Istraživanje stručnjaka za ransomware Maxa Smeetsa sugerira da će kompanije koje plaćaju kriminalnim bandama vjerovatnije privući pažnju medija
By
Bill Goodwin,Investigations Editor
Objavljeno: 12 dec 2025 17:06
Kompanije koje plaćaju otkupninu sajber kriminalcima u nadi da će obnoviti svoje IT sisteme mogu biti u opasnosti od većeg negativnog publiciteta od onih koje to odbijaju.
Početna analiza podataka koje je zaplijenila Nacionalna agencija za kriminal (NCA) prilikom uklanjanja grupe LockBit ransomware-a sugerira da je najbolji način da se izbjegne loš publicitet odbijanje plaćanja.
Max Smeets, autor knjige Rat otkupa, dobio je nadzirani pristup podacima o LockBit 3.0 koje je zaplijenila NCA tokom operacije Chronos, koja je uklonila operaciju ransomwarea LockBit, i ispitala podatke koji su procurili iz LockBit 4.0.
Smets je uporedio izveštaje štampe o 100 kompanija koje su platile ransomware sa izveštajima o 100 kompanija koje su odbile da plate.
„Ispostavilo se da je veća vjerovatnoća da ćete imati napisanu priču o vama ako ste platili nego ako niste platili“, rekao je u intervjuu za Computer Weekly.
Smeetsovi zaključci su suočeni s tvrdnjama kriminalnih ransomware bandi da kompanije koje plaćaju mogu izbjeći loš publicitet. On to naziva Streisand efektom, pri čemu plaćajući otkupninu kako bi izbjegli publicitet, kompanije na kraju privlače upravo onaj publicitet koji pokušavaju izbjeći.
Veća je vjerovatnoća da ćete imati napisanu priču o vama ako ste platili [a ransom] nego ako niste platili Max Smeets, stručnjak za ransomware
Organi za provođenje zakona dugo su tvrdili da kompanije ne bi trebale plaćati naknade za otkupninu jer podržava ransomware ekosistem i ne postoji garancija da će dobiti nazad svoje podatke.
“Ono što podaci također sugeriraju je da ne biste trebali plaćati ako se plašite izlaganja javnosti”, rekao je Smeets, govoreći za Computer Weekly na sigurnosnoj konferenciji Black Hat u Londonu.
Umetnost lošeg posla
Smeetsova analiza je također otkrila koliko su mnoge organizacije bile loše pripremljene kada su pregovarale o plaćanju ransomware-a sa LockBit-ovim kriminalnim filijalama.
Neke kompanije su unaprijed rekle kriminalnim bandama da očajnički žele da vrate svoje podatke jer nemaju sigurnosne kopije, što ih je odmah stavilo u zadnju nogu u pregovorima.
Drugi su bezuspješno pokušavali pridobiti simpatije kod hakera tvrdeći da si ne mogu priuštiti otkupninu ili da služe lokalnoj zajednici.
Smeets je također otkrio da su neke žrtve poslale ransomware bandama kopije svojih dokumenata o osiguranju da pokažu koliko mogu priuštiti da plate.
“https://www.computerweekly.com/rms/computerweekly/Ransomware-media-coverage-Max-Smeets-800px-h_half_column_mobile.jpg” srcset=”https://www.computerweekly.com/rms/computerweekly/Ransomware-media-coverage-Max-Smeets-800px-h_half_column_mobile.jpg 960w,https://www.computerweekly.com/rms/computerweekly/Ransomware-media-coverage-Max-Smeets-800px-h.jpg 1280w” alt=”Graph shows ” data-credit=”Max Smeets” visina=”206″ širina=”279″> Vjerovatnije je da će žrtve ransomwarea koje plaćaju doći na naslovnice nego one koje odbiju
Njegovi nalazi pokazuju da kompanije moraju biti bolje pripremljene za pregovore o ransomwareu ako se dogodi najgore.
„Postoji velika prilika, posebno za mala i srednja preduzeća, da bolje razumiju kako da se bave ovim kriminalcima bez ekstremnih i očiglednih grešaka“, rekao je on.
LockBit-ove kriminalne podružnice slijede standardni priručnik za pregovaranje o plaćanju otkupnine, koji obično uključuje traženje početne otkupnine, ponudu dešifriranja dva fajla besplatno i prijetnje da će procuriti podaci ako organizacije ne plate.
Smets je otkrio da kriminalne grupe imaju toliko žrtava da ne provode vrijeme analizirajući podatke koje zahvate kako bi potražile kompromitujući materijal koji bi mogao povećati vrijednost zahtjeva za otkupninom – više ih zanima sljedeća žrtva.
Ako kompanije ne plate u roku od nekoliko sedmica, podružnice mogu biti sklone pretpostaviti da nedostatak očaja njihove žrtve može značiti da njihov ransomware napad nije prouzročio veliku štetu. Možda će biti spremni prihvatiti manja plaćanja u zamjenu za dogovor da neće objaviti hakovane podatke.
Paradoks poverenja
Ransomware grupe poput LockBit-a varaju i kradu, ali nekako moraju uvjeriti žrtve da su dovoljno pouzdane da obnove svoje podatke u zamjenu za plaćanje ransomwarea, tako da je reputacija važna.
Operacija Chronos nije samo uništila infrastrukturu LockBita, već je uništila i njegovu reputaciju, pokazuje Smeetsovo istraživanje.
U februaru 2024. godine, međunarodna policijska operacija zaplijenila je LockBitove servere, njegovo administrativno središte, njegovu javnu web stranicu i internu komunikaciju.
“NCA ne samo da je krenula za njihovom tehničkom infrastrukturom, već je i narušila njihovu reputaciju otkrivanjem njihovih laži”, rekao je.
Na primjer, grupa je rekla da će zabraniti podružnice koje udare u dječju bolnicu u Torontu – nije, rekao je Smeets. LockBit je takođe obećao da će izbrisati podatke žrtava sa svojih servera ako pristanu da plate, ali često nisu.
Kada su kriminalne bande pokušale da ožive LockBit u decembru 2024., njegova reputacija je nepovratno narušena.
Prije operacije Chronos, između maja 2022. i februara 2022., 80 podružnica LockBit 3.0 primilo je isplate ransomware-a.
LockBit 4.0, pokušaj da se oživi operacija ransomwarea nakon policijskog uklanjanja, primio je samo osam uplata ransomware-a između decembra 2024. i aprila 2025., prema Smeetsovom istraživanju.
„LockBit je toliko ukaljan da čak i ako može ponovo da uspostavi svoju infrastrukturu, to je senka svog nekadašnjeg sebe“, rekao je on.
Operacija Chronos mogla bi formirati plan za buduća uklanjanja ransomware-a tako što će uništiti ne samo infrastrukturu već i reputaciju ransomware bandi.
Smets se nada da će provesti daljnja istraživanja o odnosu između plaćanja otkupnine i negativnog medijskog izvještavanja kako bi testirao svoje početne nalaze.
Pročitajte više o hakerima i prevenciji sajber kriminala
Šta je dvostruka iznuda ransomware? Kako odbraniti svoju organizaciju
Autor: Alexander Gillis
Ransomware: Šta otkriva curenje podataka LockBit 3.0
