Cei care negociază cu hackerii: armata nevăzută chemată să salveze companiile de la ruină financiară

În spatele ușilor închise, în mijlocul panicii generate de un atac cibernetic, intră în scenă o categorie discretă, dar tot mai influentă de profesioniști: cei care negociază cu hackerii. Atunci când rețelele IT sunt paralizate, datele sunt criptate, iar un mesaj de șantaj cere sume amețitoare pentru răscumpărarea datelor, companiile atacate nu apelează întotdeauna la autorități, ci la experți care știu să poarte dialogul periculos cu agresorii digitali. În cazuri precum cel de la Marks & Spencer sau al altor giganți globali, această armată nevăzută intervine în culise, încercând să limiteze pierderile, să recupereze datele și să evite publicitatea dezastruoasă.

Aceste echipe de criză nu doar că poartă discuțiile directe cu autorii atacurilor, dar se ocupă și de verificările legale, intermediază plățile în criptomonede și oferă analize de risc detaliate. Prin expertiza lor, reușesc uneori să reducă semnificativ sumele cerute de atacatori sau chiar să obțină instrumentele de decriptare fără plată. Astfel de firme devin rapid o componentă indispensabilă în strategiile de răspuns ale corporațiilor, într-un context global în care criminalitatea cibernetică evoluează mai repede decât măsurile de apărare.

Aceste firme oferă servicii complexe, de la inițierea comunicării cu grupurile criminale până la plata bitcoin‑ului, conform reglementărilor OFAC și după o verificare legală riguroasă. În anumite situații, negocierile permit reducerea cererii hackerilor cu până la 90 %.

De ce nu ne putem opri din cumpărături de Black Friday: trucurile psihologice care ne fac să cheltuim fără măsură

22:07

ANALIZĂ

Prima companie „complet anti-woke” din Silicon Valley. CEO-ul Palantir laudă meritocrația, susține „cultura tribală” și atacă corectitudinea politică

21:24

Night Lion Security, de exemplu, a gestionat cazul unei firme software americane țintă a ransomware‑ului Conti. Plata cerută inițial era de 4 milioane de dolari, dar prin negocieri s‑a obținut o reducere de 90 %, iar suma finală a fost de 400 000 de dolari. În plus, hackerii au furnizat metodologia de exploatare folosită, contribuind astfel la prevenirea unor incidente similare pe viitor.

Companii recunoscute în acest domeniu sunt ChainBreak, CyberSecOp, Progent sau GroupSense. Ele acționează rapid, oferind un raport de inteligență care analizează profilul atacatorului, riscurile plății sau neplății și potențialele pierderi. Modelul de tarifare este adesea legat de performanță: plata începe doar dacă se obține o reducere semnificativă a sumei cerute inițial, de regulă minim 50 %

Echipele de negociatori se ocupă și de aspectele legale și de conformitate. În cazul Night Lion, colaborarea a inclus verificarea portofelului digital al hackerilor prin instrumente de forensică blockchain (Ciphertrace) pentru a confirma că nu există legături cu entități sancționate de OFAC.

Situația actuală și ultimele tendințe

Conform unui sondaj recent realizat de Sophos, aproximativ 53 % dintre companiile afectate în ultimul an au reușit să plătească mai puțin decât cererea inițială, iar 47 % dintre aceste reduceri au fost obținute prin negociere directă. Plata s‑a redus de la 2 milioane de dolari la 1 milion de dolari.

De asemenea, timpul de recuperare s‑a îmbunătățit: acum 53 % dintre victime își restabileau operațiunile într‑o săptămână, comparativ cu doar 35 % în anul anterior.

Jocuri de putere între grupuri criminale

Conflictul intern dintre grupurile DragonForce și RansomHub a escaladat recent într‑o luptă pentru afiliere, crescând riscul atacurilor duble (double extortion). Această rivalitate crește presiunea asupra victimelor, care pot fi șantajate simultan de două grupări diferite. 

În astfel de situații, firmele de negociere au un rol vital: managementul atent al comunicării și strategia adoptată pot face diferența între o plată redusă sau o escaladare a cererii.

Formare profesională specializată

Companii ca Crystal Intelligence și Security Blue Team oferă cursuri dedicate instruirii negociatorilor ransomware. Programul „Ransomware: Negotiation & Threat Intelligence” include simulări AI realiste și aplicații practice pentru gestionarea unor scenarii complexe cu risc ridicat.

Participanții învață tactici psihologice și tehnici de negociere aplicabile în cazuri reale, element critic având în vedere evoluția tot mai sofisticată a hackerilor profesionali.

Exemplu concret de succes

Progent oferă servicii de negociere adaptate organizațiilor mari. Echipa lor colaborează strâns cu departamentele IT ale clientului și cu asiguratorii, pentru a stabili o strategie clară de reacție, facilitând recuperarea infrastructurii cât mai rapid și eficient posibil.

CyberSecOp susține că în ultimii doi ani experiența lor a permis negocieri care au redus cererile hackerilor sub 50 % în majoritatea cazurilor, gestionând peste 200 de cazuri anual. Aceasta include nu doar reducerea sumei, ci și asistență în recuperarea datelor și garantarea conformității legale.

De ce firmele apelează la negociatori

Atunci când organizațiile sunt victima ransomware, riscul perturbării operațiunilor și pierderile financiare pot fi imense. Plata rascumpărării este un proces logistic complex, adesea în criptomonede, și impune respectarea legilor internaționale.

Negociatorii profesioniști reprezintă, astfel, o alternativă eficientă pentru a gestiona impactul, reducând presiunea financiară, asigurând conformitatea și facilitând o revenire rapidă la normalitate.