Firma Travel Management CWT płaci 4,5 miliona dolarów za odblokowanie swoich plików
Istnieje niezliczona liczba badań, które wykorzystują szerokie spektrum różnych metod obliczania kosztów ataku ransomware dla ofiary. Te prace badawcze uwzględniają wiele czynników, ale obraz nigdy nie może być tak jasny, jak to jest, gdy widzisz, że atak rozwija się z pierwszej ręki. W ubiegłym tygodniu, Reuters' Jack Stubbs dostał jako zbliżone do tego, jak to możliwe. Dostał w swoje ręce zrzuty ekranu, które pokazują komunikację między operatorami ransomware a pracownikami firmy CWT zajmującej się zarządzaniem podróżami, i teraz może nam powiedzieć, że przynajmniej w kategoriach czysto pieniężnych ten atak kosztował 4,5 miliona dolarów.
Table of Contents
Ragnar Locker źle uderza w CWT
Zaskakujące lub nie, ale CWT nie jest szczególnie chętne do rozmowy o tym incydencie. W oświadczeniu dla Reutersa firma stwierdziła, że po tymczasowym wyłączeniu wszystkich swoich systemów wszystko wróciło do normy. Dochodzenie było na wczesnym etapie, kiedy firma rozmawiała z Reuterem w zeszłym tygodniu, ale najwyraźniej wtedy nie było dowodów na ujawnienie jakichkolwiek informacji o klientach. Raport Jacka Stubbsa sugeruje jednak, że incydent był znacznie poważniejszy.
Według niego firma zarządzająca podróżami została zaatakowana przez oprogramowanie ransomware Ragnar Locker. Jak zawsze, po zaszyfrowaniu wielu cennych informacji ransomware zostawił notatkę, która zawierała sposób skontaktowania się z cyberprzestępcami odpowiedzialnymi za atak. Komunikacja odbywała się za pośrednictwem komunikatora internetowego, a zrzuty ekranu pokazują, że na początku przedstawiciele CWT nie byli do końca pewni, co się stało. Oszuści powiedzieli im, że zaszyfrowali pliki na ponad 30 tysiącach urządzeń podłączonych do sieci CWT, a także ukradli kopie sprawozdań finansowych, danych osobowych pracowników i innych poufnych dokumentów.
Innymi słowy, CWT nie tylko musiało odblokować swoje pliki, aby wznowić normalne działanie, ale także musiało obawiać się, że operatorzy ransomware wyciekną tony poufnych danych.
Oszuści wykazują pewne zrozumienie
Aby odzyskać swoje dane i zapobiec wyciekowi, CWT musiało zapłacić 10 milionów dolarów w bitcoinach. Oszuści słusznie wskazali, że chociaż żądają dużej sumy pieniędzy, okup prawdopodobnie będzie znacznie niższy niż koszty związane ze zniszczeniem reputacji i procesami sądowymi, które mogą nastąpić po ujawnieniu informacji.
CWT nie ogłosiło oficjalnie, czy przechowuje kopie zapasowe swoich danych, ale zrzuty ekranu opublikowane przez Reuters pokazują, że firma była skłonna współpracować prawie od samego początku. Przedstawiciel CWT zwrócił jednak uwagę, że 10 milionów dolarów to duża prośba, szczególnie w środku pandemii, która powoduje bezprecedensowe szkody w branży turystycznej.
Co ciekawe, operatorzy oprogramowania ransomware wykazali się pewnym zrozumieniem i zgodzili się negocjować bardziej akceptowalną cenę. Ostatecznie zdecydowali się na 4,5 miliona dolarów.
Konsekwencje robienia interesów z oszustami
CWT nie opublikowało jeszcze oficjalnego oświadczenia dotyczącego ataku, ale raport Reutera sugeruje, że płatność została przetworzona, a firma otrzymała klucz odszyfrowywania. Jest oczywiste, że negocjacje z przestępcami i zapłacenie okupu zawsze powinny być ostatecznością i jesteśmy prawie pewni, że CWT wyczerpało wszystkie inne opcje przed wyrażeniem zgody na transfer bitcoinów. Mimo to fakt, że firma została tak mocno uderzona, pokazuje, że nie była ona zbyt dobrze przygotowana na atak ransomware, a to z pewnością wpłynie na jej reputację. Jest też inny potencjalny problem.
Podczas negocjacji oszuści obiecali, że po otrzymaniu okupu wyślą narzędzie deszyfrujące, a także usuną informacje, które ukradli z CWT. Niestety, anonimowa rozmowa na czacie nie jest prawnie wiążącym dokumentem, zwłaszcza gdy osoba po drugiej stronie klawiatury zarabia na życie w cyberprzestępczą działalność. Oszuści wysłali narzędzie deszyfrujące, ale nikt nie może powiedzieć na pewno, czy dotrzymali obietnicy i usunęli skradzione informacje. CWT nie ma innego wyjścia, jak tylko wierzyć im na słowo, co, można by argumentować, nie zawsze jest najlepszą strategią.