O que são negociadores de ransomware e como podem poupar-lhe muito dinheiro?
O ransomware é um dos riscos cibernéticos mais ameaçadores e de mais rápido crescimento atualmente. À medida que cresce, cresce também o negócio da proteção contra ele, levando ao aparecimento de novas profissões inteiramente centradas no combate a estes ataques de malware. O papel de um negociador de ransomware é um excelente exemplo.
Um negociador de ransomware pode não ser familiar para pessoas fora do sector das tecnologias da informação, uma vez que se trata de uma função emergente que ganhou destaque devido à crescente prevalência de ciberameaças.
O que é um negociador de ransomware?
O ransomware constitui uma categoria de malware particularmente perniciosa, que exige esforços concertados dos profissionais de cibersegurança para atenuar os seus efeitos nocivos. Os negociadores são especificamente treinados para se envolverem com os perpetradores, numa tentativa de travar os seus pedidos de resgate e aliviar a extensão dos danos infligidos aos sistemas ou redes afectados.
Os mediadores de ransomware estão normalmente associados a uma importante agência de cibersegurança que gere serviços de gestão de crises para inúmeras empresas. Ao serem informados de uma intrusão de vírus de extorsão, estes profissionais iniciam a comunicação com os perpetradores, enquanto outros especialistas trabalham diligentemente para descobrir informações adicionais sobre as circunstâncias ou conceber estratégias para contrariar a violação.
Um dos principais objectivos de um negociador em ataques de ransomware é obter condições mais favoráveis dos perpetradores, mas este não é o único objetivo. A recolha de informações valiosas é igualmente importante. Isto implica determinar quais os dados que foram comprometidos, as repercussões de ignorar o pedido de resgate, identificar os culpados por detrás do ataque e compreender o seu motivo. Estes conhecimentos facilitam uma estratégia de resposta eficaz.
Como funciona uma negociação de ransomware
Os procedimentos de negociação começam após a receção de uma mensagem que indica que as informações sensíveis foram capturadas e estão a ser mantidas como reféns, altura em que os mediadores de ransomware colaboram estreitamente com a divisão de Tecnologias de Informação da pessoa afetada e com especialistas em cibersegurança para identificar a extensão total do problema.
Ao investigar o impacto do ransomware nos seus dados, a equipa avalia se a organização mantém cópias de segurança. Também identificam a estirpe específica de ransomware envolvida para explorar potenciais métodos de desencriptação. Embora algumas variantes possam possuir chaves de encriptação recuperáveis, outras não permitem tais recuperações.Nestes casos, a equipa de negociação avalia as consequências da perda permanente dos dados comprometidos, o que ajuda a determinar o montante de resgate adequado que a empresa está preparada para pagar.
Em certos casos, o processo de negociação pode ser iniciado pela organização se esta determinar que o cumprimento do pedido de extorsão é do seu interesse. A comunicação com os criminosos ocorre normalmente através de correspondência eletrónica; no entanto, algumas empresas criminosas utilizam plataformas de conversação em tempo real para receber informações financeiras das vítimas com o objetivo de facilitar a transação do resgate.
Durante as negociações com os autores de ransomware, as partes envolvidas procuram reunir detalhes cruciais sobre o seu historial de desencriptação de dados após a receção de pagamentos, a fiabilidade de tais acções, bem como a metodologia subjacente à determinação do montante do resgate exigido. Além disso, podem ser feitas tentativas para reduzir o pedido monetário e prolongar o período de tempo em que o pagamento é esperado.
Caso as circunstâncias o justifiquem, o mediador será responsável por facilitar a transação final. O modo predominante de extorsão em incidentes de ransomware implica normalmente a transferência de fundos através de criptomoeda, exigindo assim a criação de uma carteira digital, que é frequentemente um processo pouco familiar para as empresas. Posteriormente, o oficial de ligação manterá a comunicação com o agressor até que todos os sistemas e dados tenham sido totalmente restaurados.
Porque é que um negociador de ransomware é essencial
Empregar um indivíduo especificamente designado como mediador de ransomware pode inicialmente parecer uma medida excessiva. No entanto, na realidade, esta posição tem uma importância significativa, particularmente para as organizações que possuem activos e recursos substanciais em risco.
Os ataques de ransomware são comuns
A principal razão pela qual os negociadores de ransomware são importantes é o facto de o ransomware estar a disparar. De acordo com um relatório da Statista de 2023 , os ataques de ransomware passaram de 304 milhões em 2020 para mais de 620 milhões em 2021.
O ransomware como serviço (RaaS) surgiu como uma nova tendência na cibercriminalidade, permitindo que indivíduos com conhecimentos técnicos limitados realizem ataques devastadores. Consequentemente, esses incidentes continuarão a multiplicar-se e a diversificar os seus alvos, constituindo uma ameaça cada vez mais perigosa para empresas de todas as dimensões. A proliferação exponencial de RaaS torna imprudente para qualquer organização presumir imunidade contra ataques de ransomware.
Ter acesso a um profissional especializado no caso de um ataque de ransomware pode facilitar muito uma resposta eficaz.Embora se espere que esses serviços não sejam necessários, não se pode subestimar o seu impacto no resultado, caso venham a ser necessários.
Negociadores informam respostas eficazes
Os mediadores de ransomware desempenham um papel crucial na orientação dos indivíduos através do processo de recuperação, identificando os melhores cursos de ação. Em situações em que os indivíduos não estão familiarizados com os protocolos de cibersegurança, as decisões precipitadas podem agravar os problemas. O envolvimento de profissionais especializados na recuperação de dados e na comunicação com agentes de ameaças atenua esses riscos, garantindo resoluções eficazes.
Na fase incipiente, um mediador de ransomware ajudará as empresas a determinar se é ou não prudente pagar um resgate. Além disso, têm a capacidade de identificar a estirpe específica de malware que infectou o seu sistema, permitindo assim procedimentos eficientes de desencriptação e restauro.
A negociação com cibercriminosos fornece informações valiosas aos negociadores. Ao examinar interacções anteriores, podem descobrir que a organização criminosa se baseou em conhecimentos internos da empresa alvo, uma tática comum em ataques de ransomware. Esta revelação realça a importância de implementar medidas de segurança interna robustas para evitar futuros incidentes. Além disso, ao dialogar com os atacantes, os negociadores podem discernir se os criminosos são ou não capazes de manter a sua palavra relativamente à desencriptação de dados, levando-os potencialmente a recomendar que não efectuem o pagamento.
As negociações podem reduzir os custos
O processo de negociação do ransomware também pode reduzir o custo de um ataque. CSO Online relata que, na experiência de alguns especialistas em segurança de ransomware, a maioria dos resgates acaba por ser uma pequena percentagem das exigências originais.
Os autores de ransonware reconhecem frequentemente que receber um pagamento mais modesto com certeza supera a tentativa de extorquir uma soma maior e arriscar-se a não obter qualquer retorno. Além disso, estes criminosos compreendem que negociações prolongadas diminuem a probabilidade de garantir qualquer indemnização. Assim, podem estar dispostos a ajustar as suas exigências nos casos em que são empregues esforços de colaboração.
Os especialistas em negociação possuem a capacidade de elucidar as facetas monetárias de uma organização, bem como as despesas associadas ao tempo de inatividade, de modo a garantir uma taxa mais justa. A tentativa de reduzir a taxa sem a assistência de tais profissionais pode resultar na perda de palavras ou no recurso a um discurso emotivo, o que pode ser contraproducente para alcançar os objectivos.
As negociações podem ganhar tempo
Essencialmente, as negociações de ransomware podem constituir uma oportunidade valiosa para os esforços de recuperação. Enquanto os negociadores comunicam com os cibercriminosos, outros especialistas podem, simultaneamente, conceber estratégias para reparar o sistema comprometido. O tempo adicional proporcionado por estas discussões permite que os esforços de recuperação sejam efectuados de forma mais eficaz, diminuindo assim os efeitos globais da violação de segurança.
Durante o processo de negociação, é aconselhável que ambas as partes envolvidas revejam minuciosamente os respectivos sistemas de cópia de segurança de dados em busca de quaisquer cópias disponíveis da informação encriptada. Este tempo adicional permite que os consultores jurídicos tenham a oportunidade de cumprir os requisitos da legislação relativa à divulgação de violações, informando todos os intervenientes relevantes em conformidade. Em determinadas circunstâncias, as empresas podem não ser capazes de cumprir esta obrigação de forma eficaz sem a assistência de um negociador qualificado.
Os negociadores de ransomware são cruciais
Negociar com indivíduos que se envolveram em actividades criminosas é geralmente considerado indesejável. No entanto, dada a crescente prevalência de ataques de ransomware e as complexidades envolvidas nestas situações, a utilização de um negociador qualificado pode ser um curso de ação prudente.
Os ataques de ransomware vieram para ficar e negociar com os cibercriminosos pode não os eliminar completamente; no entanto, pode ajudar a mitigar os seus efeitos negativos nas organizações, o que é uma consideração crucial nas operações comerciais actuais.