Lunavararünnakud on jätkuvalt üks suurimaid ohte, mis ettevõtteid varitseb. Üldine soovitus on lunaraha nõuet mitte maksta, kuna lunahinna maksmisega toetad kuritegevust ning sellega kaasnevad ka omad riskid. Samas mõistame, et otsus, maksta või mitte, ei ole must-valge. Üle poolte organisatsioonidest otsustab maksta ühel või teisel põhjusel.
Jagame siin artiklis soovitusi, kuidas targalt tegutseda, kui oled juba lunavara rünnaku ohvriks langenud ja plaanid lunahinda maksta.
Esimesed sammud
Esimesed hetked pärast rünnaku avastamist on kriitilise tähtsusega. Kiired ja läbimõtlemata otsused võivad olukorda hullemaks teha.
- Säilita külm närv ja väldi emotsioonidel põhinevaid otsuseid.
Küberkurjategijad ei piirdu enam vaid andmete krüpteerimisega, vaid kasutada survestamiseks ka mitmeid muid võtteid – ja neid samaaegselt. Näiteks võivad nad hirmutada ettevõtte kliente e-maili teel, rikkuda asutuse mainet sotsiaalmeedias, teha samaaegselt DDoS rünnakut veebilehtedele, või ähvardada varastatud andmete lekitamisega. Sellises olukorras on oluline teha otsuseid objektiivselt ja läbimõeldult. - Loo kriisimeeskond.
Pane kokku meeskond, kelle ülesanne on efektiivselt juhtida otsuste tegemist ja info kommunikeerimist eri osapoolte (IT, juhtkond, töötajad, välised partnered, kliendid) vahel. - Tee riskianalüüs.
- Millised on eri otsuste otsesed, kaudsed ja pikaajalised mõjud ja kulud?
- Kui kaua on ettevõte võimeline taluma äri seisakut?
- Kus on kriitilised piirid (rahaline, ajaline, töötajate vastupidavus, klientide taluvus, reputatsioon)?
- Millised on seadusandlusest tulenevad kohustused? Keda ja millal peab teavitama?
- Arvesta kogu protsessi vältel, et kurjategijatega tehtud kokkulepetel ei ole garantiisid.
Maksmine ei garanteeri andmete taastamist ega nende päriselt kustutamist. Samuti on mõningatel juhtudel lunavararünnaku ohvreid rünnatud kohe pärast maksmist uuesti. - Otsus maksta või mitte on äriline.
Ettevõtte juhtkond on see, kes otustab ka millal, millest, kuidas ja keda teavitada. - Kasuta väliste partnerite abi, kes oskavad pakkuda oskusteavet ja lisajõudu keerulise olukorraga toimetulekuks. Nii on võimalik saada äri kiiremini taas jalule. OIXIO Cyber on valmis olema sulle nii nõu kui jõuga abiks nii enne, pärast kui ka intsidendi toimumise ajal.
Lisaks tuvasta välised partnerid, kellelt saad küsida:- Õiguslikku abi
- Nõu finants- ja kindlustusküsimustes
Väliste partnerite peale oleks hea mõelda ja võimalusel teha kokkuleppeid juba enne intsidendi toimumist. Kompetentseid ja sobilikke partnereid on keeruline leida, eriti ajahädas. See võimaldab saada ka paremaid lepingutingimusi.
- Teavita CERT-EE’d võimalikult varakult.
Neil võib olla võimalik pakkuda omapoolset abi, vaata viide [4]. Varajane teavitamine suurendab tõenäosust, et saad seda õigeaegselt.
Läbirääkimised
Otsus, kas läbirääkimistesse astuda, tuleb teha koordineeritult ning strateegiliselt.
- Ära mine iseseisvalt läbi rääkima.
Kui ründajal on suhtluskeskkond, kus on võimalik rääkida, siis ära kindlasti mine ise läbi rääkima. Kui otsustad läbirääkimistel osaleda, siis kasuta selleks lunavara läbirääkimistele spetsialiseerunud eksperdi abi.
Sul on vastas professionaalid, kes teevad seda igapäevaselt. Nad on tihti struktureeritud nagu tavalised ärid, kus on eri osakonnad ja rollid. Ründajad on läbirääkimiste laua taga ka jõupositsioonil. Seega on oluline kohe alguses püüda võita tagasi mõningast kontrolli olukorra üle.
Lunavararühmitustel on tavaliselt ka üsna täpne info ettevõtte finantsseisust, mida nad kasutavad lunahinna arvutamisel. 2024 aastal suudeti läbirääkimiste käigus kaubelda lunahinda keskmiselt 94% peale esialgsest lunahinnast [7]. Väikeettevõtted maksavad seejuures protsentuaalselt oma sissetulekust suurema osa kui suured ettevõtted. - Pane paika eesmärk enne läbirääkimistele asumist.
Tuvasta, millised on ettevõtte vajadused ja ootused läbirääkimiste tulemustele. Abiks on eelnevalt tehtud riskianalüüs. Kas eesmärk on võita lisa aega, saada informatsiooni või midagi muud? Alati ei pruugi olla hinna üle kauplemine olla kõige olulisem. Siin on mõned näited võimalikest eesmärkidest:- Saada väärtusliku informatsiooni. Kuidas ründaja üldse võrku pääses? Millist informatsiooni ja andmeid rännaku käigus varastati? Kas vastaspool on ka päriselt võimeline faile lahti krüpteerima?
- Võita väärtusliku aega.
- Saada tagasi mõningast kontrolli olukorra üle.
- Saada paremad tingimused, mis on ettevõttele vastuvõetavamad.
- Tee otsus, kas osaleda läbirääkimistel.
Kas mul on konkreetne eesmärk, mida soovin saavutada? Kuidas see tegevus mõjutab riskianalüüsi hinnanguid? Selle käigus võid ka avastada, et läbirääkimistel osalemine ei olegi teie jaoks vajalik või mõistlik otsus. - Veendu, et kasutatav suhtluskanal on turvaline.
Vastasel juhul võib juhtuda, et ründaja pääseb ligi varem teadmata infole. Ka on juhtumeid, kus mõni kolmas osapool pääseb vestlusele ligi ja hakkab protsessi segama. - Uuri kurjategijate tausta.
Kuidas nad on käitunud varasematel juhtumitel? Mis võiks olla nende eesmärk? - Ära maini kurjategijatele, et kasutad välist abi.
- Ära maini kurjategijale, kas sul on küberkindlustus või mitte.
- Sel juhul on tõenäoline, et nad nõuavad minimaalselt kõige suuremat summat, mida kindlustusleping katab.
- Ära näita välja meeleheidet ning säilita professionaalne ja lugupidav suhtlustiil.
Seda tuleks teha kõigi osapooltega suheldes – nii oma ettevõtte töötajate rääkimisel, väliste partneritega suhtluses kui ka kurjategijatega läbirääkimistel. Väldi süüdistamist ja keskendu lahendustele. - Dokumenteeri ja talleta kogu suhtlus ründajaga.
Maksmine
Kui olete otsustanud minna edasi makse tegemisega, siis on veel mõned sammud, mida eelnevalt teha:
- Enne maksmist veendu, et vastaspool on üldse võimeline faile lahti krüpteerima.
- Ära saada kogu makset ühes osas.
- Tee esiteks väike test-makse. Võimalusel tasu osade kaupa, et riske maandada.
- Finantspool võib vajada abi krüptovaluutadega töötamisel.
Ära kindlasti püüa makset teha oma isiklikult Bitcoin wallet’ist. Kui ründaja märkab lisa raha, siis võib ta ka suurendada oma lunanõuet. - Konsulteeri juristiga.
Osadel juhtudel võib lunavaranõude maksmine olla seadusevastane. - Uuri kindlustuslepingute tingimusi.
Kui sul on küberkindlustus, siis millistel tingimustel on kindlustusfirma valmis tasuma? Tihti on küberkindlustuse poliisides lunavara maksmine küll kaetud, kuid sellega kaasnevad omad reeglid ja eeldused (näiteks võib olla vajalik esmalt konsulteerida küberintsidentide haldamise partneriga, kes on kindlustuslepingu raames ette nähtud).
Järeltegevused
Pärast lunavararünnaku maksmist on väga tõenäoline, et saadakse lühikese aja pärast uuesti pihta. Selle riski maandamiseks võta ette järgmised sammud:
- Loo intsidendiraport/analüüs.
Hea on analüüsida, kust rünnak alguse sai, miks olukord nii kaugele läks ja mida oleks saanud ette võtta. See aitab edaspidi teha paremaid otsuseid. - Tee põhjalik turvaaudit.
On tõenäoline, et ka pärast maksmist on ründaja jätnud endale alles n.ö tagaukse, mille kaudu jätkuvalt süsteemi pääseda. Audit aitab leida kohti, kustkaudu võib olla jätkuvalt ligipääs või potentsiaal mõnel teisel pahalasel ligi pääseda. - Loo plaan, mille alusel hakata süsteemi turvet tõstma.
Intsidendiraporti ja auditi põhjal saab tuvastada suurimad riskid, mille maandamist esmalt prioritiseerida. Nõuandeid rünnaku ennetamiseks leiad artikli lõpus toodud viidatud linkidelt [1] [5]. - Koolita töötajaid.
Positiivse külje pealt on see sündmus ise juba aidanud kõigi töötajate teadlikust tõsta. Samas infosüsteemi ja infoturbekorralduste muudatustest/arendustest tingituna on vaja töötajaid jätkuvalt toetada ja koolitada. - Kaalu, kas on võimalik oma kogemusi jagada teistega?
See võimaldab demonstreerida, mida olete kogemusest õppinud ja milliseid muudatusi sisse viinud. Avatud suhtlemine aitab taastada klientide ja partnerite turvatunnet tuleviku osas. Kui sinu organisatsioon on valmis ametivõimudega informatsiooni jagama, siis allpool on toodud näited infost, mis võib olla kasulik:- Käivitatud executable fail
- README failide koopiad – NB: ära kustuta seda faili süsteemist enne failide dekrüpteerimist
- Live memory (RAM) capture
- Nakatunud süsteemide image-id
- Pahavara (malware) näidised.
- Võrgus tuvastatud pahavara nimed.
- Krüpteeritud failide näidised.
- Logifailid (nt Windowsi sündmuste logid ohustatud süsteemidest, tulemüüri logid).
- Võrgus käivitatud PowerShelli skriptid.
- Kasutajakontod, mis loodi Active Directorys või masinad, mis lisati võrku ründe käigus.
- Ründajate kasutatud e-posti aadressid ja nendega seotud õngitsuskirjad.
- Muud kontod, mida ründajad kasutasid.
- Koopia lunarahanõudest (ransom note).
- Lunaraha suurus ja teave selle kohta, kas lunaraha maksti.
- Ründajate kasutatud Bitcoini wallet’id.
- Ründajatega peetud vestlused või kirjavahetus.
Kokkuvõte
- Kasuta väliste partnerite abi, kes oskavad pakkuda oskusteavet ja lisajõudu keerulise olukorraga toimetulekuks. Nii on võimalik saada äri kiiremini taas jalule. OIXIO Cyber on valmis olema sulle nii nõu kui jõuga abiks nii enne, pärast kui ka intsidendi toimumise ajal.
- Maksmine ei taga garantiid, aga võib olla mõnel puhul vajalik – eriti kui seiskunud teenuse majanduslik kahju on väga suur.
- Säilita kaine mõistus – tänastel otsustel on kaugeleulatuv mõju, neid ei tasu teha emotsioonida najal.
- Järgnevalt tuleb kindlasti investeerida turvalahendustesse – vastasel juhul võib olukord kiiresti korduda.
- Dokumenteeri ja õpi – iga intsident on võimalus tugevdada oma süsteeme ning protsesse.
- Järgi seaduseid ja regulatsioone – tee kindlaks millised kohustused on sinu ettevõttel tulenevalt nii seadusest kui ka klientide ja partnerite ees.
- Rünnaku ennetamine ja efektiivse taasteplaani omamine on kõige odavam viis end lunavararünnakute eest kaitsta.
Viited ja lisainfo
- [1] RIA nõuanded lunavararünnaku ennetamiseks ja rünnaku korral toimimiseks
- [2] Mitmete lunavarade dekrüptorid
- [3] Andmekaitseinspektsiooni koduleht
- [4] Küberintsidendist teavitamine
- [5] CISA nõuanded lunavararünnakute vastu kaitsmiseks
- [6] Uurimistöö lunavararünnakute finantspoole kohta ja soovitused läbirääkimiste strateegiateks
- [7] Sophos 2024 aasta lunavararünnakute raport