در چند سال اخیر، میزان مبلغ اخاذیشده توسط گروههای حرفهای باجافزاری افزایشی چشمگیر داشته است. یکی از اصلیترین عوامل موفقیت یک اخاذی موفق، تعیین مبلغی قابلقبول، چه از نظر مهاجمان باجافزار و چه از نگاه سازمان قربانی است.
شرکت Check Point در گزارشی جالب به بررسی روال تعیین میزان مبلغ باج از سوی این گروهها پرداخته که برگردان چکیدهای از آن در ادامه ارائه شده است.
صفر تا صد یک اخاذی
تهدید
پس از حمله، مهاجمان دادههای سرقتشده از قربانی را برای یافتن باارزشترین اطلاعات به دقت مورد بررسی قرار میدهند. آنها حساسترین فایلها را در یک صفحه غیرعمومی در سایت موسوم به Leak Site خود در دارک وب آپلود میکنند. سپس با ارسال یک پیام به قربانی او را تهدید میکنند که اگر با آنها وارد مذاکره نشود، فایلها در دسترس عموم قرار خواهند گرفت.
برای مثال، متن زیر اولین پیام ارسالی از سوی مهاجمان باجافزار Conti را به یکی از قربانیان نمایش میدهد:
Hello [victim company]!
We are Conti Group and want to inform that your company local network have been hacked and encrypted. We downloaded from your network more than 180GB of sensitive data. – Shared HR – Shared_Accounting – Corporate Debt – Departments. You can see your page in the our blog here [Tor link]. Your page is hidden. But it will be published if you do not go to the negotiations.
تعیین مبلغ اولیه
اکنون مهاجمان باید مبلغ اولیهای را برای اعلام به قربانی تعیین کنند. آنها برای این منظور، موارد زیر را در نظر میگیرند:
- توان مالی، معمولاً بر اساس درآمد سازمان قربانی
- ارزش دادههای سرقتی
- استفاده یا عدم استفاده سازمان قربانی از بیمه سایبری
- رویکرد و نگرش قربانی نسبت به مذاکره
همچنین شهرت و معروفیت مهاجمان و باجافزار بکار گرفته شده نیز در تعیین مبلغ، تأثیرگذار گزارش شده است.
در اکثر مواقع، میزان مبلغ اخاذیشده بین 0.7% تا 5% از سود سالانه سازمان قربانی است.
مذاکره
مهاجمان در ازای پرداخت سریع نیز معمولاً 20 تا 25 درصد به قربانی تخفیف می دهند. در عین حال میدانند که قربانی هم برای افزایش مهلت و هم برای کاهش مبلغ، چانهزنی خواهد کرد. برای مثال، متن زیر نمونهای از پیامی ارسالی از سوی یکی از قربانیان باجافزار Conti به مهاجمان است.
hello – we are going through the process of the committees required to make decision in this case. as you know we are a government public transport agency and there is not a single person who can make a decision here. can you allow us a couple pf extra days beyond the original 6 days you mention? also is there any more discount you can offer on the price because it changes many decision makers need to approve.
در پاسخ به این نوع چانهزنیها، مهاجمان با در نظر گرفتن شرایط مختلف ممکن است نظیر آن چه در زیر می بینید تا حدودی با قربانی همراهی کنند.
I think 1 more extra day will be enough. We think you are a people in a stressful situation, not a turtles. We are ready to give you a small discount, if you’ll be conscious in your behavior. Small discount – don’t wait for a serious price reduction.
توافق یا افشا
اگر قربانی همچنان از پرداخت باج سرباز بزند مهاجمان بخشی از اطلاعات سرقتی را بهصورت عمومی منتشر میکنند. در نهایت یا مهاجمان و قربانی به توافق میرسند و یا تمامی اطلاعات سرقتشده در Leak Site افشا میشود.
هزینه مخفی
به طور کلی خسارت مالی یک حمله باجافزاری رابطهای مستقیم با مدت زمان رخداد، از زمان آغاز رمزگذاری فایلها تا بازگردانی کامل اطلاعات دارد. اما میزان خسارت تنها محدود به آن نیست؛ از دست دادن اعتبار و اعتماد مشتریان در طولانیمدت زیانی بسیار بیشتر را متوجه سازمان میکند. به گفته Check Point میانگین زیان ناشی از یک حمله باجافزاری هفت برابر بیشتر از میانگین مبلغ پرداخت شده به مهاجمان است. زیانی که Check Point از آن با عنوان “هزینه مخفی” یاد میکند.
کلام پایانی
مؤثرترین راهکار در مقابله با تهدیدات مخرب باجافزاری، ابتدا آگاهی و در ادامه پیشگیری از ورود آنها به سازمان است.