Cybersecurity-professionals die geacht worden te onderhandelen met ransomware-aanvallers, worden nu zelf belast met het faciliteren van ransomware-aanvallen. Het Amerikaanse ministerie van Justitie heeft aanklachten aangekondigd tegen twee werknemers van een onderhandelingsbureau voor cyberbeveiliging en een mede-samenzweerder voor het hacken en inzetten van ransomware.
De personen werkten voor DigitalMint, een bedrijf dat gespecialiseerd is in het onderhandelen met cybercriminelen namens organisaties die getroffen zijn door ransomware. Een derde verdachte, voorheen incidentresponsmanager bij een ander bedrijf, wordt beschuldigd van deelname aan de regeling. De aanklacht beweert dat de verdachten bedrijven hebben gehackt, vertrouwelijke bedrijfsgegevens hebben gestolen en ransomware hebben gebruikt die is ontwikkeld door de groep die bekend staat als ALPHV/BlackCat om slachtoffers af te persen.
Volgens de aanklachten hebben medewerkers van DigitalMint misbruik gemaakt van hun vertrouwde rol door netwerken van slachtoffers te infiltreren, gevoelige informatie te verkrijgen en vervolgens ransomware te lanceren tegen dezelfde doelen. Aanklagers beschrijven dit als een ernstig verraad aan het vertrouwen dat organisaties stellen in cybersecuritypartners. Het DOJ merkte op dat het gedrag “ongeoorloofd hacken, gegevensdiefstal en inzet van ransomware” omvatte onder het mom van onderhandelingsdiensten.
Deze zaak wijst op een verontrustende trend, aangezien actoren die als defensieve adviseurs of onderhandelaars zijn gepositioneerd, betrokken zijn bij offensieve operaties. Organisaties die externe bedrijven inschakelen om te onderhandelen met ransomware-tegenstanders, moeten mogelijk hun afhankelijkheden en controles opnieuw beoordelen. De dubbele rol van verdediger en aanvaller bemoeilijkt vertrouwens- en toezichtkaders in de toeleveringsketen van cyberbeveiliging.
Onderhandeling over ransomware is inherent high-stakes. Slachtoffers die via tussenpersonen met aanvallers in contact komen, hopen doorgaans de schade te minimaliseren, versleutelde systemen te herstellen en datalekken te voorkomen. Maar wanneer de onderhandelende partij medeplichtig is aan de aanvalsketen, ontstaat er een belangenconflict en ontstaan er nieuwe risico’s. Traditionele aannames over betrouwbare bemiddelaars zijn niet altijd meer van toepassing.
De aanklacht maakt niet het aantal slachtofferorganisaties of de totale verliezen bekend die door de vermeende regeling zijn veroorzaakt. Het benadrukt echter wel dat de gebruikte ransomware-variant, BlackCat/ALPHV, een productief hulpmiddel is in jachtcampagnes voor groot wild. Analisten hebben de groep gevolgd die betalingen van miljoenen dollars afperst en dreigt met het blootleggen van gegevens als de eisen niet worden betaald.
Voor organisaties die bij ransomware-incidenten afhankelijk zijn van onderhandelingsdiensten, komen er verschillende voorzorgsmaatregelen naar voren. Ten eerste moet due diligence bij onderhandelende bedrijven beoordelingen van onafhankelijkheid, toegangsrechten en incidentresponsgeschiedenis omvatten. Ten tweede moeten contractuele en technische controles de toegang van de onderhandelaar tot gevoelige omgevingen beperken totdat hun rol duidelijk is gedefinieerd en afgebakend. Ten derde moeten incidentresponsplannen rekening houden met scenario’s waarin de onderhandelingsdiensten zelf in het gedrang kunnen komen.
In een grotere context weerspiegelt de veranderende rol van onderhandelingsbureaus hoe ransomware-ecosystemen steeds complexer worden. Aanvallers versleutelen niet alleen gegevens en eisen betaling. Ze kunnen nu vertrouwen op vertrouwde partners, insiders of externe actoren die zich voordoen als verdedigers om eerste toegang te krijgen, zijwaarts te bewegen en afpersingscampagnes te lanceren. Dit verhoogt het organisatorische risico dat verder gaat dan de eerste inbraak en omvat ook de intermediaire toeleveringsketen van incidentrespons en onderhandeling.
Verdedigers moeten zich richten op het versterken van de zichtbaarheid van alle partijen die betrokken zijn bij een ransomware-incident, niet alleen de tegenstander, maar ook het netwerk van responders en onderhandelaars. Dit omvat het verifiëren van de referenties van onderhandelingsbureaus, het in realtime volgen van hun activiteiten en het onderhouden van incidentbeheerstructuren die onderhandeling scheiden van toegangs- en herstelrollen.
De aanklachten van het DOJ onderstrepen de noodzaak van regelgevend toezicht en professionele normen in de ransomware-onderhandelingssector. Naarmate de rol van onderhandelende tussenpersonen meer geformaliseerd wordt, kunnen er vragen rijzen over licenties, toezicht en ethiek. De zaak kan een precedent scheppen voor de manier waarop overheden en het bedrijfsleven de bredere markt voor incidentrespons reguleren.
Ransomware blijft een grote bedreiging, maar deze ontwikkeling verschuift een deel van het dreigingsoppervlak naar het rijk van vertrouwde services. Organisaties moeten onderhandelingsdiensten behandelen als onderdeel van het ecosysteem voor incidentrespons dat hetzelfde niveau van doorlichting en beveiliging vereist als elke andere leverancier met geprivilegieerde toegang. Als u dit niet doet, kan een hulpbron worden omgezet in een bedreigingsvector.