Paydaşlar fidye taleplerini ödemeye karar verirse, bir fidye yazılımı müzakere hizmeti kullanmak durumun sonucunu iyileştirebilir ve ödemeyi düşürebilir.
Fidye yazılımı mağdurları fidyeyi ödemek ya da sonuçlarına katlanmak gibi zor bir kararla karşı karşıyadır. FBI, Hazine Bakanlığı, CISA, Çok Eyaletli Bilgi Paylaşım ve Analiz Merkezi ve uzmanların hepsi fidye ödememeyi tavsiye ediyor – ancak gerçekçi olmak gerekirse, bu her zaman mümkün değil.
Fidyeyi ödemeye karar veren kuruluşlar için fidye yazılımı müzakere hizmetleri bir seçenektir.
Fidye yazılımı müzakere hizmetleri nedir?
Fidye yazılımı müzakere hizmetleri, bir mağdur kuruluş ile bir fidye yazılımı grubu arasında aracı olarak hareket etmek üzere sözleşme yapılan üçüncü taraf aracılardır. Bu hizmetler genellikle olay müdahale tedarik zincirinin bir parçasıdır.
Fidye yazılımı müzakere hizmetlerinin birincil odak noktası, bir saldırıdan sorumlu olup olmadıklarını belirlemek için tehdit aktörleriyle çalışmak ve ardından fidye ödemesini düşürmeye çalışmaktır. Birçok fidye yazılımı müzakere hizmeti sağlayıcısı ayrıca fidye yazılımı iyileştirme, halkla ilişkiler yardımı ve saldırı sonrası izleme hizmetleri de sunmaktadır. Diğerleri ise gelecekteki saldırıları önlemek için tespit ve müdahale hizmetleri ya da ürünleri sağlamaktadır.
Neden fidye yazılımı müzakere hizmetlerini düşünmelisiniz?
Alanında uzman olan fidye yazılımı müzakere hizmetleri, tehdit aktörleriyle nasıl çalışılacağını daha iyi anlar ve istenen sonuçları elde etme şansı daha yüksektir.
Fidye yazılımı müzakere uzmanları üstünlüğe sahiptir ve genellikle ilgili kötü aktörlerin güvenilirliğini bilirler – örneğin, bir fidye ödendikten sonra bile çifte gasp planları yürüttükleri biliniyorsa.
Gartner analisti Paul Furtado, “[Fidye yazılım grupları] yapacaklarını söyledikleri şeyi yapıyorlar mı, yoksa kurbanların ödeme yaptığı ve verilerinin yine de serbest bırakıldığı örnekler var mı?” dedi.
Buna ek olarak, 451 Research’te analist olan Daniel Kennedy, kötü aktörlerle iletişimi yürüten müzakere hizmetlerinin, kuruluşun fidye talebine ve nihai ödemeye ne kadar hızlı yanıt vermesi gerektiğini geciktirebileceğini söyledi. Kennedy, “En az bir fidye yazılımı grubu, kurbanları üçüncü taraf bir sağlayıcıyla bağlantı kurmaları konusunda uyardı; bu da bu tür müzakerecilerin yöntemleriyle başarılı olduklarının bir düzeyde onaylanması anlamına geliyor” dedi.
Virginia merkezli siber güvenlik danışmanlık şirketi GuidePoint Security’de yönetici güvenlik danışmanı olan Drew Schmitt, müzakere hizmetlerinin bu tür bir soruna karşı koymak için mağdur kuruluşun bir parçasıymış gibi hareket ettiğini söyledi. Schmitt, “[Kötü aktörler] üçüncü bir taraf kullandığınızı duyar duymaz ya iletişimi kesecek ya da fidyeyi artıracaklardır” dedi.
Furtado, bazı kuruluşların federal bir kurumla çalıştığını ve yine de fidye ödediğini, örneğin CNA Financial’ın ABD Gizli Servisi ile çalışırken 40 milyon dolar fidye ödediğini, çünkü işini ve çalınan verilerini korumak için en iyi seçeneğin bu olduğunu söyledi.
Genel olarak, fidye yazılımı senaryolarında kuruluşların ve olay müdahale ekiplerinin farkında olmayabileceği karmaşıklıklar ortaya çıkmaktadır. Kennedy, bunun belirli bir platformda nasıl iletişim kurulacağını bilmeyi, ödemeler için kripto para birimini kullanmayı ve daha fazlasını içerdiğini söyledi.
Fidye yazılımı müzakerelerini kendi başınıza yürütmekten kaçının
Fidyeyi ödemeyi tercih eden kuruluşların müzakereleri kendilerinin yürütmemesi tavsiye edilir.
Furtado, “Müzakereleri kendiniz yapmamanızı şiddetle tavsiye ederim” dedi. “‘İyi’ müzakerenin neye benzediğini bilmiyorsunuz. Fidye yazılımı grupları ve kötü aktörlerle düzenli olarak uğraşmıyorsanız, %30 indirim ya da %5 indirim tekliflerini kabul etmeniz gerekip gerekmediğini bilemezsiniz. Ya da %90 indirim için beklemeniz gerekip gerekmediğini bilemezsiniz.”
Ek olarak, müzakereyi kendileri yürütürken, kuruluşlar yanlışlıkla ya da başka bir şekilde fidye yazılımı grubuna karşı düşmanca davranabilir çünkü etkilenen taraf kendileridir. Bu da tehdit aktörlerinin daha fazla pazarlık yapmayı reddetmesine ya da sızan verileri serbest bırakmasına neden olabilir.
Kendin yap pazarlığı kötü giderse, kötü aktörler grubu da çekip gidebilir. Furtado, “Onları kızdırma riskiniz var,” diye ekledi. “Masadan kalkıp ‘Seninle konuşmam bitti; tam fiyatını ödemelisin’ diyebilirler.”
Tehdit aktörleriyle aracılar olmadan doğrudan iletişim kurmaktan sakının. Tehdit aktörlerinin kurbanlarını kötü göstermek için e-postaları ve sohbetleri kamuya açık bir şekilde yayınladıkları bilinmektedir.
Fidye yazılımı müzakere süreci
GuidePoint Security’de Schmitt, fidye yazılımı müzakere hizmetlerinin, bir kuruluşun sisteminde fidye yazılımını ve fidye yazılımı grubunun taleplerini içeren benioku dosyasını keşfetmesinin ardından çağrıldığını söyledi.
Müzakere şirketinin danışmanları, fidye yazılımı grubuna ve geçmişine dayalı olarak en iyi müzakere sürecini belirlemeye başlamak için dijital adli tıp ve olay müdahale yardımı sağlar.
GuidePoint Security’de dijital adli tıp, olay müdahale ve tehdit istihbaratından sorumlu başkan yardımcısı Mark Lance, “Çoğu zaman, müzakerelere ve fiyat indirimine açık olup olmayacakları ve hatta bunun ne olabileceği konusunda iyi bir fikrimiz var” dedi. “Bu tehdit aktörleri devreye giriyor çünkü mümkün olduğunca az para almaya çalışmasalar da çoğu durumda paradan vazgeçmek de istemiyorlar.”
İlk araştırma tamamlandıktan sonra, fidye yazılım grubunun meşru bir şifre çözme programı sağlayacağına güvenilip güvenilemeyeceğini belirlemek için iletişim ve pazarlık süreçleri başlar. Bir fiyat üzerinde anlaşmaya varıldığında, fidye yazılımı müzakere hizmeti aracılık sürecini yönetir ve fidyeyi ödemek için ilgili kripto para birimini elde eder.
Son olarak, danışmanlar fidye yazılımı kurtarma sürecine yardımcı olur ve tehdit aktörünün çifte gasp saldırısında şirketin verilerini çevrimiçi olarak yüklememesini sağlamak için izleme yapabilir.
Fidye yazılımı müzakere hizmetleri ve siber sigorta
Müzakere hizmetleri bir süredir var, hatta bazıları siber sigorta ortaya çıkmadan önce de mevcuttu. TechTarget’ın Kurumsal Strateji Grubu’nda analist olan Dave Gruber, bu ikisinin tamamen ayrı olmadığını söyledi. “Bazı siber sigorta sağlayıcıları, hasar ödemelerini azaltmaya yardımcı olmak için müzakere uzmanlarıyla birlikte çalışmaktadır.”
Schmitt, siber sigortası olan kuruluşların sözleşmelerini güvende tutmaları gerektiğini belirtti. Tehdit aktörleri siber sigortayı iyi bilirler ve kurbanlarının sistemlerinde bir sözleşme bulurlarsa bu bilgiyi pazarlık sırasında kullanırlar. Schmitt, “Poliçenizin 250.000 doları kapsadığını biliyoruz, bu yüzden istediğimiz miktar bu,” diyeceklerdir.
Hiçbir fidye yazılımı müzakere süreci mükemmel değildir
Fidye yazılımı müzakere süreçlerinin işe yarayacağının bir garantisi olmasa da, kuruluşlar hizmet alırlarsa en iyi sonucu elde etme şansları daha yüksektir. Bu durum özellikle danışmanların bildiği ancak mağdur kuruluşların bilmediği saldırı ve saldırgan detayları nedeniyle geçerlidir.
Kennedy, “İletişim ve fidyelerdeki küçük nüanslarla uğraşmak, fidye yazılımı operatörlerinin ne zaman olumsuz bir eylemde bulunacağına dair aktif bir son tarih olduğunda şirketlerin dahili olay müdahale ekiplerinin yapmasını isteyeceği bir şey olmayabilir” dedi.
Bir kuruluş müşterilerini ve iş açısından kritik verilerini korumak için fidye ödemeye karar verirse, sürecin engebeli bir yolda ilerlemesini önlemek için fidye yazılımı müzakere hizmetlerini dikkate almaya değer.