Η εταιρεία διαχείρισης ταξιδιών CWT πληρώνει 4,5 εκατομμύρια $ για να ξεκλειδωθούν τα αρχεία της
Υπάρχουν αμέτρητες μελέτες που χρησιμοποιούν ένα ευρύ φάσμα διαφορετικών μεθόδων για τον υπολογισμό του κόστους μιας επίθεσης ransomware για το θύμα. Αυτά τα ερευνητικά έγγραφα λαμβάνουν υπόψη πολλούς παράγοντες, αλλά η εικόνα δεν μπορεί ποτέ να είναι τόσο ξεκάθαρη όσο είναι όταν βλέπετε ότι η επίθεση ξετυλίγεται από πρώτο χέρι. Την περασμένη εβδομάδα, το Reuters' Jack Stubbs έχεις τόσο κοντά σε αυτό δυνατό. Πήρε τα χέρια του σε στιγμιότυπα οθόνης που δείχνουν την επικοινωνία μεταξύ χειριστών ransomware και υπαλλήλων μιας εταιρείας διαχείρισης ταξιδιών που ονομάζεται CWT, και τώρα μπορεί να μας πει ότι, σε καθαρά νομισματικούς όρους, τουλάχιστον, αυτή η επίθεση κόστισε 4,5 εκατομμύρια δολάρια.
Table of Contents
Το Ragnar Locker χτυπάει άσχημα το CWT
Παραδόξως ή όχι, η CWT δεν ενδιαφέρεται ιδιαίτερα να μιλήσει για το περιστατικό. Σε δήλωσή του στο Reuters, η εταιρεία είπε ότι όλα ήταν κανονικά μετά από προσωρινό κλείσιμο όλων των συστημάτων της. Η έρευνα ήταν στα αρχικά της στάδια όταν η εταιρεία μίλησε με το Reuters την περασμένη εβδομάδα, αλλά προφανώς, τότε, δεν υπήρχαν αποδεικτικά στοιχεία για την αποκάλυψη πληροφοριών πελατών. Ωστόσο, η έκθεση του Jack Stubbs δείχνει ότι το περιστατικό ήταν πολύ πιο σοβαρό.
Σύμφωνα με αυτό, η εταιρεία διαχείρισης ταξιδιών χτυπήθηκε από το Ragnar Locker ransomware. Όπως πάντα, μετά την κρυπτογράφηση τόνων πολύτιμων πληροφοριών, το ransomware άφησε ένα σημείωμα, το οποίο περιελάμβανε έναν τρόπο επικοινωνίας με τους κυβερνοεγκληματίες που είναι υπεύθυνοι για την επίθεση. Η επικοινωνία έγινε μέσω μιας πλατφόρμας ανταλλαγής άμεσων μηνυμάτων και τα στιγμιότυπα οθόνης δείχνουν ότι στην αρχή, οι εκπρόσωποι της CWT δεν ήταν απολύτως σίγουροι τι είχε συμβεί. Οι απατεώνες τους είπαν ότι είχαν κρυπτογραφήσει τα αρχεία σε περισσότερες από 30 χιλιάδες συσκευές συνδεδεμένες στο δίκτυο CWT και είχαν επίσης κλέψει αντίγραφα οικονομικών καταστάσεων, προσωπικά δεδομένα υπαλλήλων και άλλα ευαίσθητα έγγραφα.
Με άλλα λόγια, το CWT όχι μόνο χρειάστηκε να ξεκλειδώσει τα αρχεία του για να συνεχίσει την κανονική λειτουργία του, αλλά έπρεπε επίσης να ανησυχεί για τη διαρροή πολλών ευαίσθητων δεδομένων από τους χειριστές του ransomware.
Οι απατεώνες δείχνουν κάποια κατανόηση
Για να ανακτήσει τα δεδομένα της και να αποτρέψει μια διαρροή, η CWT έπρεπε να πληρώσει 10 εκατομμύρια δολάρια σε bitcoin. Οι απατεώνες επεσήμαναν σωστά ότι παρόλο που ζητούν σοβαρό χρηματικό ποσό, τα λύτρα πιθανότατα θα είναι πολύ μικρότερα από το κόστος που σχετίζεται με τη φήμη της φήμης και τις αγωγές που θα μπορούσαν να ακολουθήσουν την έκθεση πληροφοριών.
Η CWT δεν έχει ανακοινώσει επίσημα εάν διατηρεί αντίγραφα ασφαλείας των δεδομένων της, αλλά τα στιγμιότυπα οθόνης που δημοσίευσε το Reuters δείχνουν ότι η εταιρεία ήταν πρόθυμη να συνεργαστεί σχεδόν από την αρχή. Ο εκπρόσωπος της CWT επεσήμανε, ωστόσο, ότι 10 εκατομμύρια δολάρια είναι μια μεγάλη ερώτηση, ειδικά εν μέσω μιας πανδημίας που προκαλεί άνευ προηγουμένου ζημία στον ταξιδιωτικό κλάδο.
Είναι αξιοσημείωτο ότι οι χειριστές ransomware έδειξαν κάποια κατανόηση και συμφώνησαν να διαπραγματευτούν μια πιο αποδεκτή τιμή. Τελικά, έφτασαν τα 4,5 εκατομμύρια δολάρια.
Οι συνέπειες της επιχειρηματικής δραστηριότητας με τους απατεώνες
Η CWT δεν έχει ακόμη δημοσιεύσει επίσημη δήλωση σχετικά με την επίθεση, αλλά η έκθεση του Reuters δείχνει ότι η πληρωμή έχει υποβληθεί σε επεξεργασία και η εταιρεία έλαβε το κλειδί αποκρυπτογράφησης. Είναι προφανές ότι η διαπραγμάτευση με εγκληματίες και η πληρωμή των λύτρων θα πρέπει πάντα να είναι η έσχατη λύση και είμαστε πολύ σίγουροι ότι η CWT είχε εξαντλήσει όλες τις άλλες επιλογές πριν συμφωνήσει να μεταφέρει τα bitcoin. Ακόμα κι έτσι, το γεγονός ότι η εταιρεία χτύπησε αυτό δείχνει άσχημα ότι δεν ήταν πολύ καλά προετοιμασμένη για μια επίθεση ransomware, και αυτό θα επηρεάσει τη φήμη της. Υπάρχει επίσης ένα άλλο πιθανό πρόβλημα.
Κατά τη διάρκεια των διαπραγματεύσεων, οι απατεώνες υποσχέθηκαν ότι μόλις λάβουν τα λύτρα, θα στείλουν ένα εργαλείο αποκρυπτογράφησης και θα διαγράψουν επίσης τις πληροφορίες που έχουν κλέψει από το CWT. Δυστυχώς, μια ανώνυμη συνομιλία συνομιλίας δεν είναι ένα νομικά δεσμευτικό έγγραφο, ειδικά όταν το άτομο στο άλλο άκρο του πληκτρολογίου ασχολείται με εγκληματικές δραστηριότητες στον κυβερνοχώρο. Οι απατεώνες έστειλαν το εργαλείο αποκρυπτογράφησης, αλλά κανείς δεν μπορεί να πει με βεβαιότητα εάν τηρούσαν την υπόσχεσή τους και διέγραψαν τις κλεμμένες πληροφορίες. Το CWT δεν έχει άλλη επιλογή από το να πάρει το λόγο του για αυτό, το οποίο, θα μπορούσατε να υποστηρίξετε, δεν είναι πάντα η καλύτερη στρατηγική.
