Travel Management Company CWT betaler $ 4,5 millioner for å få filene låst opp
Det finnes utallige studier som bruker et bredt spekter av forskjellige metoder for å beregne kostnadene for et ransomware-angrep for offeret. Disse forskningsartiklene tar mange faktorer i betraktning, men bildet kan aldri være så tydelig som det er når du ser angrepet utfolde seg fra første hånd. I forrige uke Reuters' Jack Stubbs fikk så nær dette som mulig. Han fikk hendene på skjermbilder som viser kommunikasjonen mellom ransomware-operatører og ansatte i et reiseadministrasjonsselskap kalt CWT, og han kan nå fortelle oss at, i rent monetære termer, i det minste, kostet dette angrepet 4,5 millioner dollar.
Table of Contents
Ragnar Locker treffer CWT dårlig
Overraskende eller ikke er CWT ikke spesielt opptatt av å snakke om hendelsen. I en uttalelse til Reuters sa selskapet at alt var tilbake til det normale etter en midlertidig stans av alle systemene. Etterforskningen var i sine tidlige stadier da selskapet snakket med Reuters i forrige uke, men tilsynelatende, den gangen, var det ingen bevis for at kundeinformasjon ble utsatt. Jack Stubbs 'rapport antyder imidlertid at hendelsen var mye mer alvorlig.
I følge den ble reiselivsselskapet rammet av ransomware fra Ragnar Locker. Som alltid, etter å ha kryptert mange verdifull informasjon, etterlot ransomware en lapp, som inkluderte en måte å kontakte cyberkriminelle som var ansvarlige for angrepet. Kommunikasjonen ble gjort via en direktemeldingsplattform, og skjermdumpene viser at CWT-representantene i begynnelsen ikke var helt sikre på hva som hadde skjedd. Crooks fortalte at de hadde kryptert filene på over 30 tusen enheter koblet til CWT-nettverket og hadde også stjålet kopier av regnskap, ansattes personopplysninger og andre sensitive dokumenter.
Med andre ord, CWT trengte ikke bare å få låst opp filene sine for å gjenoppta normal drift, men det måtte også bekymre seg for at mange sensitive data ble lekket av ransomware-operatørene.
Skurkene viser litt forståelse
For å få dataene tilbake og forhindre lekkasje, trengte CWT å betale 10 millioner dollar i bitcoins. Skrikene påpekte rettmessig at selv om de ber om et alvorlig beløp, vil løsepenger sannsynligvis være betydelig mindre enn kostnadene forbundet med omdømmeskadene og søksmål som kan følge eksponering av informasjon.
CWT har ikke offisielt kunngjort om det holder sikkerhetskopi av dataene eller ikke, men skjermdumpene Reuters la ut viser at selskapet var villig til å samarbeide ganske mye fra starten. CWT-representanten påpekte imidlertid at 10 millioner dollar er et stort spørsmål, spesielt midt i en pandemi som forårsaker enestående skader på reisebransjen.
Bemerkelsesverdig nok viste ransomware-operatørene litt forståelse og gikk med på å forhandle fram en mer akseptabel pris. Etter hvert nøyde de seg med 4,5 millioner dollar.
Konsekvensene av å gjøre forretninger med kjeltringene
CWT har ennå ikke publisert en offisiell uttalelse angående angrepet, men Reuters 'rapport antyder at betalingen ble behandlet, og selskapet fikk sin dekrypteringsnøkkel. Det er åpenbart at forhandlinger med kriminelle og betaling av løsepenger alltid burde være den siste utveien, og vi er ganske sikre på at CWT hadde brukt alle andre alternativer før vi gikk med på å overføre bitcoins. Til tross for at det faktum at selskapet ble rammet dette dårlig, viser at det ikke var veldig godt forberedt på et ransomware-angrep, og dette vil antagelig ha innvirkning på omdømmet. Det er et annet potensielt problem også.
Under forhandlingene lovet skurkene at når de mottar løsepenger, vil de sende et dekrypteringsverktøy og også slette informasjonen de har stjålet fra CWT. Dessverre er en anonym chat-samtale ikke et juridisk bindende dokument, spesielt når personen på den andre enden av tastaturet driver med nettkriminell virksomhet. Crooks sendte dekrypteringsverktøyet, men ingen kan si sikkert om de holdt løftet og slettet den stjålne informasjonen. CWT har ikke noe annet valg enn å ta ordet for det, som du kan hevde ikke alltid er den beste strategien.
