Ransomware-grupp kräver Acer på 400 miljoner kronor

Det var då inga småpengar.

Funderar dock på hur värdefull informationen faktiskt är då Acer inte har betalat än.🤔

/Lifooz

Samtidigt får ju ’utpressarna’ bara 0$ om Acer inte betalar.

Hoppas de har säkrade backups och inte förlorar allt för mycket. 40-100M$ låter extremt högt, antingen så vet de att de lyckats på en riktigt seriös nivå, eller så chansar de med en sån extrem siffra för att de ska börja förhandla?

Jag har svårt att se vilken typ av information som ska kunna vara värd så mycket...

Handlar ju om 2 saker... själva stölden av data ser jag ju som betydligt allvarligare än att det är krypterat.
Förstår om Acer först vill ta reda på vad som är borta innan man öht tar ställning.

Ransomware som hindrar en tillgång till ens data är bara ett oväntat problem om man redan gjort fel med ens IT säkerhet. Gäller såväl företag som privatpersoner.

När ska någon lära sig?...

EDIT med förtydligande: Specifikt ransomware delen och inte exfiltrationen. Förklaring med TL;DR backups.

Även om man betalar så har man bara "deras ord" att lita på. Dom kan lika gärna skita i att ge dig nyklarna.

Onödigt att ens diskutera med sådant folk. Hoppas dom har bra bacuper.

Dom får leta upp "svagheten" som gjorde detta möjligt.

Exakt, därför ska man antag att allt är eller kan bli infekterat givet att det är anslutet till omvärlden på något vis.
Det är därför lösningen mot ransomware är att ha korrekt konfigurerade backups av ens data man inte vill förlora. Data man inte bryr sig om att förlora bör inte vara hotat av ransomware.

(Även på grund av detta som perimiter-baserad säkerhet är så kasst gentemot zero-trust. Sedan är det samma motivation till backups för att skydda sig mot lagringsmedia fallerande, all lagringsmedia kommer fallera det är bara en fråga om när.)

Riktigt så lätt är det inte...
Du kan ha hur hög säkerhet som helst och hur säkert ad som helst med tierad uppsättning.

Kommer ett spoofat mail in med länk till skadlig kod till någon hemsida etc. som användare trycker på så kommer det ändå in.
Dock påverkas krypteringsgraden av behörigheten till kontot.

Därav många som gnäller över flera konton, långa lösenord etc.
Standardsvar är alltid att det gäller säkerhet till företagsdata.

"Ransomware is often spread through phishing emails that contain malicious attachments or through drive-by downloading. Drive-by downloading occurs when a user unknowingly visits an infected website and then malware is downloaded and installed without the user's knowledge."

ordet OFTAST är väldigt viktigt här. du ger dom 500 kr, dom känner att det gick smärtfritt så de ber om 500 till tills dom märker att du är "torr". Om inte annat lär man sig att en bacup är viktig att ha, inte bara om HDD crashar.

Låt gå för att detta kan ge en del pengar, men det är ju också ett allvarligt brott som kan ge väldigt långa fängelsestraff (i USA t.ex., och jag tror inte de ser mildare på saken i Taiwan).

/hulle.

Hur tvättar man och använder den summan pengar på ett diskret sett?

Drar ju blickar till sig när datanisse på plan 3 som inte kunde fixa sin persienn skaffar segelbåt med besättning för 100milj och seglar iväg med sitt sattelitinternet...

Redan svarat på vad jag syftade på, var nog lite otydlig i mitt första inlägg. IT säkerhet handlar om så mycket mer än att minimera entry points. Att oroväckande många företag enbart bryr sig om entry points (på ett dumt sätt dessutom med perimiter-baserad säkerhet) och inte impact är vad som förbryllar mig. Just ransomware kan göras till ett trivialt problem genom att minimera impact med backups. EDIT: Inser att du kanske skrev din text medans min publicerades.

Ransomware delen och utpressning om försäljning/publicering av data är egentligen två olika problem som i detta fall utförts samtidigt.

Jag syftade på specifikt ransomware delen som bör vara ett lättlöst problem om saker gjorts rätt. Ransomware och exfiltration kräver olika åtgärder för att skydda sig emot, där det senare är mycket svårare. Att däremot bilder och fokus läggs på ransomware delen får mig att misstänka att de misslyckats på båda fronterna.

Jag var nog väldigt otydlig i mitt första inlägg alltså, så blir det när man skriver det i hast.

De har en mycket god anledning till att ta bort datan, iaf att inte sprida den till någon annan. Nämligen deras trovärdighet. Om Acer betalade 400 miljoner och gruppen sedan släpper informationen till andra kommer ju inga andra företag som drabbas att betala.

En av våra kunder fick ransomware som krypterade hela deras server.
De betalade och fick nycklarna, men de kunde inte dekryptera stora filer. Rip databas och backup filer. Deras it tekniker hade nämligen satt upp så att backupfilerna var tillgängliga över nätverket, med skrivrättigheter ! *Picard trippel facepalm*.

Halvårs arbete i systemet borta, 2 månader att lägga in all info igen från pappersutskrifter.

Om alla vägrade betala så skulle skiten upphöra. Den som drabbas ska bara låtsas att serverhallen brann upp och bygga vidare på de backups som finns.

Avsätt några procent av 400 miljoner så kan man nog muta sig till en bra lösning.

Rent teoretiskt är det omöjligt att skydda sig fullt ut. I alla fall om man använder digitala medel. Ens backup:er kan vara infekterade med okända 0-days som triggar en overflow i uppackningen / återställningen eller infekterade dokument som startar om hela processen vid öppnande. Det kan iofs lösas med patchar när man väl identifierat vektorerna.

Möjligtvis om man sätta praktikanterna på att skriva ned alla byte-värden på filerna i en pärm så kan man skydda sig från dataförlust.

Kan de inte ge Acer lite rabatt om man lovar att sluta upp med att ändra beteende på hur laptopar hanterar powerknappen i Windows? 😋

Målet med IT säkerhet är inte att eliminera teoretisk möjligheten till att saker går fel. Målet är att minimera risker och konsekvenser där dess insats är direkt proportionerligt med konsekvenserna.

Matten för det är superenkel, även om parametrarna är svåra att lista ut.
risk = sannolikhet * förlust

Så målet är att minimera risk värdet för ett lägre värde än riskens minskning. Alla utgifter som sänker risken mer än vad det kostar är en bra affär, och vice-versa. Är förlusten över 400M SEK (vilket det bör vara om det ska vara logiskt att prissätta det där som ransom) så har man ekonomiskt incitament att spendera en hel del på sin backuplösning...

Exempel: -400M * 5% per år = -20M
Hade detta varit siffrorna för ransomware så hade allt under 20M-nya risken varit en bra affär. Den nya risken behöver inte vara 0 för att det ska vara lönt att göra.

Just med backups så kan man rätt snabbt för en hygglig peng sänka sannolikheten för saker som du beskriver till att bli obefintlig. Jag säger däremot inte att det är lätt att utföra backups korrekt, det är en konst i sig. Men det du beskriver där kan till rätt stor del minimeras rejält med exempelvis write-only media och backup validering, gärna med andra best practise som airgap. Men hur mycket den insatsen är värd faller tillbaka till riskformeln.

Dom kräver betalning i Monero som är anonymt, sålänge dom fortsätter använda pengarna med Monero så är risken nog liten att dom åker dit(såvida dom inte doxar sig själva samtidigt på ngt sätt). När dom försöker växla det till vanlig fiat eller t.ex bitcoin så riskerar dom att bli påkomna dock.