Fox-IT公司网络安全和威胁分析师通过对2019~2020年间超过700起勒索谈判进行研究,发现勒索软件的生态系统已经发展成为一项复杂的业务,每个勒索软件团伙都制定了自己的谈判和定价策略,旨在实现利润最大化。因此,遭遇勒索攻击时,如果受害者除了支付赎金已别无选择,那下面这些实际经验可以帮助受害企业组织将损害降到最低,快速在攻击事件中恢复。
勒索攻击市场现状
Fox-IT公司收集的700多起勒索谈判数据集主要分为两个时间段:第一个为2019年收集的681起谈判案,当时勒索软件团伙相对缺乏经验,赎金要求也相对较低;第二个数据集由30个谈判案组成,主要收集于2020年底和2021年初,此时勒索攻击已经发展成为全球企业的主流安全威胁,攻击者已经具备更多的“谈判经验”。
分析显示,勒索软件操作的成熟度有所提高。攻击者正在根据受害组织的多个受害层面(包括受感染设备/服务器的数量、员工、预估收入和媒体曝光的潜在影响)计算攻击成本并实施赎金定价策略。如此一来,攻击者甚至可以在受害者进入谈判之前准确地预测他们可能支付的金额,可谓完全掌握了谈判的主导地位。
通常来说,在谈判中,每个玩家都有自己的底牌。勒索软件攻击者知道自己的业务成本以及需要赚多少钱才能实现收支平衡。同时,受害者也预估了补救成本。这就造成了一种“不公平”的局面,攻击者可以在受害者不知情的情况下引导他们达到预设的赎金范围(一般是受害者能承受的合理范围)。这就好比是一场被操纵的游戏,攻击者握有一手好牌,如果打得好的话,可以永远是获胜方。这种情况也助长了日益猖獗的勒索软件生态系统。
调查结果还显示,支付绝对赎金较高(包括最高赎金1400万美元在内)的受害企业组织集中来自《财富》500强。虽然对于小规模企业来说赎金占据了其企业组织总收入较高的百分比,但支付出的赎金绝对金额还是较少,因此有经济动机的攻击者会精心挑选有价值的目标,这也导致一些勒索软件组织决定只针对大型盈利企业实施攻击。
受害者面对谈判所需的四项准备
想要实现最佳谈判效果,企业必须从谈判活动开始前就部署一些必要的准备步骤:
(1) 教导员工不要打开赎金通知并点击其中的链接。这通常会启动倒计时机制,不打开赎金通知就可以争取更多时间,来确定攻击位置、攻击后果以及可能涉及的成本等信息;
(2) 确立谈判目标,考虑到备份和最佳/坏的支付方案;
(3) 制定清晰的内/外部沟通渠道,涉及危机管理团队、董事会、法律顾问和沟通部门;
(4) 收集攻击者信息,以了解他们的策略并查看解密密钥是否可用。
五种谈判策略
有了上述种种准备,组织将能更好地参与勒索软件谈判。谈判过程中,建议考虑下述5种谈判方法,以尽可能地降低损害:
(1) 在谈话中保持尊重并使用专业语言,将情绪留在谈判之外;
(2) 受害者应该尽可能向攻击者争取更多时间,以探索所有恢复的可能性。一种策略是解释您需要额外的时间来筹集所需的加密货币赎金;
(3) 如果拖延不了时间,组织可以提前支付少量费用,众所周知,攻击者会接受大幅折扣以快速获利,并转向另一个目标;
(4) 最有效的策略之一是说服攻击者相信您没有足够的财务状况支付最初要求的金额,事实证明,这一点甚至对于非常大型的组织(攻击者知道他们拥有大量资金可供支配)同样有效。因为研究指出,拥有大量可支配资金与拥有数百万美元的加密货币是两回事;
(5) 避免告诉攻击者自己拥有网络保险政策。企业不应将网络保险文件保存在任何可访问的服务器上。网络保险的存在会限制谈判灵活度。
此外,该研究还提供了一些适用于谈判后的简单实用建议,包括:
- 要求解密测试文件;
- 付款完成后,要求攻击者提供文件删除证明;
- 让攻击者解释入侵方式;
- 最后,企业组织要做好即便支付赎金也会发生文件泄露或出售的情况。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】