你的公司遭受了勒索软件攻击,现在必须决定是否支付赎金以获取数据解密、从攻击者的服务器中删除或不在网上泄露。
这个决定将取决于多种因素,但根据GuidePoint Security的说法,其中一个重要因素应该是实施攻击的勒索软件运营商的整体成熟度和知名度。
不成熟的勒索软件组织:一个独特的威胁
虽然全球各地的执法机构和政府建议组织不要支付赎金,但我们都知道,尽管知道支付可能不会带来希望解决的问题,许多组织仍然会这么做。
GuidePoint的研究人员提供了额外的建议:“考虑勒索软件团伙及其运营商的已知历史、信誉和可信度,以便做出有关支付或不支付赎金的明智决定。”
与像LockBit、Alphv或Black Basta这样的成熟RaaS组织不同,不成熟、机会主义的团体更有可能撒谎,重新勒索受害者,且不提供功能正常的恢复工具(例如解密器)。
“我们注意到重新勒索可能是出于贪婪,但也可能是为了掩盖技术缺陷,比如无法解密加密文件——如果威胁行为者可以继续要求支付,直到受害者拒绝为止,就有一个合理的解释可以避免暴露技术不足的行为者,”他们指出。
基于以往的经验和与同行的讨论,研究人员发现,虽然成熟的RaaS团体努力建立稳固的声誉,以便受害者更有可能支付团体及其附属机构要求的高额赎金,但规模较小、知名度较低的团体则没有太多动力去遵守他们设定的规则。
机会主义的勒索软件运营商通常更有可能:
•针对较小、防御不足的受害者(比如中小企业)
•通过较不复杂的技术手段进入公司系统(如暴露的端口、被泄露的凭证、钓鱼、暴力破解而非零日利用)
•使用基础或“二手”基础设施(包括谈判基础设施)、泄露或破解的工具,没有专门的泄露网站,也没有资源或时间来执行额外的威胁(向受影响的客户打电话、重复攻击等)
•对他们的能力撒谎(解密加密数据、访问特定文件、数据窃取)
•要求较小的赎金金额 / 在谈判后大幅降低金额,但经常不守信用,之后要求更多
研究人员分享了涉及Phobos和DATA LOCKER团体/分支机构的特定案例研究,这些团体/分支机构在协商赎金金额后似乎特别倾向于重新勒索。
“由于没有品牌需要建立或维护,或者名字可以随时更改,对于不成熟的勒索软件团体来说,重新勒索受害者直到他们拒绝进一步支付几乎没有什么风险。关于这个话题的社区信息共享很少,这类威胁行为者通常吸引较少的安全报道或审查,”研究人员指出。
他们还提出,”在为勒索软件事件进行威胁建模或响应计划时,应将无品牌或不成熟的勒索软件团体视为一种与较大、更成熟的勒索软件团体不同的独立威胁。”
