Fox-IT公司網(wǎng)絡(luò)安全和威脅分析師通過(guò)對(duì)2019~2020年間超過(guò)700起勒索談判進(jìn)行研究，發(fā)現(xiàn)勒索軟件的生態(tài)系統(tǒng)已經(jīng)發(fā)展成為一項(xiàng)復(fù)雜的業(yè)務(wù)，每個(gè)勒索軟件團(tuán)伙都制定了自己的談判和定價(jià)策略，旨在實(shí)現(xiàn)利潤(rùn)最大化。因此，遭遇勒索攻擊時(shí)，如果受害者除了支付贖金已別無(wú)選擇，那下面這些實(shí)際經(jīng)驗(yàn)可以幫助受害企業(yè)組織將損害降到最低，快速在攻擊事件中恢復(fù)。

[[439723]]

勒索攻擊市場(chǎng)現(xiàn)狀

Fox-IT公司收集的700多起勒索談判數(shù)據(jù)集主要分為兩個(gè)時(shí)間段：第一個(gè)為2019年收集的681起談判案，當(dāng)時(shí)勒索軟件團(tuán)伙相對(duì)缺乏經(jīng)驗(yàn)，贖金要求也相對(duì)較低;第二個(gè)數(shù)據(jù)集由30個(gè)談判案組成，主要收集于2020年底和2021年初，此時(shí)勒索攻擊已經(jīng)發(fā)展成為全球企業(yè)的主流安全威脅，攻擊者已經(jīng)具備更多的“談判經(jīng)驗(yàn)”。

分析顯示，勒索軟件操作的成熟度有所提高。攻擊者正在根據(jù)受害組織的多個(gè)受害層面(包括受感染設(shè)備/服務(wù)器的數(shù)量、員工、預(yù)估收入和媒體曝光的潛在影響)計(jì)算攻擊成本并實(shí)施贖金定價(jià)策略。如此一來(lái)，攻擊者甚至可以在受害者進(jìn)入談判之前準(zhǔn)確地預(yù)測(cè)他們可能支付的金額，可謂完全掌握了談判的主導(dǎo)地位。

通常來(lái)說(shuō)，在談判中，每個(gè)玩家都有自己的底牌。勒索軟件攻擊者知道自己的業(yè)務(wù)成本以及需要賺多少錢(qián)才能實(shí)現(xiàn)收支平衡。同時(shí)，受害者也預(yù)估了補(bǔ)救成本。這就造成了一種“不公平”的局面，攻擊者可以在受害者不知情的情況下引導(dǎo)他們達(dá)到預(yù)設(shè)的贖金范圍(一般是受害者能承受的合理范圍)。這就好比是一場(chǎng)被操縱的游戲，攻擊者握有一手好牌，如果打得好的話，可以永遠(yuǎn)是獲勝方。這種情況也助長(zhǎng)了日益猖獗的勒索軟件生態(tài)系統(tǒng)。

調(diào)查結(jié)果還顯示，支付絕對(duì)贖金較高(包括最高贖金1400萬(wàn)美元在內(nèi))的受害企業(yè)組織集中來(lái)自《財(cái)富》500強(qiáng)。雖然對(duì)于小規(guī)模企業(yè)來(lái)說(shuō)贖金占據(jù)了其企業(yè)組織總收入較高的百分比，但支付出的贖金絕對(duì)金額還是較少，因此有經(jīng)濟(jì)動(dòng)機(jī)的攻擊者會(huì)精心挑選有價(jià)值的目標(biāo)，這也導(dǎo)致一些勒索軟件組織決定只針對(duì)大型盈利企業(yè)實(shí)施攻擊。

受害者面對(duì)談判所需的四項(xiàng)準(zhǔn)備

想要實(shí)現(xiàn)最佳談判效果，企業(yè)必須從談判活動(dòng)開(kāi)始前就部署一些必要的準(zhǔn)備步驟：

(1) 教導(dǎo)員工不要打開(kāi)贖金通知并點(diǎn)擊其中的鏈接。這通常會(huì)啟動(dòng)倒計(jì)時(shí)機(jī)制，不打開(kāi)贖金通知就可以爭(zhēng)取更多時(shí)間，來(lái)確定攻擊位置、攻擊后果以及可能涉及的成本等信息;

(2) 確立談判目標(biāo)，考慮到備份和最佳/壞的支付方案;

(3) 制定清晰的內(nèi)/外部溝通渠道，涉及危機(jī)管理團(tuán)隊(duì)、董事會(huì)、法律顧問(wèn)和溝通部門(mén);

(4) 收集攻擊者信息，以了解他們的策略并查看解密密鑰是否可用。

五種談判策略

有了上述種種準(zhǔn)備，組織將能更好地參與勒索軟件談判。談判過(guò)程中，建議考慮下述5種談判方法，以盡可能地降低損害：

(1) 在談話中保持尊重并使用專(zhuān)業(yè)語(yǔ)言，將情緒留在談判之外;

(2) 受害者應(yīng)該盡可能向攻擊者爭(zhēng)取更多時(shí)間，以探索所有恢復(fù)的可能性。一種策略是解釋您需要額外的時(shí)間來(lái)籌集所需的加密貨幣贖金;

(3) 如果拖延不了時(shí)間，組織可以提前支付少量費(fèi)用，眾所周知，攻擊者會(huì)接受大幅折扣以快速獲利，并轉(zhuǎn)向另一個(gè)目標(biāo);

(4) 最有效的策略之一是說(shuō)服攻擊者相信您沒(méi)有足夠的財(cái)務(wù)狀況支付最初要求的金額，事實(shí)證明，這一點(diǎn)甚至對(duì)于非常大型的組織(攻擊者知道他們擁有大量資金可供支配)同樣有效。因?yàn)檠芯恐赋觯瑩碛写罅靠芍滟Y金與擁有數(shù)百萬(wàn)美元的加密貨幣是兩回事;

(5) 避免告訴攻擊者自己擁有網(wǎng)絡(luò)保險(xiǎn)政策。企業(yè)不應(yīng)將網(wǎng)絡(luò)保險(xiǎn)文件保存在任何可訪問(wèn)的服務(wù)器上。網(wǎng)絡(luò)保險(xiǎn)的存在會(huì)限制談判靈活度。

此外，該研究還提供了一些適用于談判后的簡(jiǎn)單實(shí)用建議，包括：

• 要求解密測(cè)試文件;
• 付款完成后，要求攻擊者提供文件刪除證明;
• 讓攻擊者解釋入侵方式;
• 最后，企業(yè)組織要做好即便支付贖金也會(huì)發(fā)生文件泄露或出售的情況。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文