Uno studio rivela che la maggior parte delle soluzioni ransomware pagano solo in Cripto

Uno studio di ProPublica ha scoperto che la maggior parte dei fornitori di soluzioni anti-ransomware ha ONE strano trucco per sbarazzarsi degli hacker: pagarli.

L'attività ransomware cresce settimanalmente secondo gli espertiCoperturaIl risultato? Aziende che vogliono solo pagare il riscatto e andare avanti.

Secondo Coveware, gli attacchi ransomware sono aumentati nel primo trimestre del 2019:

Nel primo trimestre del 2019, il riscatto medio è aumentato dell'89% a $ 12.762, rispetto ai $ 6.733 del quarto trimestre del 2018. L'aumento del riscatto riflette l'aumento delle infezioni di tipi di ransomware più costosi come Ryuk, Bitpaymer e Iencrypt. Questi tipi di ransomware sono utilizzati prevalentemente in attacchi mirati su misura su obiettivi aziendali più grandi.

Tuttavia, una volta che gli hacker hanno criptato un computer infetto, la vera domanda è come sbloccare i tuoi dati. ProPublica ha scoperto che molte aziende di recupero dati pagano semplicemente il riscatto e poi fanno pagare un premio per il disturbo.

Proven Data ha promesso di aiutare le vittime del ransomware sbloccando i loro dati con la " Tecnologie più recente", secondo le e-mail aziendali e gli ex clienti. Invece, ha ottenuto strumenti di decrittazione dai cyberattaccanti pagando riscatti, secondo Storfer e una dichiarazione giurata dell'FBI ottenuta da ProPublica.





Un'altra azienda statunitense, MonsterCloud con sede in Florida, dichiara di utilizzare i propri metodi di recupero dati, ma invece paga riscatti, a volte senza informare le vittime, come le forze dell'ordine locali, ha scoperto ProPublica. Le aziende sono simili per altri aspetti. Entrambe addebitano alle vittime commissioni sostanziali oltre agli importi del riscatto. Offrono anche altri servizi, come la sigillatura delle violazioni per proteggersi da futuri attacchi. Entrambe le aziende hanno utilizzato alias per i propri dipendenti, anziché nomi reali, nelle comunicazioni con le vittime.

Salendo

Il ransomware sta peggiorando.

Dopo che il procuratore generale degli Stati Uniti ha rintracciato eincriminatodue hacker iraniani per aver rilasciato un ransomware chiamato SamSam, le autorità speravano che la prevalenza degli attacchi sarebbe diminuita. Invece, è aumentata, superando notevolmente i livelli del 2018.

Il motivo, secondo molti, è che il ransomware è molto redditizio. Gli hacker possono lanciare un attacco e poi, quando le vittime scoprono l'hack, negoziano brevemente con aziende come MonsterCloud e altre per sbloccare i computer. Tuttavia, molte di queste aziende offrono metodi di recupero e molti ricercatori di sicurezza lavorano su metodi gratuiti, ONE per il popolare WannaCryvirus.

Purtroppo gli attacchi informatici stanno peggiorando e il software necessario sta diventando più complesso.

Coveware ammette

per negoziare effettivamente con i truffatori. Hanno scoperto che è ONE dei metodi più semplici per recuperare i dati. La preoccupazione, tuttavia, è che questi sforzi stiano inavvertitamente finanziando il terrorismo. Inoltre, scrivono, ci sta mettendo più tempo a decifrare i computer hackerati, grazie alle nuove versioni del ransomware. Nel primo trimestre del 2019, ha scritto Coveware, il "tempo di inattività medio è aumentato a 7,3 giorni, dai 6,2 giorni del quarto trimestre del 2018".

Riconoscimento di modelli

Il CEO di Coveware Bill Siegel ha scoperto che il recupero medio da ransomware T è in realtà una negoziazione con i "terroristi" come credono i funzionari del governo degli Stati Uniti. Hanno negoziato "poche centinaia" di casi di ransomware quest'anno e hanno scoperto che ogni hacker è diverso e spesso solo frustrato.

"La nostra sensazione basata sul nostro studio del settore e sulla nostra esperienza è che la stragrande maggioranza sia composta da persone relativamente normali che T hanno prospettive economiche legali che corrispondano alle loro capacità tecniche", ha detto Siegel. "Vivono anche in parti del mondo che sono al di fuori della giurisdizione delle forze dell'ordine occidentali e sono ambivalenti riguardo al furto all'Occidente".

Anche il loro metodo per comunicare con gli hacker è piuttosto preciso.

"Studiamo i loro modelli di comunicazione in modo da poter creare un database di esperienze. C'è un gruppo sorprendentemente piccolo di attori delle minacce che sono attivi in ​​qualsiasi momento, quindi identificarli è relativamente semplice. Da lì, abbiamo script e tattiche che abbiamo perfezionato sulla nostra esperienza. Ci basiamo su quelli per sviluppare una strategia di negoziazione per conto del nostro cliente. Conosciamo gli hacker in base al profilo e ai modelli che esauriscono. T comunichiamo con loro al di fuori della rappresentanza dei nostri clienti in una negoziazione. Tutti i dati esausti che creiamo dai nostri casi vengono forniti alle forze dell'ordine su base trimestrale."

Zohar Pinhasi di MonsterCloud ha affermato che la sua azienda ha lavorato duramente per utilizzare entrambi i metodi: recupero e riscatto.

Il processo di recupero varia da caso a caso a seconda dell'ambito e della natura dell'attacco informatico. I nostri metodi per ottenere il recupero e la protezione dei dati sono il prodotto di anni di esperienza tecnica e competenza e non divulghiamo il processo al pubblico o ai nostri clienti. Ciò viene comunicato chiaramente in anticipo. Tuttavia, ciò che posso dirti è che siamo un'azienda di sicurezza informatica, non un'azienda di recupero dati. Abbiamo una vasta conoscenza ed esperienza nel trattare con questi criminali e trascorriamo innumerevoli ore a rimanere al passo con i loro metodi in evoluzione per fornire ai nostri clienti protezioni contro tutti i futuri aggressori, non solo ONE si infiltra nei loro dati nel momento in cui si rivolgono a noi. Offriamo una garanzia di rimborso a qualsiasi cliente se non siamo in grado di recuperare i suoi dati e, fino ad oggi, non abbiamo avuto un singolo cliente che segnalasse un attacco successivo da parte degli stessi criminali o di qualsiasi altro aggressore.

Sebbene inviare qualche migliaio BTC a un indirizzo strano potrebbe non piacere a molte vittime, LOOKS comunque il modo migliore per ridurre i tempi di inattività. Dopotutto, è colpa dell'organizzazione che ha scoperto il bug del ransomware in primo luogo. Prevenire, come si dice, è spesso meglio che curare.

Immagine tramite l'archivio CoinDesk .