ランサムウェア攻撃者とのプロの交渉担当者が語る身代金の支払いプロセスについて

2021/04/07 セキュリティーニュース
logo

情報セキュリティコンサルティング会社Arete Incident Response社のマネージングディレクターであるMarcBleicher氏は、米国の組織がランサムウェア事業者に身代金を支払う方法に光を当てました。

 

 Bleicher氏は、クライアントに代わって、身代金の支払いと暗号化されたデータの回復についてランサムウェア攻撃者と交渉します。 企業がサイバー犯罪者に支払うことを決定した場合、ハッカーと交渉し、必要なすべての取引を実行するのは彼の役割です。

 

「一部のクライアントは非常に腹を立てています。 多くのクライアントもショックを受けています」と専門家はCNBCとのインタビューで語りました。 しかし、彼らはみんな共通の目標を持っています-「出血を止めて、できるだけ早くそれを乗り越えること」。

 

 企業が強奪者に支払った数億ドルはすでにBleicher氏の手に渡っており、身代金は増え続けています。 たとえば、最近、強奪者グループの1つが、クライアントのArete Incident Response社に7000万ドルを要求しました。同社は、攻撃者との合意なしにそれを行うことができましたが、専門家によると、必要な金額が非常に高い場合でも、強奪者はほとんどの場合交渉の準備ができています。

 

ダークネットのチャットで、強奪者との交渉が行われています。 交渉中、Bleicher氏は画面の反対側に誰がいるのかわかりませんが、強奪者は彼のクライアントをよく知っています。 上場企業の場合、彼らの年間収入を知っており、これに基づいて買戻し額を計算します。 さらに、ハッカーは、財務諸表へのアクセスを含め、攻撃された企業がどのように行動しているかの全体像を把握しています。

 

 ただし、身代金の額は、組織の規模だけでなく、データの機密性のレベルにも影響されます。 たとえば、法律事務所の従業員は12人以下ですが、そのクライアントは政治家である場合があります。その場合、身代金の金額はFortune50の会社に必要な身代金額を超えます。

 

Bleicher氏によると、企業は詐欺師に支払うことをいとわないことが多いが、米国政府によって認可されたテロリストや個人/組織に支払うことには消極的だという。 したがって、Arete Incident Response社が行う最も重要なことは、米国財務省の外国資産管理局に、支払うエンティティが制裁の対象となる組織と関係があるかどうかを明確にすることです。 したがって、情報セキュリティ会社は、米国法の意図しない違反から顧客を保護することができます。

 

しかし、少なくともアメリカの企業幹部にとっては良いニュースがあります。 専門家が指摘したように、泥棒は彼らの名誉の規範を守り、企業が身代金を支払うとき、彼らはほとんど常に彼らとの約束を守ります。 実際、彼らのビジネス全体は評判に基づいています-もし彼らがデータを1人の犠牲者に返さなければ、2番目の犠牲者は単に彼らに支払わないでしょう。

 

 Arete Incident Response社によると、最大の金額はランサムウェアオペレーターのRyuk(平均120万ドル)とMaze(平均923,000ドル)によって請求されています。さらに、金額は攻撃された組織の活動の性質によって大幅に異なります。 たとえば、医療機関は平均14万ドル、金融機関は21万ドルを支払います。最大の強奪者は、テクノロジー、エンジニアリング、電気通信会社に100万ドル以上を要求します。