Udbetalinger fra forsikringer kan give anledning til ransomware-angreb

Opkaldet kom en lørdag i juli og leverede dystre nyheder:Mange af computersystemerne, der betjener regeringen i LaPorte County, Indiana, var blevet taget som gidsel med ransomware. Hackerne forlangte $250, 000.

Ingen måde, tænkte amtskommissionens præsident Vidya Kora. Men mindre end en uge senere, embedsmænd i amtet sydøst for Chicago indvilligede i at betale $132, 000 løsesum, delvist dækket af $100, 000 fra deres forsikringsselskab.

"Det var dybest set en økonomisk beslutning, " sagde Kora. "Hvor længe holder du alle disse medarbejdere siddende, laver ingenting? Hvorimod hvis du betaler dette, vi kan være oppe at køre igen."

Det er netop den beregning hackere regner med. Nu er nogle cybersikkerhedsprofessionelle bekymrede for, at forsikringspolicer designet til at begrænse skaden af ​​ransomware-angreb kan opmuntre hackere, som ser forsikringsselskaber, der dækker stadig større løsesummer og vælger at målrette mod den type institutioner, der sandsynligvis vil have dækning.

"Når en cyberkriminel finder en formel, der virker for dem, de vil holde fast i det, " sagde Tyler Moore, en cybersikkerhedsprofessor ved University of Tulsa. "Hvis du er en virksomhed eller en by, der har denne dækning, beslutningen om, hvorvidt der skal betales, er ret klar. Det bliver sværere, når man træder et skridt tilbage og ser på samfundssynet.«

Alene i år, den gennemsnitlige løsesumsbetaling steg fra $12, 762 i slutningen af ​​marts til $36, 295 i slutningen af ​​juni - et hop på 184% - ifølge Coveware, et firma, der forhandler på vegne af ransomware-ofre.

Embedsmænd har citeret forsikringsselskabers hjælp til at betale løsesummer i de seneste højprofilerede hacks, inklusive dem i flere byer i Florida, der betalte sekscifrede løsesummer. Folkevalgte forsikrede offentligheden om, at skatteyderne kun var ansvarlige for en selvrisiko.

New Bedfords borgmester, Massachusetts, erkendte i denne måned, at byens embedsmænd tilbød at betale $400, 000 efter ransomware låste 158 bycomputere i juli. Hackerne havde krævet 5,3 millioner dollars.

I en erklæring udgivet to måneder senere, Borgmester Jon Mitchell sagde, at han oprindeligt var tilbageholdende med at forhandle, men han konkluderede til sidst, at det ville være "uansvarligt" at afvise "muligheden for at få dekrypteringsnøglen, hvis forsikringsdækning kunne dække de fulde omkostninger ved løsesumsbetalingen."

New Bedford modtog aldrig et modtilbud fra sine hackere. Forsikringsdækning gennem AIG forventes at hjælpe med omkostningerne ved at gendanne tabte filer og opgradere sikkerheden, har Mitchell sagt.

Den tidligste brug af ransomware kom i slutningen af ​​1980'erne. Angribere starter ofte deres angreb via e-mail, der indeholder ondsindede links eller vedhæftede filer. Når de først har adgang, de krypterer filer, databaser og hele computernetværk, indtil løsesummen er betalt.

I de seneste år, ransomware er blevet meget mere almindelig, drevet af cryptocurrency, der gør det nemmere for hackere at modtage og derefter bruge udbetalingerne. 22 lokale regeringer i Texas blev ramt i august. Virksomheder, der sigter på at forpurre hackere eller reparere deres skader, er vokset hurtigt som reaktion, herunder forsikringsudbydere, der tilbyder policer, der dækker løsepengebetalinger.

Forsikringsselskaber frigiver ikke detaljerede oplysninger om kunders oplevelse med ransomware, så det er svært at vide, hvor ofte ofrene accepterer at betale. En undersøgelse fra 2016 fra nonprofitorganisationen Cloud Security Alliance viste, at virksomheder med forsikring var mere tilbøjelige til at betale løsesum til hackere, der truede med at frigive følsomme oplysninger – 28 % sammenlignet med 22 % for virksomheder uden forsikring.

Embedsmænd i La Porte County købte en cybersikkerhedspolitik i 2018, måneder før de blev ramt, sagde Kora. Forsikringsselskabet, Rejsende, sendte et advokatfirma og et cybersikkerhedsteam for at forsøge at genoprette computersystemerne og samtidig forhandle med hackerne. Amtet rapporterede også ransomwaren til FBI.

Ingen var i stand til at frigøre den krypterede information, sagde Kora. I dagevis, amtets strafferetlige og civile domstole gik i stå uden adgang til registre, databaser og betalingssystemer. Ansatte i andre amtskontorer havde ingen adgang til e-mail eller elektroniske optegnelser.

LaPorte Countys politik dækkede op til $100, 000 til løsesum. Føler sig fanget, amtskommissærer besluttede at dække de resterende $32, 000.

Texas embedsmænd har frigivet lidt information om ransomware, der ramte lokale regeringer, herunder hackernes specifikke krav. Texas Department of Information Resources sagde i en erklæring udgivet den 5. september, at det ikke var bekendt med noget samfund, der betalte løsesum.

Ifølge FBI, mere end 1, 400 tilfælde af ransomware blev rapporteret sidste år, og ofre rapporterede at betale 3,6 millioner dollars. Men tidligere embedsmænd sagde, at det uden tvivl er en brøkdel af det sande billede, fordi mange ofre ikke rapporterer, frygt for skade på aktionærer og tab af kunders tillid.

Offentlige myndigheder har ofte ikke mulighed for at tie stille.

Cindy Pfeifer, kontorist og kasserer i Wisconsin landsbyen Nashotah, stod over for frister for opkrævning af ejendomsskat, budgetudarbejdelse og færdiggørelse af medarbejdernes skattebilag, da hun begyndte en arbejdsdag sidst i november. Men hendes computer var ubrugelig. Det var blevet låst af hackere, der krævede $10, 000.

"Min mave knuger sig stadig, når jeg tænker på det, " sagde Pfeifer.

Teknologipersonale for landsbyen 1, 357 indbyggere forhandlede hackerne ned til omkring $2, 500. Embedsmænd betalte, frygtede, at genopbygningen af ​​plader ville koste meget mere.

Josephine Wolff, en professor i cybersikkerhedspolitik ved Tufts University, frygter, at forsikringsdækning af løsesumsudbetalinger giver ofre afstand fra ringvirkningen af ​​deres beslutning.

"Ved at sige, 'Åh, det er bare noget min forsikring dækker ' de glemmer, at det bidrager med direkte økonomiske ressourcer til fremtidige kriminelle operationer, " sagde Wolff.

Den effekt har afholdt nogle mål fra at betale løsesum. Efter at hackere låste systemer til leverandør- og medarbejderbetalinger i Colorado Department of Transportation, statslige embedsmænd besluttede ikke at give efter. Gendannelse af systemerne kostede op til $1,5 millioner.

"Vi ved ikke, hvad den løsesum skal finansiere, " sagde Brandi Simmons, en talskvinde for guvernørens kontor for teknologi. "Som en statsregering, vi ønsker ikke at være i stand til at finansiere cyberterrorister."

Forsikringsselskaberne sagde, at beslutningen om at betale en løsesum i sidste ende er offerets og ikke dikteret af vilkårene i en politik, men det kræver overvejelse af praktiske spørgsmål, sagde Michael Tanenbaum, leder af Cyber ​​North America-divisionen for Chubb-forsikring.

Hvor længe kan de fungere uden adgang til dataene? Har de fungerende sikkerhedskopier at bruge, mens eksperter forsøger at få dataene tilbage? Hvad hvis de stjålne data ikke kan gendannes?

Ledere i en multinational virksomhed, der tjener 10 millioner dollars om dagen, blinker måske ikke med at betale 10 dollars, 000 for at få data tilbage. En løsesum på 10 millioner dollar, selvom, ville tænke mere, sagde Howard Marshall, en tidligere viceassistentdirektør for FBI's cyberdivision, som nu leder efterretningsteamet for cybertrusler hos konsulentfirmaet Accenture.

"Tiden til den tankeproces er i god tid, " han sagde, "ikke når angriberens ur tikker."

© 2019 The Associated Press. Alle rettigheder forbeholdes.