勒索软件  谈判

监管难题进一步复杂了棘手的勒索软件谈判过程，同时愈加不可信的攻击者手法带来了新的威胁，使得受害企业面临艰难的选择和道德困境。

当一个组织突然无法访问自身系统或敏感数据被盗时，这不仅是丧失访问权限的问题——而是对整个运营的生存威胁。

应对勒索软件攻击需要跨部门的应急响应团队，包括法律顾问、网络安全专家和组织领导层。

技术团队在勒索软件攻击中的职责包括保护未受影响的系统、识别勒索软件类型，并在可能的情况下从备份中开始数据恢复过程。

同时，法律团队评估与攻击者接触的法律影响，考虑短期和长期的法律后果，并协调与执法机构、监管部门及网络保险公司的沟通。

“当勒索软件攻击发生时，初步反应至关重要，”Pentest People的事件响应负责人Ian Nicholson对记者表示，“法律和技术团队必须评估损害，识别勒索软件的类型、数据泄露的范围以及对组织运营的潜在影响。”

跨部门响应团队的一个关键角色在于回答这个重要问题：是否应该支付攻击者的赎金要求，如果支付，谈判应如何进行?

是否支付赎金长期以来都是一个伦理问题，因为支付赎金助长了攻击循环，但与此同时，恢复运营的紧迫性也需要考虑，即便这意味着向犯罪分子支付高昂的勒索费用。

记者采访了几位行业专家，他们敦促受害者不要与愈发不可信的攻击者接触，更不要满足其勒索要求，但也有一些事件响应人员认为，与网络犯罪分子交谈至少有一定的价值。以下是他们对勒索软件谈判的建议汇总，作为应对勒索软件攻击时的道德困境和关键响应实践。

在与威胁者交涉时，通常由外部公司(如事件响应公司)的专业谈判人员负责与攻击者沟通。他们的主要目标是收集情报、了解攻击者的需求并协商条件。

专业谈判人员往往能比企业自行谈判取得更好的结果，因为他们在应对勒索软件团伙方面更有经验。

“参与谈判可能有多个好处，”Pentest People的Nicholson指出，“首先，这为企业争取时间来实施其他恢复措施或收集更多关于攻击者的信息，其次，这提供了关于攻击者方法、意图以及其获取的数据的重要情报。”

在勒索软件谈判期间争取到的时间，让网络安全专家有更多的空间来识别漏洞、阻止攻击扩散并评估备份选项，同时也提供了一个收集攻击者方法和意图情报的机会。

交涉通常是在匿名的掩护下进行——通常会创建一个公司员工的假身份，并通过攻击者指定的加密渠道进行沟通。

“有时，在这些交流过程中，攻击者无意中透露的信息可以帮助安全团队了解数据泄露的范围或访问的数据类型，”庭审律师Ramzy Ladah告诉记者，“这对管理当前危机和未来的防范都非常宝贵。”

经验丰富的谈判人员能够降低赎金要求，并在达成协议前验证解密密钥的有效性。

事件响应公司GuidePoint Security追踪了约70个勒索软件团伙，其中大多数来自东欧，但也有来自伊朗、朝鲜和中国的团伙。GuidePoint Security的Mark Lance表示，有些团伙愿意接受原始要求的50%作为结算金额，而其他团伙较为固执，只提供最多20%的折扣。

Lance指出，威胁者需要维持其信誉，确保受害者支付赎金后兑现承诺——即便在团伙频繁关闭并重组的环境中，这一要求依然很重要。

勒索软件谈判的另一个方面是应对数据泄露的威胁。攻击者常常以此为筹码，威胁如果要求不被满足将公开或出售敏感信息。

许多勒索软件团伙现在采用“双重勒索”手法，威胁如果不满足其要求就泄露被盗数据。Nicholson指出：“这给受害者带来了巨大的压力，迫使其屈服于攻击者的要求。”

Pentest People注意到更多攻击者转向纯粹窃取数据进行勒索，而不是部署勒索软件。

Ladah律师表示：“企业必须考虑到私人数据泄露的潜在后果。”这可能意味着违反合规要求、损害声誉，以及对第三方(其数据可能已被泄露)的责任。

最近，一些数据泄露威胁变得更加个人化。

Tenable的EMEA技术总监和安全战略家Bernard Montel告诉记者：“黑客不仅窃取公司数据，还针对VIP个体，窃取特定信息，如邮件、个人数据和财务信息等，试图对他们个人及公司施加压力。”

Montel指出，这种通过增加个人压力的谈判策略在越来越多的勒索软件攻击中出现，攻击者还采用数据擦除而非加密的方式来增加威胁。

在整个谈判过程中，法律团队确保所有行动符合法律和相关规定，特别是当攻击者与受制裁的实体相关联时。

最近，政府对支付赎金的审查越来越严格，尤其是在攻击者与受制裁实体有联系的情况下。

例如，美国财政部外国资产控制办公室(OFAC)已发布警告，指出向受制裁的个人或团体支付赎金可能导致严重的法律后果，包括巨额罚款和潜在的刑事指控。

据记者采访的行业专家表示，目前尚未有此类指控发生，但风险确实存在。

Ladah指出：“如果受害企业最终与政府机构标记的团体进行谈判，就可能面临罚款和法律行动的风险。在这种情况下，企业的法律团队必须立即与执法部门联系。”

Ladah补充道：“这样做有时可以提供一定程度的法律保护，或者至少能形成文件记录，表明企业是在善意和法律建议下行事，这并非免除责任的保证，但可以在一定程度上减少法律风险。”

澳大利亚的《网络安全(勒索软件支付)条例2023》要求赎金支付在72小时内报告给当局。欧洲也可能会出台类似规定，越来越多的欧洲当局对支付赎金持负面态度。

国际律师事务所Hunton Andrews Kurth的合伙人Sarah Pearce警告道：“一般而言，英国和欧盟的执法部门不鼓励支付赎金，英国国家网络安全中心(NCSC)的网站上就列出了主要风险。”

英国NCSC警告称，支付解密密钥“很难立即恢复正常业务，尤其是对于大型组织而言”。

英国政府的网络保障机构补充道：“在复杂的网络上运行解密密钥需要时间。如果受害组织有备份和解密器，使用备份可能会更快。”

Pearce指出，英国新政府提议的《网络安全和韧性法案》据说包含强制性事件报告规定，以便政府更好地掌握网络攻击的数据，包括公司遭到勒索的情况。

欧洲已经对勒索软件事件引入了强制报告义务，至少在大型组织或关键服务提供商的情况下。例如，欧盟的《网络与信息安全指令》(现为NIS2)要求及时向监管机构报告网络事件，包括勒索软件攻击。

勒索软件谈判形势的演变

Fox-IT(隶属于NCC Group)的威胁分析师在2021年黑帽欧洲大会上展示了勒索软件谈判的实际运作方式。

全球网络安全公司NCC Group的数字取证与事件响应全球负责人Alejandro Rivas-Vásquez告诉记者，自那次展示以来，勒索软件谈判策略在这三年中发生了重大变化，对受害企业不利。

Rivas-Vásquez表示：“自2021年以来，勒索软件谈判发生了显著变化。全球对限制赎金支付和增加网络事件报告的努力，限制了受害企业的谈判权力。”

“双重勒索(加密和数据泄漏威胁)”和“三重勒索(包括潜在的DDoS攻击)”策略的兴起使谈判过程更加复杂。

攻击者不仅加密数据，还威胁泄露敏感信息或向第三方施压，迫使企业在声誉风险和运营中断之间权衡利弊。

Rivas-Vásquez告诉记者：“谈判中的信任正在流失。针对主要勒索软件即服务(RaaS)操作的执法行动揭示了，许多攻击者在收取赎金后并未删除被盗数据。”

许多国家正推动国际合作和情报共享，并对第三方加密货币支付代理进行严格审查。

“随着政府对支付的打击力度加大，对攻击者承诺的不信任感上升，以及企业响应能力的增强，支付赎金对许多企业来说已成为一种风险更大、可行性更低的选择。”Rivas-Vásquez总结道。

简单而言：支付赎金可能会鼓励进一步的攻击，并且无法保证数据恢复。

像No-More-Ransom这样的网站为遭受勒索软件攻击的企业提供了帮助，但在事前进行预防和加固系统及流程总是优于应对潜在入侵带来的高度风险。

Pentest People的Nicholson表示：“事件响应和准备工作在从勒索软件攻击等事件中恢复方面起到了关键作用。通过详细制定并测试响应措施，企业可以更好地理解自身的薄弱点并填补安全漏洞，以降低风险。”