Rzadka okazja, by zobaczyć, jak wyglądają negocjacje z szantażystami krok po kroku

dodał 1 sierpnia 2020 o 17:34 w kategorii Info, Włamania  z tagami:
Rzadka okazja, by zobaczyć, jak wyglądają negocjacje z szantażystami krok po kroku

Grzeczna i bardzo profesjonalna obsługa klienta. Szybka reakcja, pełne zrozumienie sytuacji, fachowa obsługa, a na koniec solidne rekomendacje. Czy to zdobywca Lauru Obsługi Klienta? Nie, to przestępcy stojący za ransomware.

Negocjacje w kwestiach zapłaty za odzyskanie danych z reguły mają nie ujrzeć światła dziennego – czasem jednak udaje się zdobyć zapis ich przebiegu. Właśnie wyciekła rozmowa w sprawie okupu dla autorów Ragnar Lockera, którym udało się zablokować 30 000 komputerów firmy CWT. CWT, znane kiedyś jako Carlson Wagonlit Travel, zajmuje się rezerwowaniem podróży dla pracowników setek największych firm na świecie. Aby móc kontynuować swoją misję, musiało zapłacić 4,5 mln dolarów szantażystom, a zapis negocjacji wyciekł do sieci.

Dzień dobry, w czym możemy pomóc

Zrzuty ekranu z negocjacji krążyły w „prywatnym obiegu” od czwartku, ale w piątek opublikował je na Twitterze Jack Stubbs. Nie wiemy, kto prowadzi rozmowę ze strony ofiary – podejrzewamy, że podobnie jak w wielu przypadkach może to być profesjonalny negocjator, wystawiony przez firmę ubezpieczeniową. Rozmowa przebiega tak.

Część 1

Przestępcy witają się, a ofiara przechodzi od razu do konkretów – czyli co mamy zrobić, by odzyskać swoje dane i usunąć je z serwera przestępców. Już po paru godzinach otrzymują odpowiedź – to będzie kosztowało 10 mln dolarów, o ile ofiara zdąży przed upływem wyznaczonego czasu. Przestępcy obiecują nie tylko skasowanie wykradzionych danych i odszyfrowanie danych zaszyfrowanych, ale także przekazanie rekomendacji odnośnie poprawy bezpieczeństwa sieci ofiary. Obiecują także odszyfrować dwa wybrane pliki ofiary.

Część 2

Na zrzutach ekranu, które nie zostały opublikowane na Twitterze, widzieliśmy, że ofiara faktycznie przesłała dwa pliki, które zostały odszyfrowane. W kolejnym etapie ofiara zaczyna negocjować – wspomina o „ofercie specjalnej”, dzięki której przy szybkiej reakcji cena może być niższa. Przestępcy przypominają, że koszty wycieku danych mogą być znacznie wyższe, ale by pokazać dobrą wolę, obiecują rabat w wysokości 20% – zatem 8 mln dolarów to ich kolejna propozycja.

Część 3

Ofiara, kontynuując negocjacje, proponuje kwotę 3,7 mln dolarów, wskazując, że 8 mln jest dla niej pułapem nie do osiągnięcia, biorąc pod uwagę obecną sytuację rynkową. Jednocześnie ofiara podkreśla, że kwota nie ma być obrazą dla zespołu przestępców i ich pracy. Przestępcy z kolei odpowiadają, że mogą dorzucić jeszcze 5% rabatu, ale za 4 mln mogą jedynie wysłać dekryptor – a druga rata pozwoli na skasowanie wykradzionych danych.

Kolejny nieopublikowany fragment to ciąg dalszy negocjacji, gdzie przestępca, po konsultacjach ze swoimi przełożonymi, zgadza się na ostateczną kwotę 4,5 mln dolarów za obie „usługi” – odzyskanie danych i skasowanie wykradzionych informacji.

Następnie ofiara jest proszona o przesłanie 1 BTC na wskazany portfel, a gdy wszystko idzie dobrze, ma przesłać brakujące 413 BTC. Ofiara przelewa środki zgodnie z prośbą przestępców. Portfel przestępców ma adres 13nmJ3SsNB5pSyQrmX3e6zveY9kHGw8Vs3 i widać na nim dwie opisywane transakcje w odstępie 35 minut.

Część 4

Przestępcy nie tylko przekazują ofierze dekryptor i dostęp do konta w serwisie hostingowym, na którym przechowywali wszystkie wykradzione dane, ale także przesyłają zestaw profesjonalnych (w większości) rekomendacji wskazujących, jak poprawić bezpieczeństwo sieci ofiary.

Część 5

Na koniec strony dziękują sobie nawzajem za profesjonalizm i dobrą współpracę. Przestępcy pozostają do dyspozycji w razie problemów technicznych.

10/10 za obsługę klienta, dalibyśmy się zaszyfrować jeszcze raz!