Ransomware: Ποιοι παράγοντες επηρεάζουν τις απαιτήσεις λύτρων;

Του Νίκου Γεωργόπουλου, Digital Risks Insurance Broker – Μεσίτη Ασφαλίσεων Ψηφιακών Κινδύνων

Αυτή είναι μια εξαιρετικά κρίσιμη ερώτηση για κάθε επιχείρηση και για τον τομέα της κυβερνοασφάλισης γενικότερα. Οι απαιτήσεις λύτρων (ransom demands) επηρεάζονται από ένα πολύπλοκο πλέγμα παραγόντων που συνδέονται τόσο με τα χαρακτηριστικά του θύματος όσο και με τις εξελισσόμενες τακτικές των κυβερνοεγκληματιών.

Ακολουθούν οι βασικοί παράγοντες που επηρεάζουν τις απαιτήσεις και την πιθανότητα πληρωμής λύτρων:

1. Οι Νέες Τακτικές Εκβίασης (Multi-Extortion)

Ο τρόπος με τον οποίο οι επιτιθέμενοι κλιμακώνουν την πίεση είναι ο πιο σημαντικός παράγοντας για την αύξηση της πιθανότητας πληρωμής λύτρων:

• Υποκλοπή Δεδομένων (Data Exfiltration): Η υποκλοπή δεδομένων (data exfiltration) αναδεικνύεται ως κορυφαίος παράγοντας απώλειας. Η διπλή εκβίαση, η οποία περιλαμβάνει την υποκλοπή δεδομένων, έχει αντικαταστήσει τις καθαρά επιθέσεις κρυπτογράφησης.
• Αυξημένη Πιθανότητα Πληρωμής: Η υποκλοπή δεδομένων είναι ευκολότερη και ταχύτερη για τους επιτιθέμενους από την κρυπτογράφηση και αυξάνει την πιθανότητα πληρωμής λύτρων.
• Πολυεπίπεδη Εκβίαση: Οι επιτιθέμενοι χρησιμοποιούν πολύπλοκες μεθόδους πολλαπλής εκβίασης, οι οποίες περιλαμβάνουν ταυτόχρονη κρυπτογράφηση, κλοπή δεδομένων, και απειλές για κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS), δημιουργώντας πολλαπλά σημεία πίεσης για να αναγκάσουν τους οργανισμούς να πληρώσουν.
• Πωλήσεις Δεδομένων: Ορισμένες ομάδες ransomware πωλούν τα κλεμμένα «κοσμήματα του στέμματος» ή εμπιστευτικά εταιρικά δεδομένα σε πλειστηριασμό στις αγορές του dark web για να μεγιστοποιήσουν τα κέρδη τους.

2. Η «Οπλοποίηση» της Κανονιστικής Συμμόρφωσης

Μια αναδυόμενη και ισχυρή τακτική είναι η χρήση των νομικών και κανονιστικών υποχρεώσεων ως μοχλός πίεσης για την αύξηση των απαιτήσεων:

• Απειλή Αποκάλυψης Παραβάσεων: Οι ομάδες Ransomware απειλούν να αποκαλύψουν ότι μια εταιρεία παραβιάζει κανονισμούς. Αυτή η τακτική αυξάνει το διακύβευμα της φήμης και του πιθανού κόστους της επίθεσης, καθώς προστίθενται πρόστιμα από ρυθμιστικούς φορείς και νομικά έξοδα.
• Πολλαπλάσια Κόστη: Η απειλή μπορεί να είναι ότι, αν οι εταιρείες αρνηθούν να πληρώσουν, θα αναγκαστούν να πληρώσουν έως και 10 φορές περισσότερο στις Ρυθμιστικές Αρχές λόγω παραβάσεων.
• Στόχευση Κανονιστικά Ευαίσθητων Κλάδων: Αυτή η τακτική επικεντρώνεται σε κλάδους όπου οι κίνδυνοι συμμόρφωσης είναι υψηλοί, όπως η υγειονομική περίθαλψη και οι χρηματοπιστωτικές υπηρεσίες.

3. Χαρακτηριστικά του Στόχου

Οι επιτιθέμενοι επιλέγουν στόχους με βάση παράγοντες που τους δίνουν την μεγαλύτερη πιθανότητα για να εξασφαλίσουν πληρωμή:

• Οικονομική Δύναμη και Δεδομένα: Οι κυβερνοεγκληματίες αναζητούν εταιρείες με υψηλά έσοδα και μεγάλους όγκους προσωπικών δεδομένων.
• Ευπάθεια σε Διακοπή Λειτουργίας (Business Interruption): Οι οργανισμοί που είναι ευάλωτοι σε διακοπή εργασιών (όπως οι λιανοπωλητές λόγω της ανάγκης για συνεχή λειτουργία) παρέχουν μόχλευση κατά τη διατύπωση απαιτήσεων εκβίασης. Η απαίτηση λύτρων εξαρτάται από την επείγουσα ανάγκη αποκατάστασης κρίσιμων υπηρεσιών.
• Μέγεθος Επιχείρησης: Ενώ οι μεγάλοι οργανισμοί αντιμετωπίζουν υψηλότατα κόστη (μέγιστη απαίτηση $150M και πληρωμή $75M στα δεδομένα 2020-2024), οι επιτιθέμενοι στρέφονται προς μεσαίες και μικρότερες επιχειρήσεις (ΜμΕ), οι οποίες είναι λιγότερο προστατευμένες και αποτελούν ευκολότερο στόχο για τους επιτιθέμενους.

4. Αμυντικά Μέτρα και Διαπραγματευτική Ικανότητα

Η εταιρική  ετοιμότητα και οι ενέργειες που ακολουθούν την επίθεση επηρεάζουν άμεσα το τελικό ποσό των λύτρων:

• Διαπραγμάτευση: Η εμπλοκή εξειδικευμένων διαπραγματευτών (συχνά μέσω των ασφαλιστικών εταιρειών) είναι κρίσιμη. Η Coalition,μια ασφαλιστική εταιρία, για παράδειγμα, κατάφερε να διαπραγματευτεί μείωση της πληρωμής κατά 60% κατά μέσο όρο σε σχέση με την αρχική απαίτηση το 2024. Παρόλα αυτά, τα θύματα θα πρέπει να αναμένουν να πληρώσουν μεταξύ 50% και 80% της αρχικής απαίτησης.
• Ανθεκτικότητα και Ανάκτηση: Η ύπαρξη ισχυρών συστημάτων ασφαλείας και αντιγράφων ασφαλείας (backups) που δεν μπορούν να μολυνθούν, μειώνει την αποτελεσματικότητα των επιθέσεων και, ως εκ τούτου, τον λόγο για να πληρωθούν λύτρα.
• Ποιoς είναι ο επιτιθέμενος: Οι ομάδες επιτιθεμένων (ransomware groups) διαφέρουν σημαντικά ως προς τις τακτικές τους, την επαγγελματική τους συμπεριφορά, την πιθανότητα δημοσίευσης κλεμμένων δεδομένων και τη διαπραγματευτική τους επιθετικότητα. Η γνώση της ιστορίας της συγκεκριμένης ομάδας (π.χ., Akira, Black Basta, RansomHub) είναι κεντρικής σημασίας για την αποτελεσματική διαχείριση των διαπραγματεύσεων.
• Η Ανάγκη Εμπιστοσύνης: Η συμμετοχή ασφαλιστών ή διαπραγματευτών αυξάνει την πιθανότητα ότι το κλειδί αποκρυπτογράφησης θα λειτουργήσει σωστά και ότι η ανάκαμψη θα είναι πληρέστερη. Ωστόσο, η αξιοπιστία των εγκληματιών δεν είναι αμφίδρομη, καθώς δεν υπάρχει εγγύηση ότι θα διαγράψουν τα κλεμμένα δεδομένα, ακόμη και μετά την πληρωμή.

Συνοψίζοντας, η απαίτηση λύτρων καθορίζεται από τη δυνητική ζημία (impact) που μπορεί να προκαλέσει η επίθεση, συμπεριλαμβανομένης της διακοπής εργασιών και των νομικών συνεπειών, και από το πόσο καλά προετοιμασμένος είναι ο οργανισμός να αντιμετωπίσει την κρίση χωρίς να υποκύψει στην εκβίαση.