Beveiligingsbedrijf gaat ransomware-losgeld klanten betalen
Een Amerikaans beveiligingsbedrijf dat onder andere bewustzijnstrainingen aanbiedt zegt dat als klanten na het volgen van een training toch met ransomware besmet raken, het gevraagde losgeld tot een bedrag van 500 dollar zal worden betaald of vergoed.
Ransomware is nog altijd een groot probleem. Deze week vond er een internationale operatie tegen het GameOver Zeus-botnet plaats. Dit botnet infecteerde honderdduizenden computers. Op de besmette computers werd onder andere de CryptoLocker-ransomware geïnstalleerd. Deze vorm van ransomware versleutelt bestanden en vraagt vervolgens 'losgeld' aan slachtoffers als ze hun bestanden terug willen krijgen.
De FBI schat dat CryptoLocker 234.000 computers heeft geïnfecteerd en dat slachtoffers in totaal 24 miljoen dollar hebben betaald. Naast het gebruik van malware op de computer verspreidt CryptoLocker, alsmede andere ransomware-varianten, zich ook via social engineering. Het gaat dan bijvoorbeeld om e-mails met een bijlage die door een gebruiker worden geopend. Onlangs raakten computers van een Amerikaans politiebureau op deze manier nog besmet.
Losgeld
Beveiligingsbedrijf KnowBe4 zegt dat het gebruikers via bewustzijnstrainingen tegen dit soort vormen van social engineering kan beschermen. Opent een werknemer na het volgen van de training toch nog een bestand dat ransomware blijkt te zijn, dan zal het bedrijf het gevraagde losgeld tot een bedrag van 500 dollar betalen. Hoewel het om een Pr-stunt gaat is de actie opmerkelijk.
Veel opsporingsdiensten zoals de FBI, het Britse National Crime Agency en ook de Nederlandse politie adviseren namelijk om het door ransomware gevraagde losgeld nooit te betalen. Er zou namelijk geen garantie zijn dat de bestanden ook worden ontsleuteld en daarnaast zou het criminelen aanmoedigen om met het gebruik van ransomware door te gaan.
Als zij standaard geen betalen bij een besmetting, heeft dat een aanzuigende werking voor nog meer aanvallen. Een volbrachte besmetting geeft de aanvallers een 100% garantie dat ook betaald wordt.
Zoals ze in het artikel aangeven heeft het betalen inderdaad een positief effect op de groei van dergelijke aanvallen. 100% zal echter nooit behaald worden omdat er simpelweg genoeg systemen zijn waarvan de informatie geen of weinig waarde bevat of men in het bezit is van een backup.
Als als klanten na de security awareness training nog steeds dergelijke mailtjes openen, dan of:
- zaten die klanten niet op te letten tijdens de training; of
- was de training niet goed
Het is in ieder geval slechte reclame voor die cursus.
De vraag of deze actie slim is......
Goede reclame voor de cursus. Het doel van de actie zal bereikt worden: veel mensen uit de doelgroep op wie deze actie gericht is, zullen de actie aantrekkelijk vinden. Ook al vinden wij (zijnde geen mensen uit die doelgroep) de actie slecht. Aan de andere kant lijdt de bedrijfsnaam schade. De actie gaat in tegen alles wat je van een security-bedrijf mag verwachten.
Goede reclame voor de cursus. Het doel van de actie zal bereikt worden: veel mensen uit de doelgroep op wie deze actie gericht is, zullen de actie aantrekkelijk vinden. Ook al vinden wij (zijnde geen mensen uit die doelgroep) de actie slecht. Aan de andere kant lijdt de bedrijfsnaam schade. De actie gaat in tegen alles wat je van een security-bedrijf mag verwachten.
Ben het wel met je eens dat het goede reclame is als zijnde een PR stunt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.