Bloomberg раскрыл подробности недельных переговоров между Калифорнийским университетом и бандой вымогателей NetWalker.
Медицинский факультет Университета работал над вакциной от Covid-19 в июне этого года, когда хакеры заблокировали семь его серверов.Вопреки совету ФБР университет взял дело в свои руки и провел частные переговоры.
Представитель университета использовал лесть, обратился к хакерам с чувством симпатии и этичности и сумел снизить сумму выкупа с 6 миллионов долларов до чуть более 1 миллиона долларов в биткоин (BTC) и успешно восстановил системы.
Сразу после этого переговорщик убедился, что на их стороне есть «оператор» хакера, призывая к уважению с обеих сторон: «Я готов с этим разобраться с вами, но должно быть взаимное уважение.Вы не согласны? ».Прежде чем дождаться ответа, они также обратились к гордости злоумышленника:
«Я читал о вас в Интернете и знаю, что вы являетесь известной группой хакеров-вымогателей и очень профессиональны.Я знаю, что вы сдержите свое слово, когда мы договоримся о цене, верно?
Похоже, это сработало, когда оператор ответил: «Мы на 100% уважаем, и мы никогда не проявим неуважение к клиенту, который с нами уважительно разговаривает».
Переговоры перешли к выяснению того, насколько предана делу каждая из сторон, а переговорщик плакал о беде и заявлял, что все средства были потрачены на исследования, а лишних не осталось.
Назвав очевидный блеф, оператор ответил, что школа, которая получает более 7 миллиардов долларов годового дохода, не должна иметь проблем с выплатой нескольких миллионов:
«Вы должны понимать, что вы, как большой университет […] можете собрать эти деньги за пару часов.Вы должны относиться к нам серьезно ».
Первое предложение университета составляло 780 000 долларов, и оператор тоже высмеивал его.«Оставьте эти 780 тысяч долларов на покупку McDonalds для всех сотрудников.Для нас это очень небольшая сумма », – добавил:« Прошу прощения ».
Больше времени – для обеих сторон
Как это обычно бывает в ситуациях с требованием выкупа, переговорщик попросил еще два дня, чтобы «университетский комитет, принимающий все решения», собрался снова.Оператор согласился с условием, что выкуп в размере 3 миллионов долларов будет удвоен до 6 миллионов долларов.
Специалист по переговорам о программах-вымогателях из Тель-Авива, Moty Cristal, сказал Bloomberg, что расширение могло оказаться полезным и для злоумышленников, дав им время определить ценность украденных данных.
Netwalker Group – это крупное преступное предприятие, которое сдает свое программное обеспечение в аренду по программе франчайзинга.В марте этого года группа разместила объявление о найме, добавив в свою сеть новых партнеров.
Получение личного
В этот момент, либо из отчаяния, либо в качестве психологической стратегии, переговорщик начал взывать к симпатиям оператора.«Я не спал пару дней, потому что пытаюсь понять это за вас, – сказали они, – меня все здесь считают неудачником, и это моя вина, что это происходит».
«Чем дольше это продолжается, тем больше я ненавижу себя […] Все, о чем я прошу, это чтобы ты был единственным в моей жизни прямо сейчас, чтобы относиться ко мне хорошо.Ты сейчас единственный в мире, кто точно знает, что я переживаю ».
Оператор вроде бы ответил: «Друг мой, ваша команда должна понять, что это не ваша ошибка.Каждое устройство в Интернете уязвимо ».
Через четыре дня после атаки переговорщик в конце концов вернулся с предложением на сумму более 1 миллиона долларов, заявив, что они нарушили свои внутренние правила, чтобы принять дополнительное пожертвование в размере 120 тысяч долларов на том основании, что переговоры подходят к концу.Они даже добавили цейтнот:
«Обычно мы не можем принимать эти пожертвования, но мы готовы заставить их работать, только если вы согласитесь как можно скорее положить этому конец».
Университет потратил 36 часов на организацию покупки 116 Биткоин (1,14 миллиона долларов) и отправку средств злоумышленникам.Еще два дня потребовалось хакерам, чтобы подтвердить удаление всех конфиденциальных данных и вернуть доступ университету.
После более чем восьми дней отсутствия доступа университет успешно получил полный доступ ко всем своим серверам.Однако серверы оставались отключенными, пока они расследовали инцидент с ФБР и другими консультантами по кибербезопасности.В последнем обновлении от 26 июня университет заявил, что расследование все еще продолжается.