Cyber negoziatore: come trattare con gli hacker

8 Lug 2021 | Hackeroba

Dopo un attacco ransomware, pagare il riscatto è l’ultima spiaggia per un’azienda. Non è neanche detto che, una volta pagato, i dati vengano ripristinati del tutto. I negoziatori di ransomware, detti anche cyber negoziatori, sono specializzati nel prendere accordi con gli hacker. Il loro obiettivo è aiutare le aziende nelle fasi di contrattazione per il pagamento del riscatto in seguito all’attacco. Ma come agiscono queste nuove figure professionali sempre più richieste? Continua a leggere per scoprirlo.

Indice

Cyber negoziatore: chi è e perché esiste
Le caratteristiche del cyber negoziatore
Come agisce il cyber negoziatore
Il caso Colonial Pipeline

La storia del cyber negoziatore Kurtis Minder

Guadagnare tempo è fondamentale per il cyber negoziatore
Conclusioni

Cyber negoziatore: chi è e perché esiste

La crescente diffusione dei ransomware ha spinto molte startup o PMI ad avviare questa attività di mediazione con gli hacker per non effettuare pagamenti in criptovalute, così come grandi aziende informatiche hanno iniziato ad avvalersi di personale o aziende specializzate per supportare gestire questi incidenti cyber.

Il rapporto State of Ransomware 2021 fornisce nuove informazioni sulla frequenza e sull’impatto del ransomware.

Basato sui risultati di un sondaggio indipendente su 5.400 responsabili IT di organizzazioni di medie dimensioni in 30 paesi in tutto il mondo, rivela che il 37% delle organizzazioni ha subito un attacco ransomware negli ultimi 12 mesi – in calo rispetto al 51% del 2020.

Inoltre, meno organizzazioni hanno subito la crittografia dei dati come risultato di un attacco significativo – in calo dal 73% nel 2020 al 54% nel 2021. Fin qui, tutto bene.

Quando le aziende sembrano riluttanti a negoziare, i dirigenti ricevono addirittura telefonate minacciose e messaggi su LinkedIn. Ad esempio, le stampanti di una catena sudamericana di articoli per la casa hanno iniziato a sputare note di riscatto al posto delle ricevute.

Tuttavia, mentre il numero di organizzazioni colpite da ransomware è diminuito rispetto allo scorso anno, l’impatto finanziario di un attacco è più che raddoppiato, passando da 761.106 dollari nel 2020 a 1,85 milioni di dollari nel 2021. Questo è probabilmente dovuto, in parte, al passaggio da parte degli aggressori ad attacchi mirati più avanzati e complessi che sono più difficili da recuperare.

Il numero di organizzazioni che pagano il riscatto per riavere i propri dati è aumentato nell’ultimo anno, dal 26% delle organizzazioni i cui dati sono stati criptati nel 2020 al 32% nel 2021.

Tuttavia, ciò che gli avversari non menzionano nelle loro note di riscatto è che la probabilità di riavere tutti i dati dopo aver pagato è molto bassa: meno di uno su dieci (8%) ha recuperato tutti i suoi file criptati.

Infatti, in media, le organizzazioni che hanno pagato il riscatto hanno recuperato solo il 65% dei loro dati, con il 29% che ha recuperato non più della metà dei dati. Quando si tratta di ransomware, pagare non paga.

Qui entra in gioco il cyber negoziatore, una figura professionale emergente, sempre più richiesta dalle aziende. Il suo compito non è pagare realmente il riscatto, ma si occupa di mediare i pagamenti, prendere tempo affinché i dati sensibili non vengano divulgati, capire quali informazioni sono state sottratte, verificare se sono disponibili copie di backup etc.

I cyber negoziatori hanno una conoscenza capillare delle tattiche e dell’affidabilità dei gruppi ransomware, fattori chiave per le vittime che decidono come rispondere. L’obiettivo del cyber negoziatore è raccogliere informazioni su ciò che gli hacker potrebbero aver rubato a livello di dati e informazioni aziendali, mentre le vittime sondano l’impatto e cercano di ripristinare i loro sistemi utilizzando i backup.

Le caratteristiche del cyber negoziatore

Quindi, quali caratteristiche deve avere un cyber negoziatore esperto di ransomware per guidare la pianificazione e la risposta alle crisi in una azienda? Ecco quattro credenziali fondamentali:

1) Esperienza documentata con trattative di successo sul ransomware. Il cyber negoziatore di ransomware richiede competenze specializzate. Se si è coinvolti in una causa di proprietà intellettuale (IP), è consigliabile non assumere semplicemente un avvocato generico per il lavoro. Meglio uno specialista della proprietà intellettuale. La stessa dinamica si applica qui: le aziende hanno bisogno dell’aiuto di esperti con esperienza specializzata in cyber intelligence e ransomware, in modo da poter convalidare efficacemente la minaccia (che ci crediate o no, alcuni attori delle minacce sono tutt’altro che sinceri) e sviluppare una strategia di rimedio basata sul profilo di rischio aziendale.

2) Comprensione dimostrata dei vari attori e sindacati delle minacce. Il cyber negoziatore esperto di ransomware saprà come affrontare i tipi di attacchi ransomware. Ognuna di queste situazioni richiede approcci diversi, i gruppi di hacker tendono a seguire un “playbook” che può essere più prevedibile di un singolo cyber criminale. Per esempio, è probabile che un gruppo estorca più vittime alla volta, il che potrebbe renderle più disponibili a un accordo rapido, anche se è significativamente ridotto rispetto alla richiesta originale. D’altra parte, si può essere l’unica vittima per un freelance, il che significa che cercherà di massimizzare il loro profitto. Come in ogni negoziazione, conoscere l’avversario è fondamentale per un esito positivo.

3) Acume commerciale a livello esecutivo. Il cyber negoziatore esperto non solo sarà in grado di affrontare e rispondere in modo appropriato alla minaccia, ma anche di capire le priorità della vittima e comunicare con i leader della sicurezza e i dirigenti come parte del processo. Il ransomware non è solo un problema di sicurezza informatica: è una crisi aziendale. E, come per qualsiasi crisi aziendale, le decisioni critiche devono essere prese dal livello superiore, come se pagare o meno il riscatto, informare gli investitori, rispondere all’esposizione normativa, ecc. I negoziatori devono essere in grado di guidare le aziende attraverso questo processo in modo che i dirigenti comprendano la situazione e le loro responsabilità, e devono anche avere la capacità di “giocare alla Svizzera” in quella che può essere una situazione tumultuosa con molti fattori in gioco, tra cui emozioni, differenze di opinione, politica interna e altro.

4) La capacità di coordinare un’efficace risposta alle crisi aziendali. Il cyber negoziatore deve valutare i piani di risposta alle crisi aziendali e determinare se hanno l’adeguata integrazione delle funzioni legali, di comunicazione, di applicazione della legge, di finanza, del consiglio e di altre funzioni per evitare violazioni di conformità, cause legali e danni alla reputazione dopo il pagamento. L’aspetto legale è una delle parti più integranti dell’equazione, quindi la capacità di un negoziatore di comprendere chiaramente le ramificazioni legali è fondamentale.

Come agisce il cyber negoziatore

Alcuni gruppi di hacker di ransomware, tra cui REvil, lavorano sul modello di affiliazione, fornendo agli hacker gli strumenti per distribuire gli attacchi in cambio di una quota dei profitti. Gli hacker usano varie tecniche per ottenere l’accesso ai computer di un’azienda, dall’inserimento di malware in un allegato di posta elettronica all’uso di password rubate per accedere ai desktop remoti che i lavoratori usano per connettersi alle reti aziendali.

Il cyber negoziatore tratta ogni richiesta di riscatto come un vero e proprio accordo commerciale. La trattativa viene gestita con freddezza e distacco, lasciando le emozioni alle vittime che hanno subito direttamente il cyber crime, ovvero le aziende coinvolte.

Il cyber negoziatore entra in contatto con gli hacker attraverso il link che hanno inviato all’azienda, che molto spesso rimanda al dark web, per non essere rintracciati. Durante la negoziazione cerca di capire come abbiano fatto a entrare nei sistemi informatici della società hackerata e quali dati abbiano rubato.

Il fattore tempo è fondamentale nell’attività del cyber negoziatore: molto spesso gli hacker criptano l’intera infrastruttura informatica aziendale e portano via diversi gigabyte di informazioni. La minaccia è che se il pagamento non avviene entro un certo lasso temporale, i dati verranno pubblicati sul dark web. Ciò può avere un effetto devastante sull’immagine di alcuni brand.

La negoziazione avviene via chat o e-mail, quindi ogni parola va pesata. Durante i primi momenti della trattiva il cyber negoziatore usa un linguaggio da sottomesso, poi con il passare delle ore cerca di diventare più assertivo. È necessario che metta dei punti fermi. Ad esempio, può dire che l’azienda dopo l’attacco sarà costretta a mettere i dipendenti in cassa integrazione e che quindi non si può permettere di pagare la cifra richiesta.

Il caso Colonial Pipeline

L’attenzione verso i ransomware e i crimi informatici è aumentata dopo il famoso attacco sferrato dal gruppo DarkSide alla Colonial Pipeline Co., che ha portato per forza di cose l’azienda a interrompere l’attività dell’oleodotto per sei giorni, tornando in funzione solo dopo il pagamento di cinque milioni di dollari di riscatto agli autori dell’attacco ransomware.

Non si sa se la società ha dovuto negoziare l’importo del riscatto con un cyber negoziatore esperto. Un rappresentante ha dichiarato soltanto di aver dovuto fare tutto ciò che era in loro potere per riavviare il sistema in modo rapido e sicuro.

Gli hacker sono entrati nelle reti di Colonial Pipeline Co. il 29 aprile attraverso un account di rete privata virtuale (VPN). Secondo quanto riportato dal vicepresidente senior della società di cybersecurity Mandiant, parte di FireEye Inc, Charles Carmakal, la VPN aveva il compito di permettere ai dipendenti di accedere in remoto alla rete della società. L’account non era più in uso al momento dell’attacco, ma potrebbe ancora essere utilizzato per accedere alla rete di Colonial.

La password dell’account è stata scoperta all’interno di un gruppo di password trapelate sul dark web. Ciò significa che un dipendente di Colonial potrebbe aver usato la stessa password su un altro account che era stato precedentemente violato. Tuttavia, Carmakal ha detto di non essere certo che gli hacker abbiano ottenuto in questo modo la password, e ha aggiunto che gli investigatori potrebbero non sapere mai con certezza come la credenziale è stata ottenuta.

La storia di Kurtis Minder

Pochi giorni dopo il Ringraziamento nel 2020, Kurtis Minder ha ricevuto un messaggio da un uomo la cui piccola azienda di ingegneria edile a nord di New York era stata violata. Minder e la sua società di sicurezza, GroupSense, ricevono chiamate ed e-mail come questa di continuo, molte delle quali sono permeate di panico. Un dipendente di un birrificio, o di una tipografia, o di una società di web-design si presentava al lavoro una mattina e trovava tutti i file del computer bloccati e una nota di riscatto che chiedeva un pagamento in criptovaluta per liberarli.

Alcune delle note erano aggressive, del tipo “Non prendeteci per pazzi, sappiamo più cose su di voi di quante ne sappiate voi stessi”, oppure “Oops, i vostri file importanti sono criptati” o “ci dispiace ma tutti i vostri file sono criptati”. Alcuni messaggi hanno espresso la loro estorsione come una legittima transazione commerciale, come se gli hacker avessero eseguito un utile controllo di sicurezza: “Signori! Il vostro business è a serio rischio. C’è un buco significativo nel sistema di sicurezza della vostra azienda”.

Nell’ultimo anno, Minder ha gestito le discussioni tra le aziende e gli hacker come cyber negoziatore di ransomware, un ruolo che non esisteva solo pochi anni fa. I cyber negoziatori di ransomware, e le compagnie di assicurazione con cui collaborano regolarmente, aiutano le persone a navigare nel mondo delle estorsioni informatiche. Ma sono stati anche accusati di favorire il crimine facilitando i pagamenti agli hacker.

L’uomo che lo ha contattato a novembre ha spiegato che l’attacco, opera del gruppo di hacker REvil, aveva reso inaccessibili i contratti e i progetti architettonici dell’azienda. Ogni giorno che i file rimanevano bloccati era un altro giorno in cui il personale non poteva lavorare. L’azienda non aveva una polizza di assicurazione informatica e voleva che Minder negoziasse con gli hacker per ottenere la chiave di decrittazione.

Quando Minder ha fondato GroupSense, ad Arlington, in Virginia, nel 2014, la minaccia di cybersecurity nella mente di tutti era la violazione dei dati, il furto dei dati dei consumatori, come le informazioni del conto bancario o i numeri di previdenza sociale. Minder ha assunto analisti che parlavano russo, ucraino e urdu. Fingendosi criminali informatici, si appostavano sui mercati oscuri del web, per vedere chi vendeva informazioni rubate dalle reti aziendali. Ma, poiché gli aggiornamenti dei sistemi di sicurezza hanno reso le violazioni dei dati più difficili, i criminali informatici si sono sempre più rivolti al ransomware.

All’inizio dell’anno scorso, GroupSense ha trovato la prova che un hacker si era introdotto in una grande azienda. Minder ha provato ad avvertirla, ma un server era già stato compromesso. L’hacker ha inviato una nota di riscatto alla società, minacciando di rilasciare i suoi file. L’azienda ha chiesto a Minder se avrebbe fatto da cyber negoziatore del riscatto. Inizialmente, si era tirato indietro, pensando che questa attività non rientrasse nelle sue competenze, ma alla fine è stato persuaso.

Guadagnare tempo è fondamentale per il cyber negoziatore

Per guadagnare tempo, Minder suggerì all’azienda di confermare di aver ricevuto la richiesta di riscatto. Ha iniziato a studiare i consigli per la negoziazione, guardando tutorial e leggendo libri di ex negoziatori di ostaggi. Ha imparato che andrebbe evitato proporre controfferte a cifra tonda, che possono sembrare arbitrarie, e che non dovrebbe fare concessioni senza fornire una giustificazione. Durante le settimane successive, mentre la conversazione con l’hacker si svolgeva, Minder ha scoperto di avere un talento per la negoziazione. Ha fatto del suo meglio per coinvolgere l’hacker, che sembrava non essere affiliato a nessuno dei principali gruppi hacker di ransomware. Quando l’hacker si lamentò di quanto tempo e fatica aveva investito per entrare nell’azienda, Minder si complimentò con lui per le sue capacità: “Sei un hacker di grande talento, e ci piacerebbe pagarti per questo. Ma non possiamo pagare quello che chiedi”.

La trattativa divenne estenuante. Alla fine, l’hacker ha accettato un prezzo che l’assicuratore della società ha trovato accettabile.

Minder trovò presto altro lavoro come cyber negoziatore. A volte si trattava di una società importante che affrontava una richiesta di riscatto multimilionaria, e la negoziazione richiedeva settimane. A volte si trattava di una piccola impresa o di una no-profit che prendeva pro bono e cercava di concludere nel fine settimana.

Lo scambio iniziale di messaggi è un momento cruciale per Minder. Le persone che direttamente erano coinvolte dall’attacco avevano la tendenza a rimproverare gli hacker, ma questo li faceva solo arrabbiare e peggiorare la situazione. Minder mirava a trasmettere una sorta di calda condiscendenza, del tipo: “Come, siamo amici, ma non sai davvero cosa stai facendo”. La sua ragazza, che parla rumeno, russo, ucraino e un po’ di lituano, lo aiutava a trovare i colloquialismi che avrebbero dato il tono giusto. Gli piaceva chiamare gli hacker kuznechik, che in russo significa “cavalletta”.

Occasionalmente, Minder è stato chiamato come cyber negoziatore per cercare di salvare le trattative che erano andate fuori strada. Se gli hacker sentivano che una trattativa si stava muovendo troppo lentamente, o sentivano che gli stavano mentendo, potevano interrompere la comunicazione. Seguendo il consiglio di Chris Voss, un ex negoziatore di ostaggi dell’FBI che ora è un consulente di negoziazione, Minder ha cercato di stabilire una “empatia tattica” rispecchiando i modelli di linguaggio dell’hacker.

I clienti stessi potevano essere più impegnativi. Minder ha gestito tutte le comunicazioni da loro, attraverso un portale sicuro. Alcuni volevano modificare ogni messaggio agli hacker. Altri scoppiavano di rabbia o frustrazione. A volte sembra di negoziare in due direzioni contemporaneamente, con l’hacker da un lato e con la vittima dall’altro.

Quando è diventato chiaro che i casi di ransomware non stavano rallentando, Minder ha addestrato due dei suoi dipendenti come cyber negoziatori; uno di loro era Mike Fowler, un ex detective della narcotici del North Carolina. Lavorare sotto copertura aveva insegnato a Fowler come scivolare nel personaggio, che è parte integrante dell’essere un cyber negoziatore efficace.

Lo scorso novembre, Fowler era il negoziatore designato per una società di ingegneria edile. Quando si collegò al sito nel dark web, notò che il timer mostrava che erano già trascorsi tre giorni di negoziati. Nella chat box, era in corso una conversazione. Fower era scioccato: aveva davanti un’intera trattativa già in corso fatta molto male.

Chiunque avesse chattato per conto della società di ingegneria era conflittuale e aggressivo. Quando gli hacker hanno chiesto duecentomila dollari per sbloccare i file dell’azienda, il negoziatore ha inizialmente fatto una controfferta di diecimila dollari, per poi salire rapidamente a quattordicimila, poi a venticinquemila.

Quando Minder ha spiegato la situazione al suo cliente, l’uomo si è lasciato andare a una serie di imprecazioni. Poiché la trattativa era già stata pasticciata, c’erano poche possibilità che Minder potesse convincere gli hacker ad accettare un prezzo più basso. Il cliente ha chiesto a Minder di dire agli hacker di andare a quel paese, ma Minder ha riportato di aver “rispettosamente rifiutato”. Invece, l’azienda ha tentato di ricostruire i file dai backup e dalle vecchie e-mail. Minder ha incoraggiato il cliente a indagare su come è avvenuta la violazione, ma l’azienda sembrava disinteressata.

Conclusioni

Negli ultimi anni, i gruppi di hacker del ransomware hanno lavorato per rafforzare le loro immagini. DarkSide, il gruppo responsabile dell’hacking del sistema di Colonial Pipeline, aveva giurato che non avrebbe attaccato scuole, ospedali, pompe funebri o organizzazioni non profit; avrebbe preso di mira solo le grandi aziende.

In ottobre 2020, DarkSide ha rilasciato un comunicato stampa annunciando che aveva appena donato diecimila dollari in criptovaluta a due organizzazioni di beneficenza. “Non importa quanto male pensiate che il nostro lavoro sia, siamo felici di sapere che abbiamo aiutato a cambiare la vita di qualcuno”, ha scritto il gruppo.

Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

La tua Cyber Security via mail


cyberefund emblema bianco e arancione

Difesa e Risarcimento contro i Cyber Attack

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961

stripe metodi pagamento sicuri cyberefund