Nahanap ng Pag-aaral ang Karamihan sa Mga Solusyon sa Ransomware Magbayad Lang ng Crypto

Nalaman ng isang pag-aaral ng ProPublica na karamihan sa mga provider ng solusyon sa ransomware ay may ONE kakaibang trick para maalis ang mga hacker - ang pagbabayad sa kanila.

Ang aktibidad ng ransomware ay lumalaki linggu-linggo ayon sa mga eksperto sa Coveware . Ang resulta? Mga kumpanyang gusto lang magbayad ng ransom at magpatuloy.

Ayon sa Coveware, tumaas ang mga pag-atake ng ransomware noong Q1 2019:

Noong Q1 ng 2019, ang average na ransom ay tumaas ng 89% hanggang $12,762, kumpara sa $6,733 noong Q4 ng 2018. Ang pagtaas ng ransom ay sumasalamin sa mga tumaas na impeksyon ng mas mahal na uri ng ransomware gaya ng Ryuk, Bitpaymer, at Iencrypt. Ang mga uri ng ransomware na ito ay kadalasang ginagamit sa mga pasadyang naka-target na pag-atake sa mas malalaking target ng enterprise.

Kapag na-encrypt ng mga hacker ang isang nahawaang computer, gayunpaman, ang tunay na tanong ay kung paano i-unlock ang iyong data. Nalaman ng ProPublica na maraming data recovery firm ang nagbabayad lang ng ransom at pagkatapos ay naniningil ng premium para sa kanilang problema.

Nangako ang Proven Data na tutulong sa mga biktima ng ransomware sa pamamagitan ng pag-unlock ng kanilang data gamit ang “pinakabagong Technology,” ayon sa mga email ng kumpanya at mga dating kliyente. Sa halip, nakakuha ito ng mga tool sa pag-decryption mula sa mga cyberattacker sa pamamagitan ng pagbabayad ng mga ransom, ayon kay Storfer at isang FBI affidavit na nakuha ng ProPublica.





Ang isa pang kumpanya sa US, ang MonsterCloud na nakabase sa Florida, ay nagpapahayag din na gumagamit ng sarili nitong mga paraan ng pagbawi ng data ngunit sa halip ay nagbabayad ng mga ransom, minsan nang hindi nagpapaalam sa mga biktima tulad ng mga lokal na ahensyang nagpapatupad ng batas, natagpuan ng ProPublica. Ang mga kumpanya ay magkatulad sa ibang mga paraan. Parehong naniningil ang mga biktima ng malaking bayad sa itaas ng mga halaga ng ransom. Nag-aalok din sila ng iba pang mga serbisyo, tulad ng mga paglabag sa sealing upang maprotektahan laban sa mga pag-atake sa hinaharap. Ang parehong mga kumpanya ay gumamit ng mga alyas para sa kanilang mga manggagawa, sa halip na mga tunay na pangalan, sa pakikipag-usap sa mga biktima.

Paakyat

Lumalala ang ransomware.

Matapos ma-trace ng US Attorney General at kinasuhan dalawang Iranian hacker para sa pagpapalabas ng ransomware na tinatawag na SamSam, inaasahan ng mga awtoridad na babagsak ang paglaganap ng mga pag-atake. Sa halip, tumaas ito, na tinalo ang mga antas ng 2018 nang malaki.

Ang dahilan, marami ang naniniwala, ay dahil napakalaki ng ransomware. Maaaring maglunsad ng pag-atake ang mga hacker at pagkatapos, kapag natuklasan ng mga biktima ang pag-hack, nakipag-ayos sila sandali sa mga kumpanya tulad ng MonsterCloud at iba pa upang i-unlock ang mga computer. Gayunpaman, marami sa mga kumpanyang ito ang nag-aalok ng mga paraan ng pagbawi at maraming mga mananaliksik sa seguridad ang gumagawa ng mga libreng pamamaraan para sa ONE sikat na WannaCry ransomware.

Sa kasamaang palad, ang mga hack ay lumalala at ang software na kinakailangan ay nagiging mas kumplikado.

Pag-amin ni Coveware

sa aktuwal na pakikipagnegosasyon sa mga scammer. Napag-alaman nila na ONE ito sa pinakasimpleng paraan para maibalik ang data. Ang pag-aalala, gayunpaman, ay ang mga pagsisikap na ito ay hindi sinasadyang nagpopondo sa terorismo. Dagdag pa, isinulat nila, mas tumatagal upang i-decrypt ang mga na-hack na computer, salamat sa mga bagong bersyon ng ransomeware. Noong Q1 2019, isinulat ng Coveware, ang "average na downtime ay tumaas sa 7.3 araw, mula 6.2 araw noong Q4 ng 2018."

Pagkilala sa pattern

Napag-alaman ng CEO ng Coveware na si Bill Siegel na ang average na pagbawi ng ransomware ay T talaga isang negosasyon sa mga "terorista" gaya ng pinaniniwalaan ng mga opisyal ng US Government. Nakipag-ayos sila ng "ilang daang" kaso ng ransomware sa taong ito at nalaman na ang bawat hacker ay iba at kadalasan ay bigo lang.

"Ang aming pakiramdam batay sa aming pag-aaral ng industriya at karanasan ay ang karamihan ay medyo normal na mga tao na T mga legal na prospect sa ekonomiya na tumutugma sa kanilang mga teknikal na kakayahan," sabi ni Siegel. "Naninirahan din sila sa mga bahagi ng mundo na lampas sa hurisdiksyon ng pagpapatupad ng batas ng Kanluran, at ambivalent tungkol sa pagnanakaw mula sa Kanluran."

Ang kanilang proseso para sa pakikipag-usap sa mga hacker ay medyo tumpak din.

"Pinag-aaralan namin ang kanilang mga pattern ng komunikasyon upang makabuo kami ng isang database ng karanasan. Mayroong isang nakakagulat na maliit na grupo ng mga aktor ng pagbabanta na aktibo sa anumang oras, kaya ang pagkilala sa kanila ay medyo straight forward. Mula doon, mayroon kaming mga script at taktika na hinasa namin sa aming karanasan. Gumagamit kami sa mga iyon upang bumuo ng isang diskarte sa T sa ngalan ng aming kliyente. Alam namin ang mga panlabas na pattern na ginagamit nila sa labas ng profile. na kumakatawan sa aming mga kliyente sa isang negosasyon.

Sinabi ni Zohar Pinhasi ng MonsterCloud na ang kanyang kumpanya ay nagtrabaho nang husto upang magamit ang parehong mga pamamaraan - pagbawi at pantubos.

Ang proseso ng pagbawi ay nag-iiba mula sa bawat kaso depende sa saklaw at katangian ng cyber attack. Ang aming mga pamamaraan para sa pagkamit ng data recovery at proteksyon ay produkto ng mga taon ng teknikal na karanasan at kadalubhasaan at hindi namin ibinubunyag ang proseso sa publiko o sa aming mga customer. Iyan ay malinaw na ipinapahayag sa harap. Gayunpaman, ang masasabi ko sa iyo ay kami ay isang cyber security company, hindi isang data recovery company. Mayroon kaming malawak na kaalaman at karanasan sa pagharap sa mga kriminal na ito, at gumugugol kami ng hindi mabilang na oras sa pananatili sa kanilang mga umuusbong na pamamaraan upang mabigyan ang aming mga kliyente ng mga proteksyon laban sa lahat ng mga umaatake sa hinaharap, hindi lamang ang ONE na pumapasok sa kanilang data sa oras na pumunta sila sa amin. Nag-aalok kami ng garantiyang ibabalik ang pera sa sinumang kliyente kung hindi namin mabawi ang kanilang data, at hanggang ngayon ay wala pa kaming naiulat na isang kliyente ng follow-up na pag-atake mula sa parehong mga kriminal o sinumang iba pang umaatake.

Habang ang pagpapadala ng ilang libong BTC sa isang kakaibang address ay maaaring hindi angkop sa maraming biktima, LOOKS ito pa rin ang pinakamahusay na paraan upang bawasan ang mga downtime. Pagkatapos ng lahat, kasalanan ng organisasyon ang paghuli sa ransomware bug sa unang lugar. Ang pag-iwas, gaya ng sinasabi nila, ay kadalasang mas mabuti kaysa sa lunas.

Larawan sa pamamagitan ng CoinDesk archive.