嗨，我今天將成為您的勒索軟件談判代表 - 但不要告訴騙子

采訪作為勒索軟件談判者的第一條規則是，你不承認自己是勒索軟件談判者——至少對 LockBit 或其他網絡犯罪團伙不承認。 

網絡安全公司 GuidePoint Security 的專業勒索軟件談判代表兼首席威脅分析師 Drew Schmitt 表示，相反，這些談判代表將自己描繪成簡單的公司代表。

“最大的原因是因為大多數勒索軟件組織都明確表示：'我們不想與談判者合作。如果你確實將談判者帶到談判桌上，我們無論如何都會發布你的東西，'”施密特告訴登記冊。 因此，需要偽裝成正式員工。

當然，勒索軟件是一種惡意軟件，一旦進入網絡，它就會擾亂它可以找到的所有有價值的文件，并要求付費才能解密和恢復信息。最近，犯罪團伙還在加密數據之前竊取數據副本，以便在不支付需求時泄露或出售數據。有時他們只是抽取文件而不費心加密它們。有時，騙子會使用竊取的文件來騷擾或利用受害者的客戶或用戶。一旦敲詐者在您的計算機上并擁有您的數據，他們就可以做各種各樣的事情并要求他們做。

施密特說，他每個月談判一兩次贖金，受害組織范圍從非常小的企業到大型企業，涵蓋所有行業。根據為他公司最新的勒索軟件報告所做的研究，制造、技術、建筑、政府和醫療保健在今年第二季度受到的打擊最為嚴重。

我還看到了 2500 萬美元的初始需求……到處都是

他說，他曾經看到一個“不太老練的團體”要求贖金，他們只想要 2,000 美元。“但我也看到了 2500 萬美元的初始需求，”他補充說。“所以他們到處都是。”

施密特說，他曾兩次通過談判將贖金降至零美元。“在不同類型的醫療保健領域，當我們走到桌前說，‘嘿，我們是一家醫療保健組織。我們有責任拯救生命，’他們基本上說，‘我們很抱歉。我們是會給你一個免費的解密器。'"

當然，這些都是異常值，Hive等一些團體專門針對醫療保健行業，假設因為生命和高度敏感的個人數據處于危險之中，除其他因素外，醫院更有可能支付費用以使整個混亂局面離開。 

事實上，今年早些時候 Sophos 的一份報告稱，2021 年，66% 的受訪醫療保健組織受到勒索軟件的攻擊——高于前一年的 34%，增幅為 94%。 

隨著勒索軟件和純粹的敲詐勒索成為不法分子的堅實收入來源，對網絡保險和勒索軟件談判者等東西的需求自然會增加，他們充當勒索軟件團伙和受害者之間的中間人。有時你可能想在你和犯罪分子之間放置一個人，一個可以進行加密貨幣支付的人，或者討價還價，或者從勒索者那里獲得解密器，等等。

根據Palo Alto Networks 事件響應團隊 3 月發布的研究，2021 年針對其所知道的攻擊的平均贖金需求為 220 萬美元，比前一年增加了 144%。與此同時，去年的平均付款躍升至 541,010 美元，比 2020 年增長 78%。 

從電子郵件贖金記錄到 Tor 泄漏站點

施密特大約六年前開始從事事件響應 (IR) 和威脅情報工作，并表示他在 2019 年“陷入”勒索軟件談判。

“這是事件響應工作的自然進展，”他說。隨著勒索軟件感染變得越來越普遍，施密特開始提升 IR 階梯，并在調查和響應過程中扮演各種角色。“其中一個最終與威脅行為者進行了談判。”

早在 2019 年左右，這些談判是通過電子郵件進行的。但從那時起，勒索軟件團伙已經成熟并發展了業務運營，包括與受害者進行即時通訊以找出交易、幫助傳播惡意軟件的附屬機構以及具有非技術職權范圍的員工，正如更大的地上世界通過Conti了解到的那樣今年早些時候 泄漏。

如今，大多數犯罪集團都有自己的網站，通過這些網站開展業務，有些還設有公關和營銷部門以及內部服務臺。 

施密特說，“現在它通常只是一個 URL”，而不是關心電子郵件，將受害者引導到勒索者的 Tor 隱藏網站，受害者和騙子之間的交流發生在 Tor 瀏覽器中顯示的聊天框中。這是施密特通常被要求幫助事件響應的時候，有時，勒索軟件談判。 

談判過程本身涉及將所有關鍵業務部門帶到談判桌前：C-suite 高管、網絡安全分析師、律師、人力資源和公關代表。 

“除了技術響應之外，所有將參與行政響應的關鍵團隊，”施密特說。“所有這些參與者都將參與確定談判策略的樣子。”

你應該和罪犯談判嗎？

然而，他們需要回答的第一個問題是是否與犯罪分子進行談判。 

美國聯邦機構表示，組織不應該支付贖金要求 [ PDF ]，一些私人安全公司甚至表示這會使企業面臨隨后的勒索軟件攻擊。無論如何，這不是一個容易回答的問題，我們被告知，談判與否的決定是兩方面的。

如果我們暴露在勒索軟件泄漏網站上，這將如何影響我們的品牌？

“人們正在從純粹的技術角度看待它，”施密特說。這包括確定公司是否有能力從被勒索軟件加擾的備份中恢復數據，使用免費工具解密文件，或者以其他方式在不支付贖金的情況下使 IT 環境恢復在線。

“然后另一方是有法律依據的，”他說。“這是您開始回答以下問題的地方：如果我們暴露在勒索軟件泄漏站點上，這將如何影響我們的品牌？如果我們在勒索軟件泄漏站點上暴露某些類型的數據，這將如何潛在地影響合規性? 與此相關的風險是什么，我們有哪些選擇？

施密特所說的一個想法通常不會出現在討論中——除非犯罪團伙已受到美國財政部或類似機構的制裁，在這種情況下向他們支付贖金是非法的——支付贖金的道德規范這反過來又為額外的非法活動和支持或策劃勒索軟件活動的潛在壓迫性政權提供資金。  

“如果我完全誠實的話，關于資金在事后的去向的討論并不多，”他承認道。

施密特說， LockBit在過去兩年中仍然是最多產的幫派，并補充說，在該組織解散形成其他幫派之前，孔蒂還讓他的談判伙伴們忙得不可開交。

這些犯罪組織中的每一個都有自己的怪癖、歷史和方法，在談判過程中了解和利用它們可能很有用。 

“我們詳細記錄了來自不同威脅團體的所有互動，然后我們利用它來發揮我們的優勢——這種技術可能比那種技術效果更好，或者這個團體已知會談判，或者你不能推動它很長一段時間，他們才會感到無聊并繼續前進，”施密特說。“他們都有我們用來確保我們沒有按錯按鈕并為我們提供最大成功機會的特征，以盡可能降低贖金。”

然而，犯罪分子通常也會做功課。例如：研究受害者組織的網絡保險政策。 

“通常情況下，我們會將此視為一種談判策略，”施密特說。“'我們找到了你的保險單，我們知道你的保險金額為 1000 萬美元，所以這就是我們開始的地方。'”

支付初始需求并不經常發生。總是有一些討價還價和狡辯。他說，企業在確定解決問題所需的預算時，還必須考慮恢復成本和與安全漏洞相關的其他費用。 

就像買車一樣

“但這是我們開始的地方，”施密特評論說，指的是最初的要求。“從那里開始，你會在許多其他商業應用程序中看到傳統的來回談判過程——或者試圖買車。”

也就是說，如果你和汽車銷售員連續幾天被鎖在一個房間里，而他們威脅要在網站上泄露你的私人信息讓所有人都能看到，如果你也接受，他們可能會決定提高要價很長時間才能達成協議。

施密特承認這是一份高度焦慮的工作。“賭注真的很高，”他說。“對于一般的事件響應，尤其是勒索軟件，壓力真的很大。

“對于與你合作的更多客戶來說，這是他們職業生涯中最糟糕的時刻，也可能是他們經歷過的最糟糕的時刻，而你被迫陷入試圖幫助他們擺脫困境的境地他們職業生涯中最糟糕的時期。”