俄乌战争爆发后,针对俄罗斯网络犯罪活动的制裁层出不穷。去年7月,欧盟首次针对俄罗斯企业实施网络犯罪相关制裁;今年4月份,来自“五眼联盟”的8个网络安全当局联合发布安全公告,要求制裁俄罗斯网络犯罪活动,并敦促各组织为潜在的网络威胁做好准备;同月,美国财务部宣布对俄罗斯(包括国家黑客在内的)恶意活动、暗网市场以及加密货币交易平台实施制裁,并发布了具体的制裁名单。
另一方面,根据Chainanalysis进行的一项研究显示,去年,在俄乌战争爆发之前,近75%用于勒索软件支付的加密货币流向了俄罗斯。试想一下,既然现在俄罗斯已经成为一个受制裁的国家,那么支付这些赎金势必会面临法律后果。
对于数字风险保护公司GroupSense的首席执行官Kurtis Minder来说,这些新的制裁措施意味着他将被迫拒绝更多寻求响应和谈判服务的勒索软件受害者,否则有可能与财政部外国资产控制办公室(OFAC)发布的越来越长的制裁清单发生冲突。
在过去两年领导过数百场勒索软件谈判的Minder表示,与具体而清晰的OFAC制裁清单相反,针对俄罗斯的制裁范围广泛且模棱两可,如果没有适当的情报和背景支持,通常很难遵守。
他解释称,“美国政府正以越来越快的速度制裁俄罗斯境内的实体。因此,即便有了OFAC名单,我们仍然需要借助公司的外部情报和风险数据(除了制裁名单之外)来了解受害者是直接向受制裁实体付款,还是通过与受制裁的团体或地区有关的联盟计划(Affiliateprogram)。”
这些制裁中的大部分是白宫打击勒索软件举措——通过破坏勒索软件团伙、增强弹性、增加通过加密货币进行洗钱的困难度,以及解决像俄罗斯这样的网络犯罪安全港——的延伸。
政策收紧对勒索软件支付的制裁
自从俄罗斯对乌克兰发动战争以来,向俄罗斯实体支付赎金已成为一个政治热点,美国财政部长Janet Yellen也不禁感叹勒索软件犯罪分子如何在俄罗斯逍遥法外。财政部的新闻稿还宣布,向制裁关系中的实体支付勒索软件费用是对美国国家安全的威胁。
负责领导网络犯罪调查数十年的前FBI官员Scott Augenbaum表示,“14年前,也就是2008年,在俄罗斯的FBI特工侦察到普京政府是俄罗斯大多数网络攻击的幕后支持者。现在,由于这成了个政治问题,我们就宣布制裁,我们惩罚的实际上是受害者!这太荒谬了,支付赎金不应该作为一个政治问题,因为当它进入到赎金谈判阶段时,受害企业早已处于下风,除了支付赎金,几乎没有其他出路。”
在最近的一篇博文中,Benesch律师事务所数据保护小组合伙人Luke Schaetzel描述了在支付赎金时如何故意违反这些制裁措施,每次违规会导致最高100万美元的罚款和/或最高20年的监禁。加重处罚的因素包括故意或鲁莽违法、隐瞒付款、管理层参与以及未事先通知并与OFAC合作等。
Schaetzel补充道,虽然尚未有任何企业因违反这些制裁措施支付赎金而遭受指控,但一旦企业违反这些制裁措施,即便自身并不知情,也可能会受到严重的民事和刑事处罚。
OFAC的制裁列表非常具体,包括勒索软件名称、相关URL和暗网地址、个人、服务器IP地址以及电子邮件地址等。Schaetzel认为,对国家的制裁(特别是在战争时期)影响范围更广,支付赎金也会变得更加复杂。他解释称,“这些战时制裁适用于俄罗斯的大批官员、银行和国有实体。向或通过俄罗斯银行及其他官员资助的任何团体支付赎金也可能违反制裁法。因此,如果你怀疑受制裁的俄罗斯实体参与或可能参与,请不要支付赎金。”
制裁名单过时
Schaetzel指出,以俄罗斯顶级勒索软件组织之一Conti为例,它在战争开始时曾威胁要攻击任何试图入侵俄罗斯资产的行为者的关键基础设施。Conti就是可能不直接在制裁名单上但仍因隶属关系而受到制裁的附属组织。Conti是由俄罗斯犯罪集团Wizard Spider创建的Ryuk勒索软件的产物,该犯罪集团也受到制裁并支持TrickBot僵尸网络。因此,向这些实体中的任何一个或通过这些实体付款都将违反制裁。
这就出现了问题。OFAC名单上列出的许多俄罗斯犯罪组织已经关闭并改头换面重新运营,这意味着该名单本身已经过时。正因为如此,攻击者根本不关心这些制裁措施,制裁本身对受害者的伤害可能远比对罪犯的伤害更大。
Mott补充道,“OFAC根本没有足够的人力来跟踪所有比特币交易,以查看它们是否被支付给受制裁的实体或国家。而且,制裁名单上的那些比特币地址现在已经过时了。勒索软件运营商可以在一夜之间关闭并以新名称重新运营,但一个实体需要大约一年的时间才能进入OFAC制裁名单。”
一个例子是REvil,在FBI引渡和逮捕其关键运营人员后,它在1月份关闭了业务。现在,REvil似乎以RuTOR的名字重新出现在俄罗斯暗网市场中;另一个例子是Conti,在其运营商威胁要通过反击保卫俄罗斯后,该组织开始更名并多元化为多个衍生组织。
在勒索软件攻击之前做好准备
Mott认为,在处理勒索软件感染时,通过与当地FBI网络现场办公室建立预先关系来了解向谁报告是至关重要的。
他回忆称,在2019年担任FBI反间谍小组负责人的一次任务中,他办公室的一名特工致电当地一家企业的CIO,并告知其网络上存在未激活的俄罗斯勒索软件。为了验证这一说法,该CIO打电话给Mott进行确认。做出肯定答复后,Mott又告诉其应该采取的补救措施。不过,该CIO仍然不相信他们。在时间过去两天仍未得到CIO的回应后,FBI网络小组主管与CIO分享了他们系统上的文件名、位置以及删除方式。然后该CIO向负责外地办事处的特工发送电子邮件以获取额外的验证,结果,勒索软件运营者看到了那封电子邮件并立即加密了其公司的数据。此事说明了预先了解FBI机构的重要性。
CyberCurb公司管理合伙人Bob Seeman表示,如果受害者在不知情的情况下向或通过受制裁的实体和联盟组织支付赎金,基于他们与当局的关系也将减少责罚。如果在勒索软件攻击的重压下,受害组织已与FBI取得联系,则表明他们乐意与执法部门合作。
他建议道,“提前制定可证明的合规计划。如需帮助,你可以求助于网络保险公司,它们将帮助你聘请合适的风险缓解人员、勒索软件谈判人员、律师事务所和取证调查员。一个合格的团队将检查制裁名单并寻找该网络攻击者与受制裁实体有关联的指标。此外,一定要立即通知执法部门有关任何勒索软件攻击行为,尤其是FBI,它是处理勒索软件的最高机构。”
总之,受害者和执法部门需要共同努力,共享情报。例如,Mott建议与FBI共享受影响设备的策略、技术和程序(TTP)以及内存捕获,他们可以使用这些信息来构建配置文件。如果支付了赎金,那么用于解锁勒索软件的数字密钥也是可以提供给FBI的关键情报。
美国网络安全和基础设施安全局(CISA)的“停止勒索软件计划”网站提醒称,在准备上报时,受害者要谨慎保存具有高度易失性或备份有限的证据,以防止丢失或篡改(例如系统内存、Windows 安全日志或防火墙日志缓冲区中的数据)。FBI还建议受害者在支付赎金前,先检查该局是否有解密密钥,以解锁特定的勒索软件家族。
FBI发言人表示,“FBI将继续与政府和行业合作伙伴共同努力,以阻止、识别和遏制此类恶意活动。我们强烈鼓励公司的网络防御者查看我们最近发布的几项网络安全公告(CSA)。这些CSA是FBI与合作伙伴快速共享的新型攻击信息——例如特定的俄罗斯恶意软件签名、妥协指标以及他们的战术变化——的方式之一。”
专注于勒索软件防御
考虑到向俄罗斯和其他受制裁实体支付赎金所产生的法律责任,防御勒索软件攻击对于企业CISO来说变得更加重要。Augenbaum表示,研究表明,脆弱的RDP凭证(保护起来并不复杂)是主要的感染媒介,其他因素还包括过度许可/共享管理员权限、缺乏应用程序白名单以及缺乏对系统和网络的可见性。企业组织可以从这些基础开始部署防护措施。
Augenbaum补充道,“没有人期望成为受害者,侥幸心理是企业在准备方面犯的最大错误。另一个错误是期望FBI使用加密密钥和解决方案来帮助他们解锁数据。企业可以控制的只是他们自己的漏洞,并利用工具和最佳实践来防止勒索软件感染。”