollar „ein Betrag sind, den unser Vorstand niemals ernst nehmen könnte.“ Dies gibt Anlass zu Überlegungen darüber, wie viele Opfer ein Lösegeld zahlen – wenn es sich nicht um einen absurden Betrag handelt –, um die Malware zu entfernen.

Eines der Probleme besteht darin, dass es keine konkreten Zahlen darüber gibt, wer was zahlt. Aus diesem Grund kann auch keine Skala für die Höhe der Zahlungen als Lösung dienen.

Keine andere Wahl, als zu zahlen?

Wenn Sie keine andere Wahl haben, als zu zahlen, stehen Ihnen Verhandlungen bevor. In diesem Fall arbeiten Sie mit Kriminellen zusammen: Sie haben keine Ahnung, wer sie sind, woher sie kommen oder wie gut sie organisiert sind.

Der Leitfaden existiert, und die meisten darin raten dazu, im Gespräch mit den Angreifern vorsichtig zu sein, einzuschätzen, was sie haben, und keine weiteren Informationen preiszugeben.

Alex Papadopoulos, Direktor für Vorfallreaktion und -bereitschaft bei Secureworks, sagt, dass es im Verhandlungsprozess nicht nur um den Preis geht, sondern auch darum, Zeit zu gewinnen. Es lohnt sich zu verhandeln, um die Position des Angreifers besser zu verstehen.

„Aus den Berichten anderer Leute erfahren wir, dass sie normalerweise verhandlungsbereit sind, weil sie wissen, dass es nicht gut fürs Geschäft ist, wenn sie eine zu harte Linie fahren. Dann gelten sie als völlig unvernünftig“, sagt er.

Außerdem können Angreifer und Opfer durch den Verhandlungsprozess mehr über einander erfahren. Papadopoulos sagt, dass die meisten Ransomware-Angriffe opportunistisch sind und die Angreifer erst verstehen, wer das Opfer ist, wenn sie mit ihm sprechen.

„Sie haben weder Zeit noch Mühe investiert, um diese Recherche durchzuführen“, sagt er. „Im Verhandlungsprozess möchten sie also mehr über Sie erfahren und somit auch, was Sie zahlen können.“

Dies führt zu Preisverhandlungen: Wie wir in den zuvor erwähnten Fällen gesehen haben, wird das Opfer niemals zahlen, wenn die Angreifer zu viel verlangen. In anderen Fällen verlangen Angreifer zu wenig. Papadopoulos erzählt eine Geschichte von einem Ransomware-Angreifer, der 8 Millionen Euro verlangte und das Opfer zahlte sofort, da dem Angreifer der Wert seiner Beute und die Höhe seiner möglichen Forderungen nicht bewusst waren.

Versicherungsanforderungen

Tatsächlich ist Verhandlung bei Versicherungsansprüchen zu einer Voraussetzung geworden. Während Unternehmen früher nur Verhandlungs- und Zahlungsaustauschdienste anboten, sagt Papadopoulos, „ist Verhandlung für viele Versicherungsunternehmen zu einer Voraussetzung geworden.“

Er erläutert, dass „viele Anbieter von digitaler Forensik und Incident Response (DFIR) praktisch gezwungen waren, sich auf diese etwas zwielichtige, leicht graue Zone“ der Verhandlungen mit Cyberkriminellen einzulassen, und sagt, dass Unternehmen über Mitarbeiter verfügen müssen, die für diese Aufgabe bereit sind.

Daraus ergibt sich die Notwendigkeit eines effektiven und robusten Geschäftskontinuitätsplans. Wenn Sie die Einhaltung von ISO 22301 in Betracht ziehen, sollten Sie sicherstellen, dass Sie einen Ransomware-Angriff überstehen und dabei auf der rechten Seite der Legalität bleiben.

Ein Loch stopfen

Nach der Verhandlung sind Sie in der Hand des Angreifers und müssen sich den Entschlüsselungsschlüssel besorgen, das System wiederherstellen und die Sicherheitslücken schließen, durch die der Angreifer eingedrungen ist.

Daraus ergeben sich Best-Practice-Optionen, um Angreifern in Zukunft den Zugriff zu verwehren. Und die Gewährleistung der Einhaltung eines anerkannten Rahmens ist ein Schritt hin zu einer besseren Gesamtsicherheit.

Manoj Bahtt, Mitglied des Beirats des Club CISO, sagt, dass es bestimmte Kontrollen gibt, deren Implementierung Unternehmen in Betracht ziehen sollten, um sicherzustellen, dass sie vor Ransomware geschützt sind. In ISO 27001:2022 sind dies:

Sicherheitsbewusstseinstraining
Administratorzugriff auf Desktops
Antiviren-/Eindringschutzsystem
Schwachstellen-/Konfigurationsmanagement
Datensicherungen

Darüber hinaus gibt es im NIST CSF 2.0 Kontrollen in allen sechs Kategorien, die sich auf den Schutz von Organisationen vor Ransomware konzentrieren, und CIS Version 8.0 – Kontrolle 8: Malware-Abwehr schlägt die folgenden Maßnahmen vor, die zum Schutz von Unternehmen vor Ransomware beitragen können:

8.2 Stellen Sie sicher, dass Anti-Malware-Software und Signaturen aktualisiert sind
8.4 Konfigurieren des Anti-Malware-Scans von Wechseldatenträgern
8.5 Geräte so konfigurieren, dass Inhalte nicht automatisch ausgeführt werden

Bhatt sagte, dass es zwar keine spezifischen Kontrollen in Frameworks zum Schutz vor Ransomware als Angriffsvektor gebe, es aber Anleitungen gebe, die dabei helfen, von vornherein die richtigen Schutzmaßnahmen zu implementieren und die Wahrscheinlichkeit eines Aufpralls zu verringern.

Letztlich bleibt Ransomware ein erhebliches Problem für alle Unternehmen, aber es könnte sich lohnen, darüber nachzudenken, ob dies ein Weg ist, sich davon zu befreien. Es besteht jedoch das Problem der Zusammenarbeit mit Kriminellen, und es wird ein neuer Sektor gegründet, der Praktikern speziell bei der Bewältigung dieser Situation hilft.

Wenn Sie über die richtigen Schutzmaßnahmen verfügen, Ihr Sicherheitsniveau von einem Prüfer bestätigen lassen und die Empfehlungen eines Frameworks zu Best Practices befolgen, können Sie wesentlich dazu beitragen, dass Sie diese zwielichtige Arbeit nicht selbst erledigen müssen.

Dan Raywood

Dan Raywood schreibt seit 2008 über IT-Sicherheit und ist ehemaliger Analyst in der Informationssicherheitspraxis bei 451 Research. Er hat auf Messen wie 44CON, SecuriTay, SteelCon, Irisscon und Infosecurity Europe Vorträge gehalten, außerdem für eine Reihe von Anbieter-Blogs geschrieben und in Webcasts präsentiert.

Lesen Sie mehr von Dan Raywood

Internet-Sicherheit 30 September 2025

Wird der Grok-Verstoß zu echten Sicherheitsbedenken führen? Banner

Wird der Grok-Datenleck Sicherheitsbedenken bei GenAI hervorrufen?

Ein kürzlicher Vorfall hat Bedenken hinsichtlich des Umgangs von GenAI-Tools mit Daten geweckt. Ist es an der Zeit, sicherzustellen, dass Ihre Daten nicht in deren L... landen?

Dan Raywood

Internet-Sicherheit 29. Mai 2025

io Cybersicherheit und Datenschutz NIST-Framework erhält Facelift-Banner

Cybersicherheit und Datenschutz: Das NIST-Framework erhält ein neues Gesicht

NIST hat kürzlich Pläne angekündigt, sein Datenschutz-Framework zu aktualisieren und es organischer und weniger statisch zu gestalten. Ist dies für die Praxis von Vorteil?

Dan Raywood

Internet-Sicherheit 21 Januar 2025

Zero-Day-Schwachstellen Wie können Sie sich auf das unerwartete Banner vorbereiten?

Zero-Day-Schwachstellen: Wie können Sie sich auf das Unerwartete vorbereiten?

Warnungen globaler Cybersicherheitsbehörden zeigten, dass Schwachstellen häufig als Zero-Day-Angriffe ausgenutzt werden. Angesichts einer solch unvorhersehbaren Situation...

Dan Raywood