Fox-IT公司網(wǎng)絡(luò)安全和威脅分析師通過對(duì)2019~2020年間超過700起勒索談判進(jìn)行研究,發(fā)現(xiàn)勒索軟件的生態(tài)系統(tǒng)已經(jīng)發(fā)展成為一項(xiàng)復(fù)雜的業(yè)務(wù),每個(gè)勒索軟件團(tuán)伙都制定了自己的談判和定價(jià)策略,旨在實(shí)現(xiàn)利潤(rùn)最大化。因此,遭遇勒索攻擊時(shí),如果受害者除了支付贖金已別無選擇,那下面這些實(shí)際經(jīng)驗(yàn)可以幫助受害企業(yè)組織將損害降到最低,快速在攻擊事件中恢復(fù)。
勒索攻擊市場(chǎng)現(xiàn)狀
Fox-IT公司收集的700多起勒索談判數(shù)據(jù)集主要分為兩個(gè)時(shí)間段:第一個(gè)為2019年收集的681起談判案,當(dāng)時(shí)勒索軟件團(tuán)伙相對(duì)缺乏經(jīng)驗(yàn),贖金要求也相對(duì)較低;第二個(gè)數(shù)據(jù)集由30個(gè)談判案組成,主要收集于2020年底和2021年初,此時(shí)勒索攻擊已經(jīng)發(fā)展成為全球企業(yè)的主流安全威脅,攻擊者已經(jīng)具備更多的“談判經(jīng)驗(yàn)”。
分析顯示,勒索軟件操作的成熟度有所提高。攻擊者正在根據(jù)受害組織的多個(gè)受害層面(包括受感染設(shè)備/服務(wù)器的數(shù)量、員工、預(yù)估收入和媒體曝光的潛在影響)計(jì)算攻擊成本并實(shí)施贖金定價(jià)策略。如此一來,攻擊者甚至可以在受害者進(jìn)入談判之前準(zhǔn)確地預(yù)測(cè)他們可能支付的金額,可謂完全掌握了談判的主導(dǎo)地位。
通常來說,在談判中,每個(gè)玩家都有自己的底牌。勒索軟件攻擊者知道自己的業(yè)務(wù)成本以及需要賺多少錢才能實(shí)現(xiàn)收支平衡。同時(shí),受害者也預(yù)估了補(bǔ)救成本。這就造成了一種“不公平”的局面,攻擊者可以在受害者不知情的情況下引導(dǎo)他們達(dá)到預(yù)設(shè)的贖金范圍(一般是受害者能承受的合理范圍)。這就好比是一場(chǎng)被操縱的游戲,攻擊者握有一手好牌,如果打得好的話,可以永遠(yuǎn)是獲勝方。這種情況也助長(zhǎng)了日益猖獗的勒索軟件生態(tài)系統(tǒng)。
調(diào)查結(jié)果還顯示,支付絕對(duì)贖金較高(包括最高贖金1400萬美元在內(nèi))的受害企業(yè)組織集中來自《財(cái)富》500強(qiáng)。雖然對(duì)于小規(guī)模企業(yè)來說贖金占據(jù)了其企業(yè)組織總收入較高的百分比,但支付出的贖金絕對(duì)金額還是較少,因此有經(jīng)濟(jì)動(dòng)機(jī)的攻擊者會(huì)精心挑選有價(jià)值的目標(biāo),這也導(dǎo)致一些勒索軟件組織決定只針對(duì)大型盈利企業(yè)實(shí)施攻擊。
受害者面對(duì)談判所需的四項(xiàng)準(zhǔn)備
想要實(shí)現(xiàn)最佳談判效果,企業(yè)必須從談判活動(dòng)開始前就部署一些必要的準(zhǔn)備步驟:
1、教導(dǎo)員工不要打開贖金通知并點(diǎn)擊其中的鏈接。這通常會(huì)啟動(dòng)倒計(jì)時(shí)機(jī)制,不打開贖金通知就可以爭(zhēng)取更多時(shí)間,來確定攻擊位置、攻擊后果以及可能涉及的成本等信息;
2、確立談判目標(biāo),考慮到備份和最佳/壞的支付方案;
3、制定清晰的內(nèi)/外部溝通渠道,涉及危機(jī)管理團(tuán)隊(duì)、董事會(huì)、法律顧問和溝通部門;
4、收集攻擊者信息,以了解他們的策略并查看解密密鑰是否可用。
5種談判策略
有了上述種種準(zhǔn)備,組織將能更好地參與勒索軟件談判。談判過程中,建議考慮下述5種談判方法,以盡可能地降低損害:
1、在談話中保持尊重并使用專業(yè)語言,將情緒留在談判之外;
2、受害者應(yīng)該盡可能向攻擊者爭(zhēng)取更多時(shí)間,以探索所有恢復(fù)的可能性。一種策略是解釋您需要額外的時(shí)間來籌集所需的加密貨幣贖金;
3、如果拖延不了時(shí)間,組織可以提前支付少量費(fèi)用,眾所周知,攻擊者會(huì)接受大幅折扣以快速獲利,并轉(zhuǎn)向另一個(gè)目標(biāo);
4、最有效的策略之一是說服攻擊者相信您沒有足夠的財(cái)務(wù)狀況支付最初要求的金額,事實(shí)證明,這一點(diǎn)甚至對(duì)于非常大型的組織(攻擊者知道他們擁有大量資金可供支配)同樣有效。因?yàn)檠芯恐赋?,擁有大量可支配資金與擁有數(shù)百萬美元的加密貨幣是兩回事;
5、避免告訴攻擊者自己擁有網(wǎng)絡(luò)保險(xiǎn)政策。企業(yè)不應(yīng)將網(wǎng)絡(luò)保險(xiǎn)文件保存在任何可訪問的服務(wù)器上。網(wǎng)絡(luò)保險(xiǎn)的存在會(huì)限制談判靈活度。
此外,該研究還提供了一些適用于談判后的簡(jiǎn)單實(shí)用建議,包括:
要求解密測(cè)試文件;
付款完成后,要求攻擊者提供文件刪除證明;
讓攻擊者解釋入侵方式;
最后,企業(yè)組織要做好即便支付贖金也會(huì)發(fā)生文件泄露或出售的情況。