Jak przebiega kontakt z cyberprzestępcami żądającymi okupu po ataku ransomware? Dlaczego niektóre organizacje decydują się na jego opłacenie? Jakie techniki stosują hakerzy i z jakich form płatności korzystają? Krzysztof Dyki, Prezes ComCERT z Grupy Asseco w rozmowie z Business Insider Polska opowiedział również o dylematach etycznych i implikacjach prawnych decyzji o zapłaceniu okupu, a także rozwoju sztucznej inteligencji w rękach cyberprzestępców.
Grzegorz Kubera, Business Insider Polska: Praktycznie każda firma zajmująca się cyberbezpieczeństwem czy policja powiedzą nam, aby nie płacić okupu a wszelkie cyberataki po prostu zgłaszać odpowiednim jednostkom. Kiedy jednak tracimy setki tysięcy, jeśli nie miliony złotych każdego dnia, i nie możemy liczyć na żadną pomoc, zdarza się, że podejmujemy decyzję o zapłaceniu za atak ransomware. Ma Pan doświadczenia w tym aspekcie. Od czego zaczyna się taki proces? Wysyła Pan e-mail o treści „tak, zapłacimy” i co dalej?
Krzysztof Dyki, prezes ComCERT: Płacenie okupu wiąże się z ryzykami, w tym brakiem gwarancji odzyskania danych oraz możliwością ponownego ataku. Dlatego trzeba skupiać się na zapobieganiu atakom przez wdrażanie solidnych środków bezpieczeństwa, regularne tworzenie kopii zapasowych oraz szkolenie pracowników w zakresie cyberbezpieczeństwa.
Decyzja o zapłaceniu okupu za atak ransomware jest skomplikowana i wielowymiarowa, może być również odbierana jako kontrowersyjna. Jednak może wystąpić sytuacja — i występuje, w której przykładowo jeden dzień przestoju w działalności operacyjnej przedsiębiorstwa generuje bardzo wysokie straty finansowe. Jeżeli ten przestój wynika wyłącznie z ataku i jego usunięcie jest możliwe tylko poprzez zapłacenie okupu, to ofiara staje przed dylematem: negocjować w celu uniknięcia lub minimalizacji poważnych strat finansowych, czy wykluczyć negocjacje, doprowadzając do poważnych strat finansowych. Sytuacja robi się jeszcze bardziej złożona, gdy następcy (np. nowy zarząd) osoby podejmującej decyzję o odmowie negocjacji uznają, że poniesione straty finansowe były możliwe do uniknięcia w drodze… negocjacji.
Jak wygląda samo przekazanie pieniędzy. Odpowiednia aplikacja i transakcja w kryptowalutach, czy np. przelew bankowy też wchodzi w grę? A może trzeba się spotkać i zostawić gdzieś walizkę z pieniędzmi?
W przypadku ataków ransomware zazwyczaj odbywa się to za pomocą kryptowalut, a nie przez tradycyjne przelewy bankowe czy fizyczne przekazanie pieniędzy — to jest wręcz niemożliwe w przypadku profesjonalnych grup przestępczych. Fizyczne przekazywanie pieniędzy jest rzadkością i wyjątkiem od normy. Zdarza się jedynie sporadycznie, w przypadku, gdy nieprofesjonalna przestępczość kryminalna miesza się z nieprofesjonalną przestępczością cybernetyczną.
Kryptowaluty, takie jak bitcoin, ethereum, monero i inne, są preferowanym sposobem płatności ze względu na ich właściwości zapewniające pewien stopień anonimowości i trudność w śledzeniu transakcji. Najczęściej wybieraną przez przestępców kryptowalutą ciągle pozostaje bitcoin (ok. 90% przypadków znanych przeze mnie).