Firma-firma ini menjanjikan penyelesaian ransomware berteknologi tinggi-tetapi biasanya hanya membayar penggodam

Kisah ini pada asalnya diterbitkan oleh ProPublica. Ia muncul di bawah lesen Creative Commons.

Dari tahun 2015 hingga 2018, ketegangan ransomware yang dikenali sebagai SamSam melumpuhkan rangkaian komputer di seluruh Amerika Utara dan UK Ia menyebabkan lebih daripada $ 30 juta kerosakan kepada sekurang-kurangnya 200 entiti, termasuk bandar-bandar Atlanta dan Newark, New Jersey, Pelabuhan San Diego dan Pusat Perubatan Presbyterian Hollywood di Los Angeles. Ia mengetuk permintaan perkhidmatan air dan sistem pengebilan air di Atlanta, mendorong Jabatan Pengangkutan Colorado untuk memanggil Pengawal Kebangsaan, dan menangguhkan perlantikan dan rawatan perubatan untuk pesakit di seluruh negara yang rekod elektroniknya tidak dapat diambil. Sebagai balasan untuk memulihkan akses kepada fail, cyberattackers mengumpulkan sekurang-kurangnya $ 6 juta dalam tebusan.

"Anda hanya mempunyai 7 hari untuk menghantar kepada kami BitCoin," baca permintaan tebusan kepada Newark. "Selepas 7 hari, kami akan mengeluarkan kunci peribadi anda dan mustahil untuk memulihkan fail anda."

Pada sidang akhbar November lalu, Timbalan Peguam Negara, Rod Rosenstein mengumumkan bahawa Jabatan Kehakiman AS telah mendakwa dua lelaki Iran atas tuduhan penipuan kerana didakwa membangunkan ketegangan dan mengatur pemerasan itu. Banyak sasaran SamSam adalah "agensi awam dengan misi yang melibatkan menyelamatkan nyawa," dan penyerang merosakkan kemampuan mereka untuk "memberikan penjagaan kesihatan kepada orang yang sakit dan cedera," kata Rosenstein. Para penggodam "tahu bahawa mematikan sistem komputer boleh menyebabkan kemudaratan besar kepada mangsa yang tidak bersalah."

Dalam satu kenyataan pada hari itu, FBI mengatakan bahawa "pelaku jenayah" adalah "dari jangkauan penguatkuasaan undang-undang AS." Tetapi mereka tidak dapat dicapai oleh sebuah syarikat Amerika yang mengatakan ia membantu mangsa mendapatkan semula akses kepada komputer mereka. Pembaharuan Data Terbukti di Elmsford, New York, pembayaran tebusan secara kerap dibuat kepada penggodam SamSam lebih daripada satu tahun, menurut Jonathan Storfer, bekas pekerja yang menangani mereka.

Walaupun urus niaga bitcoin dimaksudkan untuk menjadi tanpa nama dan sukar untuk dikesan, ProPublica dapat mengesan empat pembayaran. Dihantar pada tahun 2017 dan 2018, dari dompet dalam talian yang dikawal oleh Terbukti Data kepada yang ditentukan oleh penggodam, wang itu kemudian dibasuh melalui sebanyak 12 alamat bitcoin sebelum mencapai dompet yang dikekalkan oleh orang Iran, menurut analisis oleh bitcoin yang mengesan firma Rantai di permintaan kami. Pembayaran kepada destinasi matawang digital dan yang lain yang dikaitkan dengan penyerang diharamkan oleh Jabatan Perbendaharaan Amerika Syarikat, yang memfailkan sekatan yang mensasarkan rejim Iran.

"Saya tidak akan terkejut sekiranya sejumlah besar ransomware kedua-dua keganasan dibiayai dan jenayah terancang," kata Storfer. "Jadi persoalannya, setiap kali kita terkena SamSam, dan setiap kali kita memfasilitasi pembayaran-dan di sinilah ia menjadi sangat licik-apakah itu bermakna kita secara teknikal membiayai keganasan?"

Data Terbukti berjanji untuk membantu mangsa ransomware dengan membuka kunci data mereka dengan "teknologi terkini", mengikut e-mel syarikat dan bekas klien. Sebaliknya, ia memperoleh alat penyahsulitan dari cyberattackers dengan membayar tebusan, menurut Storfer dan afidavit FBI yang diperoleh oleh ProPublica.

Satu lagi syarikat AS, MonsterCloud yang berpangkalan di Florida, juga mengaku menggunakan kaedah pemulihan datanya sendiri tetapi sebaliknya membayar tebusan, kadang-kadang tanpa memaklumkan mangsa seperti agensi penguatkuasaan undang-undang tempatan, ProPublica telah menemui. Firma-firma serupa dengan cara lain. Kedua-dua pihak bertanggungjawab membayar yuran yang besar di atas jumlah tebusan. Mereka juga menawarkan perkhidmatan lain, seperti pelanggaran pengedap untuk melindungi daripada serangan masa depan. Kedua-dua firma itu telah menggunakan alias untuk pekerja mereka, bukan nama sebenar, dalam berkomunikasi dengan mangsa.

Pembayaran ini menggariskan kekurangan pilihan lain untuk individu dan perniagaan yang hancur oleh ransomware, kegagalan penguatkuasaan undang-undang untuk menangkap atau menghalang penggodam, dan keburukan moral sama ada membayar tebusan mendorong pemerasan. Memandangkan sesetengah mangsa adalah agensi awam atau menerima pembiayaan kerajaan, wang pembayar cukai boleh berakhir di tangan penjenayah siber di negara-negara yang bermusuhan dengan AS seperti Rusia dan Iran.

Berbeza dengan Data Terbukti dan MonsterCloud, beberapa firma lain, seperti Coveware yang berpangkalan di Connecticut, secara terbuka membantu pelanggan mendapatkan kembali akses komputer dengan membayar penyerang. Mereka membantu mangsa yang sanggup membayar tebusan tetapi tidak tahu bagaimana untuk berurusan dengan bitcoin atau tidak mahu menghubungi penggodam secara langsung. Pada masa yang sama, Coveware bertujuan untuk menghalang jenayah siber dengan mengumpul dan berkongsi data dengan penguatkuasa undang-undang dan penyelidik keselamatan, Ketua Pegawai Eksekutif Bill Siegel.

Siegel merujuk kepada segelintir firma di seluruh dunia, termasuk Data Terbukti dan MonsterCloud, sebagai "kilang bayaran ransomware." Mereka "memperlihatkan betapa mudahnya para perantara dapat memanfaatkan emosi mangsa ransomware" dengan pengiklanan "dekripsi terjamin tanpa perlu membayar penggodam, "Katanya dalam catatan blog. "Walaupun mungkin tidak menyalahi undang-undang untuk membongkar bagaimana data yang dienkripsi pulih, ia pastinya tidak jujur ​​dan pemangsa."

Ketua Eksekutif MonsterCloud Zohar Pinhasi berkata bahawa penyelesaian pemulihan data syarikat berbeza dari kes ke kes. Dia enggan mendiskusikan mereka, mengatakan mereka adalah rahsia perdagangan. MonsterCloud tidak menyesatkan pelanggan dan tidak pernah menjanjikan mereka bahawa data mereka akan pulih dengan cara tertentu, katanya.

"Alasan kami mempunyai kadar pemulihan yang tinggi adalah kita tahu siapa penyerang ini dan kaedah pengoperasian mereka yang biasa," katanya. "Para korban serangan tidak boleh menghubungi mereka sendiri dan membayar tebusan kerana mereka tidak tahu siapa yang mereka hadapi."

Di laman webnya, Data Terbukti mengatakan ia "tidak menghormati atau menyokong membayar tuntutan pelaku kerana mereka boleh digunakan untuk menyokong kegiatan jenayah jahat lain, dan tidak pernah ada jaminan untuk mendapatkan kunci tersebut, atau jika diperoleh, mereka mungkin tidak berfungsi. "Membayar tebusan, katanya, adalah" pilihan pilihan terakhir. "

Walau bagaimanapun, ketua eksekutif Victor Congionti memberitahu ProPublica dalam e-mel yang membayar penyerang adalah prosedur standard pada Data Terbukti. "Misi kami adalah untuk memastikan pelanggan dilindungi, fail mereka dipulihkan, dan penggodam tidak dibayar lebih daripada minimum yang diperlukan untuk melayani pelanggan kami," katanya. Kecuali penggodam menggunakan varian yang ketinggalan zaman yang mana kunci penyahsulitan tersedia secara terbuka, "kebanyakan strain ransomware mempunyai penyulitan yang terlalu kuat untuk dipecahkan," katanya.

Congionti berkata bahawa Data Terbukti membayar penyerang SamSam "ke arah pelanggan kami, yang sebahagiannya adalah hospital di mana kehidupan boleh berada di garisan." Ia berhenti berurusan dengan penggodam SamSam selepas kerajaan AS mengenal pasti mereka sebagai Iran dan mengambil tindakan terhadap mereka, katanya. Sehingga itu, katanya, syarikat itu tidak tahu mereka bergabung dengan Iran. "Dalam keadaan apa pun, kita tidak akan menyalahgunakan orang atau entiti yang disekat," katanya.

Dasar Data yang terbukti untuk mendedahkan pembayaran wang tebusan kepada pelanggan telah "berkembang dari masa ke masa," kata Congionti. Pada masa lalu, syarikat memberitahu mereka ia akan menggunakan apa-apa cara yang perlu untuk mendapatkan data, "yang kami lihat sebagai merangkumi kemungkinan membayar wang tebusan," katanya. "Itu tidak selalu jelas kepada beberapa pelanggan." Syarikat itu memberitahu semua mangsa SamSam bahawa ia telah membayar wang tebusan dan kini "benar-benar telus sama ada wang tebusan akan dibayar," katanya.

"Adalah mudah untuk mengambil kedudukan bahawa tiada siapa yang perlu membayar wang tebusan dalam serangan ransomware kerana pembayaran sedemikian menggalakkan serangan ransomware masa depan," katanya. "Lebih sukar, bagaimanapun, untuk mengambil kedudukan itu apabila data anda telah disulitkan dan masa depan syarikat anda dan semua pekerjaan pekerja anda berada dalam bahaya. Ini adalah dilema moral klasik. "

Tonton video itu: Week 10 (Disember 2019).