A szakértő Drew Schmitt szerint a tavalyi évben rekordszámú ransomware incidens történt, több mint 60 bűnbanda támadásai legalább 4500 áldozatot érintettek, és a folyamat látszólag töretlenül folytatódik. Csapatával rendszeresen részt vesz az áldozatok megbízásából a bűnözőkkel történő alkudozásban, egyeztetésben, ahol a veszteségek minimalizálására törekednek.
Ebben a szerepkörben Schmitt az összes jelentős zsarolóvírus-csapattal kapcsolatba került már, bőséges tapasztalattal rendelkezik.
A legújabb kényszerítő módszerek fokozzák a nyomást az áldozatokon, például a cégvezetőket közvetlen telefonhívásokkal sürgetik a fizetés miatt, vagy a megtámadott vállalatok ügyfeleit, üzleti partnereit is felkeresik célzott üzenetekkel. Az is előfordul, hogy az ellopott bizalmas adatok közül a legkényesebb - például orvosi, egészségügyi - fájlok publikálásával fenyegetnek, vagy egyes állományokat a nyomaték kedvéért fel is töltenek a netre.
A közvetítők-tárgyalók között is vannak bűnözők, akik tulajdonképpen a zsarolóvírus bandák cinkosai, és nem nyújtanak igazi segítséget az áldozatoknak, hanem inkább a váltságdíj fizetést sürgetik, segítik, abban közreműködnek. A valódi "túsztárgyalók" ezzel szemben hivatásos biztonsági szakértők, akik mindig az adott szituációt értékelve igyekeznek segíteni. Bár az általános vélekedés, és például az USA hatóságai is a fizetés és a tárgyalás megtagadására buzdítanak, ez nem mindig megfelelő taktika.
Mérlegelni kell például, hogy volt-e egyáltalán mentés, elérhető-e ingyenes helyreállító program, történt-e tényleg adatlopás vagy ez csak kamu, mekkora a leállás-szolgáltatáskimaradás okozta kár, hány szerver és munkaállomás tartalmazott valóban érzékeny adatot, mekkora a doxing fenyegetés (adatok kiszivárogtatása) valódi kockázata, az ellopott adatok miatt hogyan védhetők meg az ügyfelek, stb.
A közelmúltban történt ransomware csapatoknál lezajlott letartóztatásokkal kapcsolatban úgy nyilatkozott, hogy ez egyrészt megtört egy olyan mítoszt, miszerint ezek az elkövetők érinthetetlenek, és utolérhetetlenek, ám azt is látni kell, hogy az átmeneti leállások ellenére ezeknek hosszútávú kedvező hatását még egyelőre nem látni.
A bűnözői csoportok a házkutatások és őrizetbevételek után hamar átszerveződnek, a köréjük csoportosuló alvállalkozói kör gyakran másik ransomware csapathoz igazol át, például ezt láthattuk az Alpha, LockBit, RansomHub esetében is. Nyilván tovább kell erősíteni az együttműködést a nemzetközi bűnüldöző szervek között.
A váltságdíj fizetés USA-n belüli tervezett betiltásáról szólva úgy fogalmazott, természetesen mindent meg kell tenni a váltságdíj fizetés elkerülésére, hiszen azon túl, hogy ezzel bűnözőket támogatunk anyagilag, nem oldja meg a problémát, sőt erősíti-bátorítja.
A workaround megoldások keresése mellett hosszútávon az lenne a cél, hogy mindenhol megerősítsék az IT biztonsági feltételeket, a védekező képességeket, és megelőzzék-elkerüljék az ilyen incidenseket.
A legrosszabb helyzetben nyilván a kis- és középvállalkozások vannak, akiknek nincs elég erőforrásuk a megfelelő védelmi szint kiépítéséhez, és kiberbiztosítás megkötéséhez.
A teljes fizetési tilalomról és annak szabályozásáról maguk a tárgyalópartnerek is régóta vitatkoznak már. Annyi biztos, hogy a probléma túl összetett ahhoz, hogy egy szimpla tiltással mindez rövid úton megoldható legyen.
A legtöbb ransomware támadás statisztikailag még mindig meglévő ismert sebezhetőségeket, és gyenge biztonsági gyakorlatokat (le nem tiltott RDP, stb.) használ ki. A cégek gyakran spórolnak a biztonságon, vagy olcsó beszállítókra bízzák azt.
Ezt azért teszik, mert úgy vélik, az incidensekben az ő felelősségük nagyjából nulla, és a cégek hosszú távú hírnévkárosodása sem bizonyul tartósnak. Emiatt nekik egyszerűen olcsóbb figyelmen kívül hagyni a valódi problémát, és inkább biztosítást kötni, váltságdíjat fizetni.
