与勒索软件攻击者谈判的真实感受

勒索软件谈判中最关键的时刻通常是在受害者和黑客讨论价格之前很久。

当双方开始谈判时，黑客已经获得了对公司网络的重大控制，很可能保护对敏感账户数据、商业合同和组织其他关键细节的访问。他们偷得越多，他们的影响力就越大。

网络安全专家表示，让受害者重新夺回一些阵地的唯一方法是获取有关黑客真正窃取了多少信息以及攻击者过去谈判策略的知识。

这就是专业勒索软件谈判代表 Tony Cook 和 Drew Schmitt 的用武之地。两人一起为网络安全公司 GuidePoint Security 工作，代表被网络犯罪分子劫持为人质的组织谈判了数十笔勒索软件付款。基于这些经验，他们开发了他们处理过的许多网络犯罪集团的复杂档案，以帮助在谈判桌上获得优势。

一些威胁行为者，例如以发出天文数字付款要求而闻名的 Ryuk 勒索软件团伙，在某一时刻发起攻击如此频繁，以至于库克说他开始怀疑他在多个场合与同一个人打交道。

“如果你知道它们通常是如何运作的，这有助于让你的天平更有利，”施密特说。“在你进入谈判桌之前，有很多策略会发生。”

联邦调查局和网络安全专家强烈反对向勒索软件攻击者付款，主要是因为这会鼓励进一步的攻击。网络安全公司 Cyber Reason 的创始人兼首席执行官 Lior Div 说：“他们知道你已经做出了支付决定，现在做出另一个支付决定很容易。”

但今年发生的一系列引人注目的攻击导致了一些令人瞠目结舌的付款。当Colonial Pipeline 遭到袭击，导致全国范围内燃料短缺的运营预防性关闭时，它同意向网络犯罪团伙 DarkSide 支付 440 万美元的加密货币。肉类供应商JBS Foods支付了 1100 万美元来解决 REvil 组织的勒索软件攻击。同一个勒索软件团伙要求 7000 万美元来解锁它声称在攻击 Kaseya 中受到攻击的所有设备，Kaseya 是一家 IT 服务提供商，间接支持当地餐馆、会计师事务所和牙医办公室等无数小企业。

根据区块链分析公司 Chainalysis 的数据，到 2020 年，通常以加密货币支付的赎金总额为 4.16 亿美元，是 2019 年的四倍多。今年到目前为止，该公司已确认支付了超过 2 亿美元的款项。

虚拟谈判桌

勒索软件协商很少会导致勒索要求完全消失。但库克和施密特说，一次成功的相遇可能意味着支付数十万美元和数百万美元之间的差异。

“有时你只能降价 10,000 美元，”库克说。“这真的取决于演员对他们的看法以及完成事情的谈判策略。”

他们说，一旦受害者决定支付赎金并向攻击者伸出援手，就会启动一个时钟，如果双方不能迅速达成协议，通常会导致组织的黑客材料被释放。

谈判进行得很快。许多勒索软件组织使用在线聊天工具和即时消息与受害者进行交流。这些工具易于使用，因为毕竟犯罪分子也在经营企业。他们有动力使谈判和付款过程尽可能快速和简单，以实现利润最大化。

施密特说，由于有如此多的网络犯罪团伙来自国外，聊天室谈判大量使用谷歌翻译。来自黑客用蹩脚英语的简洁、一个词或一句话的信息是常态。尽管存在语言障碍，但许多讨价还价的遭遇都在 10 到 15 次交流中结束。

这就是为什么被黑客入侵的公司在敲定赎金支付之前快速调查他们自己的系统如此重要的原因。受害者需要能够可信地声称，“无论你认为自己拥有什么，都不值那么多钱，”库克说。受害者不能这么说，除非他们很好地掌握了他们失去控制的东西。

如果黑客知道他们获得了公司无法公开发布的真正敏感数据(例如商业机密或财务信息)，那么这种论点仍然会适得其反。Cyber Reason 的 Div 表示，在某些情况下，勒索软件攻击者意识到公司拒绝付款，因为他们可以从备份中恢复数据。因此，在加密数据之前，攻击者会寻找敏感信息——“你的客户名单、知识产权、讨厌的电子邮件，任何可能让你难堪的东西，”他说——然后威胁如果受害者拒绝付款，就将其发布。

如果这还不够，Div 说攻击者可以联系公司的客户以增加他们的支付压力。

网络保险政策的“双刃剑”

随着勒索软件攻击的增加，对网络安全保险的需求也在增加。

网络安全公司 SentinelOne 的首席安全顾问 Morgan Wright 表示，网络安全保险现在是一个价值数十亿美元的行业。网络保险越来越复杂，为公司提供了一站式的黑客响应服务。保险公司与大量律师、技术和法医专家以及谈判人员签订合同，以帮助受害者应对勒索软件攻击并从中恢复。

“你提出索赔的那一刻——就像消费者一样，如果你向 Geico 提出索赔——那一刻就失去了你的掌控，”赖特说。

据美国最大的保险公司之一和领先的网络保险提供商 AIG 称，自 2018 年以来，勒索软件索赔的频率增加了 150%。根据 AIG 情况说明书，去年赎金索赔占网络安全保险索赔的五分之一。

赖特说，公司可能为网络保险支付的费用部分取决于组织过去受到攻击的次数，以及其他精算数据。

“如果我的网络卫生很差，我的费率将比拥有良好政策的公司高得多，”他说。

但 LMG Security 首席运营官兼首席勒索软件谈判代表 Karen Sprenger 表示，网络保险也可能是一把双刃剑。“我们开始了解攻击者在哪里查看数据并寻找网络保险单，以了解免赔额是多少，并了解他们拥有多少保险。”Sprenger 说，她见过攻击者利用这些信息索要更高赎金的案例。

当然，最好的补救办法不是一开始就处于这种情况。网络安全专家表示，防止勒索软件攻击相对简单。确保您的软件是最新的，要求您的员工使用多重身份验证，使用防火墙并监控您的网络以捕获未经授权的互联网流量，并建立网络安全事件协议。

但是，网络安全公司 TAG Cyber 的首席执行官 Ed Amoroso 表示，太多的组织仍然缺乏实施这些基本预防措施的技能。

“这种技能短缺无处不在，”他说。“它存在于每个领域。知道如何做到这一点的人并不多。”