תהליך אירוע כופר


התקבלה בארגון דרישת כופר- להלן תיאור האירוע לפי תרשים זרימה:
⬇️
פאניקה, בלאגן, מה עושים? עם מי מדברים? במי נעזרים?
⬇️
עוברות כמה שעות של חוסר אונים ואז מחליטים "משלמים את הכופר"
⬇️
"אבל איך, אין לנו ארנק דיגיטלי ולא קנינו ביטקוין וזה מלא כסף".
⬇️
"אהה שמעתי על אנשי מו"מ שמתקשרים עם האקרים בדארקנט וזה נשמע מגניב וסרט מתח. יחסכו לנו כמה דולרים. יאללה".
⬇️
כמה שעות אחרי שהמתקפה כבר כילתה 2000-3000 עמדות מחשב, מגיע מנהל המו"מ.
⬇️
הוא מתחיל לדבר עם התוקף.
⬇️
התוקף ישן. Time zone שונה. עוברות כמה שעות.
⬇️
צריך לבסס אמון.
⬇️
אז קצת סמול טוק, מתלבטים איפה לנהל את השיחה. בטלגרם, אולי בסיגנל אולי טוויטר?
⬇️
עוד כמה שעות עוברות.
⬇️
כבר 5-6-7 שעות בתוך מתקפה
⬇️
הארגון עדיין מושבת
⬇️
התוקף ואיש המו"מ הסכימו על פלטפורמה לדיון
⬇️
קצת כמו בשוק. "תוריד לי פה, תחתוך לי שם, הם מפרנסים אלפי משפחות, אל תרסק כלכלה"..
⬇️
התוקף חותך קצת
⬇️
הארגון אומר "עדיין כבד עלי התשלום. תנסה להוריד עוד"
⬇️
בינתיים יום השבתה יעלה כמה מאות אלפי דולרים
⬇️
יום שני למו"מ. "תן לי הוכחה שאם נשלם תעביר את מפתח ההצפנה"
⬇️
התוקף מתעורר. שותה קפה. מגיב.
⬇️
הארגון עדיין מושבת.
⬇️
במקביל מקפיצים צוות IR.
⬇️
מנהל המו"מ גובה אגב סדר גודל של 8000-9000$ ליום העבודה הראשון.
⬇️
יום העבודה השני יעלה כבר קצת פחות באזור ה 5000$. ביום השלישי שהוא כמעט האחרון הרלוונטי לדיון, המחיר ירד ל2000-3000$.
⬇️
ישנם מנהלי מו"מ שיגבו עמלה מהסכום שיחסכו.
⬇️
צוות ה-IR – לפחות 3 אנשים. 500$ לשעה כל אחד. תהליך סבוך שלוקח הרבה זמן. ימים. אפילו שבוע. סביב השעון. 24*7.
⬇️
התוקף מחזיר תשובה שהוא מוכן לחתוך עוד קצת ובתנאי שהכסף יעבור מיידית לארנק .
⬇️
עוד בדיקה עם הנהלת החברה.
⬇️
כבר כמעט היום השלישי.
⬇️
הארגון עדיין מושבת.
⬇️
מצליחים להסכים על תשלום לתוקף.
⬇️
חברת הביטוח אפילו מוכנה לספוג אותו ולשלם למול הפוליסה.
⬇️
הכסף מועבר.
⬇️
במקרה הטוב והתוקף אמין, מקבלים את מפתח ההצפנה.
⬇️
זה לא קורה תמיד! אבל בואו נהיה בתרשים זרימה אופטימי.
⬇️
הצפנה היא תהליך טכני אגרסיבי שפוגם בקבצים.
לא תמיד המערכות יחזרו לעצמן בצורה טובה או מלאה.
⬇️
וגם אם חזרו – זה לא מיידי.
⬇️
יעברו עוד יומיים או שלושה עד שהכל יעלה מחדש.
⬇️
אנחנו כבר 5 או 7 ימים בתוך אירוע
⬇️
זוכרים? כל יום השבתה עולה מאות אלפי דולרים בגלל הפסקת יצור, השבתת עובדים, מלאים שעולים כסף במחסנים וכו'.
⬇️
אז עלות השבתה ליום (לקולא) 100,000 דולר כלומר 700,000 דולר שבועי + עלות הכופר (שגם אם שולמה ע"י חברת הביטוח עולה כסף לארגון – פוליסה, השתתפות עצמית וכו) 5,000,000 דולר + עלות המו"מ 17,000 דולר + עלות צוות IR כ- 252,000 – סדר גודל של 6,000,000 דולר בשבוע אחד!
⬇️
עכשיו נתחיל להוסיף לזה עלויות רגולטוריות, יעוץ משפטי, החלפת חלק מהתשתיות המחשוביות, תביעות ייצוגיות במאות מיליוני דולרים, תביעות של לקוחות על פגיעה בהכנסות או על אי עמידה בהתחייבויות חוזיות\שירותיות ואנחנו מגיעים בקלות לאירוע של 8!!! ספרות בדולרים. במקרה הקל. לאקוויפקס זה עלה 7,000,000,000 דולר!
⬇️
וזה לא נגמר כאן.
⬇️
טיפול באירוע סייבר נמשך בממוצע סדר גודל של שנתיים+ אחרי שהסתיים החלק הטכני של החזרה מההשבתה.
⬇️
ועוד לא דיברנו על האיום בהפצת המידע שהוצפן וכתוצאה מכך פגיעה נוספת בארגון.
⬇️
במקרה הטוב התוקף לא רץ לספר לחברים שלו שאתם Known payer.
⬇️
במציאות, ברור שהוא מספר להם.
⬇️
תוך כדי טיפול באירוע, בהשלכות, בצרכים המיידיים אתם עדיין חשופים והתוקפים יודעים את זה.
⬇️
כבר מתארגנת כנגדכם מתקפה חדשה.
⬇️
כי שילמתם וגם האחרים רוצים.
⬇️
כאמור, זמן פגיע וחשוף ולכן תולעת מוחדרת ויושבת בשקט כי כרגע גם ככה אין מה לקחת.
⬇️
בעוד חצי שנה יהיה.
⬇️
לתוקפים יש סבלנות של בדואי.
⬇️
מתחילים מחדש.
⬇️
הפעם פוליסת הביטוח כבר יותר יקרה.
⬇️
ואתם עוד משלמים את העלויות מהאירוע הקודם

★★★★★★★★★★★★★★★★★★

כעת בואו תקראו את תרשים הזרימה הבא:

דיון מסודר בהנהלה בשאלת סיכוני סייבר
⬇️
הטלת משימה על מערכות מידע, תשתיות ואבטחת מידע למפות את הסיכונים הייעודיים ולהגן עליהם תשתיתית – עוד גיבוי, עוד מעטפת הצפנה למקרה שמידע יגנב, גיבוי לגיבוי, תהליכי בדיקה ובקרות על טיב הגיבוי באופן רציף בהתאם לאיפיון ולפתרון הטכנולוגי שנבחר.
⬇️
ובכל זאת, קרה האסון וחדר וירוס כופר לארגון.
⬇️
המערכות ערוכות לאיום.
⬇️
אחד או יותר מהגיבויים נקיים מהוירוס.
⬇️
מעלים את הגיבויים בהתאם ל- SLA מתואם, מתוכנן ובדוק.
⬇️
הארגון חוזר לעבודה רציפה בתוך פחות מ-72 שעות.
⬇️
נמסר דיווח כחוק לרגולטור.
⬇️
העיכובים וההשבתות קצרים בחצי מהתרחיש שבו לא נערכים.
⬇️
במידה ויש דיבור בדארקנט הוא כזה שאומר "אל תבזבזו אנרגיה עליהם".

עכשיו תגידו אתם, איזה תרחיש אתם מעדיפים.

המלצות

זכרו- הדרכת משתמשים (גם ובעיקר חדשים) לעירנות מונעת אסון.

הדרכות ועדכוני אבטחת מידע וסייבר הם מרכיב עיקרי בהכנת משתמשי בארגון.

ביצוע Panetration tests למשתמשים, בין במייל בין מקומית בעמדה/שרת.

היו תמיד ערוכים למתקפה וודאו שהציוד שברשותכם עדכני ומעודכן וכי אין חורים מפורסמים שטרם תוקנו.

ודאו מול חברת הביטוח כי אתם מכוסים במקרה של מתקפת כופר, ואם כן בכמה. שימו לב שחברת הביטוח תבקש שתמלאו את הרשימה הבאה כדי למדוד את מנעד הסיכונים, ולשם הגדרת פוליסה מתאימה לפי הנתונים.

פוסט זה נכתב על ידי Cyber Resilience – Einat Meyron