Losgeld betalen als gehackt bent?
Drie redenen om cyberafpersers geen losgeld te betalen – en wat u moet doen als u wordt geraakt.
Als ik een artikel lees over wat ik moet doen bij een ransomware-aanval, kom ik soms woorden tegen als: ‘Denk erover na om te betalen’. Dan zucht ik, adem ik uit met opgeblazen wangen … en sluit ik het browsertabblad.
Waarom?
Omdat je afpersers nooit losgeld moet betalen als je gehackt bent! En niet alleen omdat je, als je dat deed, criminele activiteiten zou steunen. Er zijn nog andere redenen. Laat me ze hier bespreken:
Ten eerste sponsort u criminelen.
Cybervillains, kwaadwillende actoren, afpersers, cybercriminele groepen … het zijn allemaal slechteriken, en als je ze losgeld betaalt, geef je ze het inkomen dat ze nodig hebben om te blijven doen wat ze doen: het leven van onschuldige mensen negatief beïnvloeden. Er zou een vicieuze cirkel ontstaan: ze versleutelen jou, jij betaalt ze, ze versleutelen anderen …
In principe zijn er twee manieren om afpersers van hun nare gewoonte af te spenen: ze kunnen worden opgepakt (waar we regelmatig bij helpen), of hun activiteit kan onrendabel worden gemaakt, waardoor ze worden gedwongen een respectabel werk te vinden. Ze lijken niet te beseffen dat programmeurs een behoorlijk fatsoenlijk loon verdienen.
Dus hoe kan hun activiteit on-rendabel worden gemaakt? Als slachtoffers stoppen met betalen, is dat hoe. ‘Dat is allemaal heel goed’, hoor ik je zeggen, ‘ook wij willen wereldvrede en eerlijkheid en gerechtigheid voor iedereen, maar mijn gegevens zijn zojuist gecodeerd en mijn bedrijf zou zonder dat het failliet kunnen gaan. ‘ Toch hoeft u niet te betalen! Heb geduld met mij …
Ten tweede krijgt u uw gegevens mogelijk niet (goed) terug
Overeenkomsten met cybercriminelen zijn nooit in steen gebeiteld – er is geen contract dat wordt ondertekend. Geen garantie. Zelfs als dat zo was, sinds wanneer heb je gehoord dat criminelen ooit de juridische afspraken respecteren? Het feit dat u moet betalen, betekent dus niet noodzakelijk dat uw bestanden ook daadwerkelijk worden gedecodeerd. Of dat er niet gegevens zijn gemodificeerd.
Herinner je je Petya / NotPetya – aangezien een uniek gebruikers-ID volledig willekeurig werd gegenereerd, was het simpelweg onmogelijk om de bestanden die geackt waren te decoderen. Zelfs de aanvallers zelf konden het niet! Dus al het geld in de wereld zou helemaal niet hebben geholpen. En NotPetya is nauwelijks een op zichzelf staand geval. Het is niet ongebruikelijk dat cybercriminelen coderingsfouten maken. En hoewel dergelijke fouten ons soms in staat stellen een decoder te maken, verhinderen ze integendeel zelfs dat de codeerders er zelf een ontwikkelen.
Er was een recent geval waarin een ‘cyberbeveiligingsexpert’ publiekelijk een cybercriminele groep vroeg om een bug in zijn ransomware-trojan te repareren om te voorkomen dat de getroffen bestanden onherroepelijk beschadigd raken. Het is moeilijk om te weten of je moet lachen of huilen! Kortom: als u besluit te betalen, bedenk dan dat er geen garantie is dat u uw bestanden ooit terugkrijgt.
Ten derde kunnen ze méér van je afpersen
Het is eerder gebeurd: Een organisatie die werd gehackt abetaalde maar liefst $ 6,5 miljoen om zijn gegevens terug te krijgen. Twee weken later versleutelden dezelfde hackers dezelfde gegevens opnieuw met dezelfde methoden, en werden ze beloond met nogmaals een flink losgeld!
Het echte probleem in dat voorbeeld was dat twee weken niet lang genoeg waren voor de organisatie om het gat te dichten waar de indringers de eerste keer doorheen waren gekropen. Oplichters die een keer geluk hebben gehad, kunnen het opnieuw proberen, simpelweg omdat ze kunnen: ze hebben waarschijnlijk nog steeds uw gegevens (ze hebben deze misschien verwijderd, maar waarschijnlijk niet).
De enige uitweg is om helemaal niet te betalen – zelfs niet één keer. Als je dat doet, krijg je misschien een tweede, derde en vierde eis, omdat de slechteriken je gaan zien als een gemakkelijke, vaste bron van inkomsten.
Dus wat moet er gebeuren?
Laten we zeggen dat u – correct – heeft besloten om de afpersers niet te betalen. Wat nu? Uw bestanden zijn versleuteld / gestolen en de cybercriminelen dreigen alles te publiceren. Wat een puinhoop. Hier is wat je moet doen:
Blijf kalm en zoek een decryptor. Een daarvan bestaat hier of hier al, of als dat niet het geval is, kan deze later verschijnen.
Praat met de leverancier waar u uw beveiligingssysteem heeft gekocht. Zoek eerst uit hoe het is gebeurd dat u bent gecodeerd. Ten tweede, vraag de verkoper om hulp bij het ontsleutelen: het kan zijn dat de verkoper weet wat hij moet doen en dat hij of zij u waarschijnlijk wil helpen – een gewaardeerde klant. Ze hebben uw veiligheid in de voorste gelederen, en ze hebben ook hun reputatie om over na te denken: redelijk onbetaalbaar voor een beveiligingsbedrijf.
Dat gezegd hebbende, is het natuurlijk altijd beter om uw afweer te versterken om überhaupt infecties te kunnen voorkomen. Maar betaal nooit! Als iedereen stopt met betalen, zullen de cyberextortionisten geleidelijk een einde maken aan hun kabaal en zal de wereld wat gemakkelijker kunnen ademen.
Wat wij doen als we geconfronteerd worden met bedrijven/organisaties die al gehackt zijn? Wij helpen ze niet alleen met adviezen, maar stellen vaak een stappenplan samen over de PR, de communicatie, zoeken naar decryptors, stellen bestaande of oude backups veilig, zoeken naar sporen (logs) van de hack (wanneer zijn ze begonnen).
Als je gehackt wordt gebeurt dat echt niet in 1 dag!
Maar .. we zijn er natuurlijk liever eerder bij, voordat je gehackt word. De meest leerzame exercitie die we organiseren voor klanten ( en ook de meest leerzame): de What-if test.
what if: je Cloud data is gehackt? Stapsgewijs neem je door wie er gebeld moet worden, waar de telefoonnummers zitten, wat je de buitenwereld (krant, leveranciers, etc) verteld en de interne medewerkers.
meer weten over hoe jij beter met cybersecurity vraagstukken om kan gaan met coaching? maak eens een afspraak. Dat vinden we ook leuk.