В отговор на нарастващото недоволство в организацията LockBit нейните ръководители промениха начина, по който ще преговарят с жертвите на рансъмуер занапред.
Ръководството на LockBit изрази загриженост относно ниския процент на плащане от страна на организациите, а когато те плащат, сумите, събирани от филиалите, се считат за твърде ниски.
Непоследователността на преговорите също е предмет на спорове сред ръководителите. В редиците на LockBit съществува убеждението, че по-малко опитните филиали не успяват да получат очакваното минимално плащане от жертвите и твърде често предлагат нерегламентирани отстъпки.
Преди влизането в сила на промяната на правилата през октомври нямаше почти никакви кодифицирани правила или насоки за водене на преговори. Партньорите бяха оставени изцяло на собствената си воля и непоследователните преговори доведоха до увеличаване на броя на жертвите, отказващи да платят откуп.
Това се дължи до голяма степен на факта, че по-малко опитните филиали на групата предлагат отстъпки, които са твърде големи в сравнение със сумата на откупа. Освен това реагиращите на инциденти, които следят преговорите на групата, записват тези данни и ги използват срещу нея.
Когато преговарящите смятат, че могат да получат по-голяма отстъпка при взаимодействие с по-опитни филиали, тъй като предишни атаки са показали, че такава може да бъде предложена, тези преговарящи прекратяват преговорите и изобщо отказват да платят. Те чувстват, че получават лоша сделка, а престъпниците в крайна сметка не получават пари.
В някои случаи от LockBit казват, че са виждали филиали, които предлагат отстъпки до 90 % само за да могат да получат плащане – нещо, което влияе на по-опитните престъпници, които предлагат по-малко агресивни отстъпки, да не могат да събират откупите си.
Ето защо LockBit въведе насоки, които филиалите да следват, както и правила относно максималните отстъпки, които могат да се предлагат, и колко ниско могат да отидат преговорите спрямо първоначалната сума на откупа.
Според информация, събрана от магазина за сигурност Analyst1, през септември LockBit е публикувала проучване, в което е предложила на афилиатите възможност да гласуват за потенциални промени в правилата, като е отбелязала разочарованието на групата.
Тя е предоставила на филиалите шест варианта, от които да избират:
- Да оставят всичко както е. Афилиатите установяват свои собствени правила без ограничения, както винаги е било.
- Установяване на минимално искане за откуп в зависимост от годишните приходи на компанията, например в размер на 3%, и забрана на отстъпки над 50%. Така, ако приходите на компанията са 100 милиона долара, първоначалното искане на откуп трябва да започва от 3 милиона долара, като крайното изплащане трябва да е не по-малко от 1,5 милиона долара.
- Не прилагайте никакви ограничения за минималната изискуема сума, тъй като тя зависи от щетите, нанесени на жертвата. Максималната отстъпка обаче не трябва да бъде повече от 50 процента. Например, ако първоначалният откуп е определен на 1 млн. долара, филиалите не могат да приемат плащания, по-малки от 500 000 долара.
- Забранете всякакви плащания, по-малки от сумата, с която е застрахована жертвата, ако бихте могли да намерите киберзастраховка.
- Забранете всякакви плащания, по-малки от 50 % от сумата, за която е застрахована жертвата, ако можете да намерите киберзастраховка.
- Други предложения, които имате предвид.
След това LockBit се спря на две правила, които ще ръководят всички бъдещи преговори, считано от 1 октомври.
Първото беше размерът на плащането на откупа и начинът, по който филиалите трябва да определят първоначалната сума пропорционално на годишните приходи на жертвата.
- Приходи до 100 млн. долара – откупът трябва да е между 3 и 10 процента
- Приходи до 1 милиард долара – откупът трябва да е между 0,5 и 5 процента
- Приходи над 1 милиард долара – откупът трябва да е между 0,1 и 3 процента
Въпреки че сумата на откупа в крайна сметка все още се определя по преценка на партньора и „каквато сума изглежда справедлива“, според LockBit горните насоки трябва да се следват при сценариите за внедряване на откуп в учебници.
Филиалите могат да коригират откупите, ако не успеят да унищожат резервните копия на жертвата, например.
Второто правило се отнася до отстъпките, които се предлагат от филиалите. Макар че сумата на откупа все още може да се определя донякъде по преценка на филиала, сега той има много по-малък лиценз за раздаване на отстъпки, като е определен твърд максимум от 50 %.
„От 1 октомври 2023 г. е строго забранено да се правят отстъпки в размер на повече от 50 процента от първоначално поисканата сума в кореспонденцията с атакуваната компания по време на процеса на преговори“, се казва в съобщение на LockBit, изпратено до афилиатите и споделено с Analyst1.
„За тези, които имат стоманен характер, знаят как да определят сумата на откупа, която компанията ще плати с голяма вероятност, и почти никога не правят големи отстъпки, моля, имайте предвид това правило и коригирайте сумата на откупа с размера на максимално допустимата отстъпка. Размерът на откупа все още се определя по ваша преценка в размер, който ви се струва справедлив.
„Моля, спазвайте стриктно правилата и се опитайте да се придържате към препоръките, доколкото е възможно.“
Анализатор1 цитира предишни разговори между LockBit и The Register като пример за тези нови политики в действие.
Когато в началото на октомври преговорите между гиганта CDW, занимаващ се с дистрибуция, и LockBit се провалиха, говорителят на групата за рансъмуер за Windows ни каза, че по негови изчисления годишният приход на CDW е 20 млрд. долара и предложението му за плащане е твърде ниско.
„Веднага щом таймерът изтече, ще можете да видите цялата информация, преговорите са приключили и вече не се водят“, заяви тогава говорителят на LockBit. „Отказахме предложената смешна сума“.
В съответствие с новите насоки за откупите на LockBit при оценка от 20 млрд. долара исканият откуп ще бъде определен между 20 млн. и 6 млрд. долара.
LockBit публикува в блога си за изтичане на информация, че CDW й е предложила само 1,1 млн. долара като откуп в отговор на поисканите 80 млн. долара – предложение, което очевидно е сметнато за обидно.
„Продължаващата битка между групите за откуп и техните потенциални жертви подчертава необходимостта от внимателно следене на новите събития в този постоянно развиващ се пейзаж“, заяви Analyst1.
„Ключовият извод от този анализ е признанието, че всеки случай с LockBit може да бъде по своята същност уникален, най-вече поради вътрешната организационна структура. Един от най-отличителните фактори е, че филиалите, които са отговорни за самото нарушение, са и тези, които стоят зад преговорите. Какво означава това? Всеки път, когато преговарящият се ангажира с нов случай, той може да има работа с различно лице.
„Човешкият фактор, включващ психологически нюанси и различни нива на опит, оказва значително влияние върху процеса на преговаряне. Ето защо засегнатите субекти трябва да се адаптират и да се ориентират ефективно в тези променливи, за да увеличат шансовете си за успешно решение в сложния пейзаж на смекчаване на LockBit атаките.“ ®