Более половины компаний, подвергшихся кибератакам, платят хакерам выкуп и избегают попадания истории в СМИ, об этом свидетельствую данные «Лаборатории Касперского», занимающейся кибербезопасностью.
Компании, производящие системы охраны данных, хотят избежать утечки личных данных и снизить сумму требуемого выкупа. Для этого они ввели новую практику — переговоры с киберпреступниками. Об этом написал журнал The New Yorker.
Руководителю компании GroupSense Кертису Майндеру часто приходят сообщения о взломах с требованием выкупа — от строительной фирмы, пивоварни, типографии или компании, занимающейся веб-дизайном. К сообщению обычно прилагается ссылка на сайт в даркнете, на которой есть обратный отсчет, пока данные не будут уничтожены или слиты в сеть, и чат для общения с вымогателями.
В прошлом году, с переходом на удаленку, ситуация ухудшилась до чрезвычайного положения: хакеры атаковали производителей вакцин, лаборатории, школы и простые компании, которые пытались перевести всю работу в онлайн. В мае атака группы вымогателей DarkSide привела к панике и росту цен на бензин — киберпреступники захватили сайт нефтяной компании Colonial Pipeline, которая поставляет топливо на большую часть Восточного побережья.
Через неделю, вопреки советам ФБР, компания заплатила вымогателям 4,4 миллиона долларов. Это, по мнению правоохранителей, стимулирует преступников на новые атаки. На восстановление данных могут потребоваться месяцы, а за утечку данных организациям грозят крупные штрафы. Генеральный директор некоммерческого института безопасности и технологий Филип Райнер считает, что просто не платить — это не выход, например, в ситуациях с больницами: «Что они должны делать, просто отключиться и дать людям умереть?»
Такой рост кибервымогательства привел к появлению новой профессии: с 2014 года Майндер и его коллеги, которые кроме английского говорят на русском, украинском и урду, ведут переговоры с вымогателями и помогают пострадавшим увеличить сроки или уменьшить размеры выкупа. По данным ФБР, к 2015 году в США происходило около тысячи кибератак в день, в 2016 — уже в четыре раза больше. У Майндера много клиентов, но несмотря на востребованность, его компанию часто обвиняют в пособничестве хакерам.
Система стала невероятно коммерциализированной — хакеры строят сложные системы передачи выкупа, средний размер которого к 2020 году составлял двести тысяч долларов, вводят системы скидок для тех, кто вовремя заплатит, и нанимают собственных представителей для переговоров. Однако в общении они демонстрируют смесь юношеского позерства и профессионализма: им нравятся отсылки к видеоиграм и слово «зло», а политику большинство из них не признают. Если компании отказываются от переговоров — начинают угрожать передать конфиденциальные данные СМИ или продать их с аукциона на черном рынке.
Тем не менее, сейчас среди хакеров растет тенденция на положительный имидж. Например, в октябре 2020 года группа хакеров DarkSide, пообещала, что не будет атаковать школы, больницы, похоронные бюро и некоммерческие организации и сосредоточится на крупных финансовых корпорациях. После этого хакеры пожертвовали десять тысяч долларов в криптовалюте на благотворительность.
Чтобы работать в этой сфере, Майндер изучал советы по ведению переговоров, смотрел уроки, мастер-классы и читал книги бывших переговорщиков с террористами. Он понял, что ему следует избегать встречных предложений, которые могут показаться ложными, и что он не должен идти на уступки без объяснения причин. Однажды он даже похвалил хакера за профессиональный взлом, чтобы сократить размер выкупа — и это сработало.
Часто переговорщики требуют процент от суммы сделки в оплату, но в GroupSense берут почасовую оплату. Переговоры, при этом, могут затянуться от нескольких часов до нескольких недель, а научить этому ремеслу, по словам Майндера, довольно сложно.
Решающую роль играют первые сообщения, и часто владельцы компаний начинают ругать хакеров, а тех это раздражает. Майндер же задает разговорам теплый снисходительный тон: «Типа, мы друзья, но вы на самом деле не знаете, что делаете». Его девушка, которая говорит на румынском, русском, украинском и немного литовском языках, помогла ему найти разговорные выражения, которые задали бы правильный тон. Например, русских хакеров он называет «кузнечиками». Также, по совету бывшего сотрудника ФБР Криса Восса, Майндер устанавливает «тактическую эмпатию», копируя языковые модели хакера.
Благодаря многолетнему опыту, он может с первых сообщений определить, как пройдут переговоры, и сообщить об этом заказчикам. Часто, по его словам, сами клиенты хотят редактировать каждое сообщение хакерам. «Иногда переговоры ведутся сразу в двух направлениях — с хакером и с жертвой», — говорит Майдер. Переговорщик, по его словам, должен обладать эмпатией, но и уметь давать указания без конфронтации.
