国外整理勒索软件谈判的工作原理

勒索软件攻击时会发生什么？
在理想情况下，勒索软件攻击应该会触发一个经过充分演练的灾难恢复计划，但不幸的是，许多组织都措手不及。虽然大型企业可能有一个事件响应团队和计划来处理网络攻击，但处理勒索软件攻击的各个方面的程序 —— 包括数据泄露的威胁、与客户和监管机构的外部沟通以及做出协商决定与威胁参与者 - 通常会丢失。

“即使在确实有 IR 计划的大型上市公司中，他们通常也不会涵盖与勒索软件相关的详细信息，” 威胁情报和勒索软件谈判公司 GroupSense 的首席执行官 Kurtis Minder 告诉 CSO。“一旦我们进入解密谈判的过程，做出商业决策，谁应该参与，很多都没有记录。也没有消息或公关计划。对于我们进入的大多数公司来说，这些都不存在，这很不幸。”

另一家也提供勒索软件响应服务的威胁情报供应商 Flashpoint 欧洲、中东和非洲地区副总裁 Ian Schenkel 表示，即使对于已经实施了他们的 IR 计划并制定了适当程序的公司，当勒索软件来袭时，它仍然是一种盲目的恐慌。“我们不仅仅是在处理一个加密文件和加密整个网络的勒索软件。我们最近看到的是第二个因素，他们实际上试图通过说：' 如果你不支付赎金，我们就会泄露关于你组织的所有信息。”

换句话说，随着越来越多的勒索软件组织采用这种将文件加密与数据盗窃相结合的双重勒索技术，最终是拒绝服务的勒索软件攻击也变成了数据泄露，根据您在世界上的哪个地方，它会受到各种监管义务的约束。是什么类型的数据被泄露。虽然过去私营公司不必公开披露勒索软件攻击，但由于这种数据泄露组件，他们可能会越来越多地被迫披露。

当勒索软件攻击来袭时，需要执行两项关键且对时间敏感的操作：

确定攻击者如何进入、关闭漏洞并将其踢出网络
了解您正在处理什么，这意味着确定勒索软件变体，将其与威胁行为者联系起来，并建立他们的可信度，特别是如果他们还提出数据盗窃索赔。
第一个行动需要一个内部或外部的事件响应团队，而第二个行动可能需要一个专门从事威胁情报的公司。

一些大公司保留此类公司，但许多组织没有，并且在面临勒索软件攻击时经常感到迷茫，最终失去了宝贵的时间。在这些情况下，更好的方法可能是聘请在管理网络攻击响应方面具有专业知识的外部顾问。据与 CSO 交谈的国际律师事务所 Orrick 的律师称，在大约 75% 的情况下，外部律师首先被召集并开始响应流程，其中包括：

通知执法部门
让法医人员参与
与组织领导一起在内部举行简报会
按特权覆盖调查
评估可能需要的外部通知
帮助受害者组织与其保险公司联系，通知他们有关攻击的信息，并获得费用的批准，包括律师、法医、危机沟通以及其他任何所需的费用，包括在做出决定后支付赎金。
谁来决定是否支付赎金？
应尽早开始与保险提供商的讨论，因为根据保单的规定，他们可能会在选择 IR 供应商和其他参与事故的各方时有更大或更小的意见。保险公司通常有经批准的供应商名单。

然而，在决定是否支付赎金时，根据奥瑞克律师的经验，公司会自行做出决定，然后联系他们的保险提供商，看看他们是否同意。在某些情况下，无论他们的保险是否涵盖勒索软件付款，受影响的公司都可能决定付款，因为攻击对其业务的影响如此之大，以至于它无法承受不付款。他们希望以后能从保险公司收回这笔钱或部分钱。

决策过程通常涉及总法律顾问、CIO 和 COO。总法律顾问根据合法性和风险权衡决定。CIO 及其团队负责备份流程和业务连续性或灾难恢复计划。首席运营官根据受影响的数据如何影响运营做出决定。例如，CIO 可以确定备份存在，但受影响系统的数量如此之多，以至于恢复它们将需要很长时间，并且 COO 可以确定业务运营无法在长时间停机的情况下继续存在。奥瑞克的律师表示，归根结底，这是一项商业决策，因此首席执行官通常也会权衡利弊，或者在许多情况下必须最终批准支付赎金。

在批准勒索软件付款之前，保险公司会询问各种问题，例如备份的状态、它们是否在攻击期间被破坏、是否存在异地备份、有多少系统受到影响，或者恢复它们需要多长时间。他们还可能会调查威胁行为者以确定他们是否在财政部的制裁名单上，如果他们在他们的政策中有例外，他们可能会拒绝付款。

10 月，美国财政部外国资产控制办公室 (OFAC) 发布了一份咨询报告，提醒组织如果在支付勒索软件时违反制裁规定，将面临民事处罚。但是，如果保险公司拒绝支付勒索软件付款，该组织可能仍会决定继续这样做以挽救业务，但他们将面临的下一个障碍是付款服务商的决定。

勒索软件支付是用加密货币进行的，公司通常没有加密钱包和数百万美元的加密货币。他们必须依靠具有基础设施的第三方来进行此类付款。根据 OFAC 的建议，如果威胁集团在制裁名单上，这些第三方也可以拒绝付款。通常，专门从事勒索软件谈判的公司也是代表受害者的付款服务商。

勒索软件协商如何进行？
根据 GroupSense 的 Minder 的说法，在使用他们提供的通信方法（通常是一些加密的电子邮件服务）接近攻击者之前，IR 团队必须确保攻击已被隔离并且攻击者已被踢出网络。

“想象一下，如果我正在与一个威胁行为者谈判，而那个威胁行为者仍然可以访问网络。这对我们来说是一个很大的筹码，” 明德说。“因此，我们立即尝试做的一件事就是与 IR 团队密切合作，以确定他们是否被拒之门外并且无法重新进入。”

根据 Minder 的说法，第二部分是获取 IR 团队收集的有关攻击的所有信息，包括哪些数据已被泄露，并确定威胁参与者及其现有资料和过去的剧本。了解他们过去要求的赎金、确定他们的成熟度、在任何给定时间他们可能有多少其他组织陷入困境，这些都是可以决定如何进行谈判的宝贵信息。

Minder 说，如果他们妥协了 30 或 40 家公司，那可能会改变他们的行为，而且他们在谈判时可能会缺乏耐心，因为他们有很多其他选择。

许多黑客组织根据受害者的个人资料定制他们的赎金要求，如果它是一家公司，通常会要求该组织估计年收入的一定比例。但是，如果从不可靠的来源获得或没有有关业务结构的更多详细信息，则可能会被严重高估。例如，受害者的母公司可能是一家价值数十亿美元的国际企业集团，但实际受害者可能是某个国家的小企业。在政府层面，联邦机构和小城市的财政资源之间存在显着差异，攻击者可能无法直接察觉到这些差异。

根据明德的说法，谈判者可以与攻击者进行讨论，让他们了解受害者的实际财务状况，但最好客观地将其视为任何商业交易，而不是依赖情绪，这可能是受害者如果他们试图自行谈判，则倾向于这样做。

也就是说，与攻击者发生的所有通信都可以通过安全门户实时提供给受害组织，他们可以权衡并提出意见或建议。

在某些情况下，受害者可以从备份中恢复他们的一些系统，这可以用作谈判中的杠杆，因为受害者不会愿意支付全额赎金只是为了能够解密剩余的一些数据系统。这是具有尽快检测攻击的能力并制定 IR 计划来响应和限制损害非常重要的另一个原因。

数据保护公司首席信息安全官蒂姆班多斯 (Tim Bandos) 表示：“在识别正在进行的攻击或看到勒索软件在整个环境中部署时，需要在早期阶段考虑的一件大事是尽快控制和隔离它 Digital Guardian 告诉 CSO。“这归结为确定事件的范围并查看日志并确定这件事的去向以及我们可以有效地将其切断的地方。我们已经有了能够阻止它的实例。它转移到了 10 或 15 个服务器一支大约 3,000 人的舰队。” 在这种情况下，受害者甚至可能不需要支付赎金，因为从备份中恢复 10 或 15 台服务器不会花费很多时间，而在数千个系统的情况下，支付赎金和解密数据可能会更快.

即使存在备份，恢复受影响的系统也可能存在困难，因为应用程序及其软件堆栈已过时。Bandos 遇到过这种情况，制造业的客户有数据备份，但服务器运行为他们在过时的 Windows 服务器版本上创建的内部应用程序，因此必须完全重建系统。该服务器的停机时间使公司每小时损失 10,000 美元，因此他们支付了赎金。

测试备份的恢复过程并使用系统正常运行所需的所有软件创建系统映像也很重要。拥有适当的检测功能和端点软件，可以检测和阻止文件加密例程并快速将系统与网络隔离也非常有价值。

Minder 和 Flashpoint 的 Schenkel 都表示，勒索软件组织通常愿意进​​行谈判，在大多数情况下，受害者最终支付的赎金只是他们要求的原始金额的一小部分。那是因为攻击者也面临着时间压力。讨论拖得越久，受害者的 IR 团队恢复系统的时间就越多。最重要的是，根据 Schenkel 的说法，数据显示只有 25% 到 30% 的赎金被支付，攻击者也意识到了这一点。

“尽管我们说威胁行为者有多糟糕，但他们仍然只是试图出售某些东西的人，所以他们会有一个起价，” 申克尔说。“有时这是收入的 10%，有时高达收入的 20%，但这是一个起点。他们总是乐于谈判并‘合理’，如果这是正确的话，因为在这种情况下根本没有任何合理之处.”

但是，在进行任何交易之前，威胁行为者必须证明他们有解密文件的能力。这通常是在一组样本数据上完成的，但这并不意味着没有风险。在某些情况下，攻击者提供的解密器可能存在错误，或者可能无法在某些系统或卷上工作，或者某些数据可能已损坏。一些公司专门对此类解密器进行逆向工程，并在仅使用攻击者提供的解密密钥的更有效工具中重新实现它们。

也可能存在攻击者在网络上的不同系统上使用不同密钥的情况，这就是为什么在接近攻击者之前让取证和威胁情报组件了解攻击者及其作案手法很重要的原因。

一旦通过谈判者提供或同意的基础设施进行支付，通信的完整记录、收集到的有关威胁行为者的信息以及交易信息都会提供给客户，用于记录保存和法律原因。

泄露数据的威胁使谈判和恢复复杂化
在处理作为同一攻击的一部分的数据窃取时，攻击者还威胁要泄露数据，事情会稍微复杂一些，因为无法保证攻击者已经销毁了窃取的数据。同样专门从事勒索软件响应和谈判的安全公司 Coveware 去年报告说，他们已经看到许多已经支付赎金的受害者后来被相同的数据集勒索，或者数据无论如何都在网上泄露的案例。

随着越来越多的勒索软件组织采用这种技术，勒索软件事件将不得不被视为数据泄露，并完成在这种情况下所需的所有流程。受害者可能还必须考虑向威胁情报公司支付费用，以监控地下论坛和市场的被盗数据，以保持领先地位，以及如何利用这些数据采取额外的预防措施。

一些勒索软件团伙甚至采取了三重勒索策略。Grief 是一个以前以 DoppelPaymer 勒索软件而闻名的勒索软件组织，它警告受害者，如果他们联系执法部门或聘请专业的勒索软件谈判人员或数据恢复专家，他们将销毁解密密钥。 

Grief 勒索软件与 Evil Corp 有关联，该组织已被美国财政部列入制裁名单。如果联系执法部门或勒索软件谈判人员，受害者很有可能会知道他们在与谁打交道，而且他们支付赎金的可能性会大大降低，因为他们可能面临民事处罚，而且他们的保险公司可能不会支付这笔款项。Evil Corp 有明确的动机来阻止受害者联系第三方，但它并不是最近采取这种立场的唯一勒索软件组织。其他团体感到不安，因为赎金谈判日志有时会泄露并出现在媒体文章或 Twitter 上。 

Emsisoft 的威胁分析师 Brett Callow 告诉 CSO：“威胁行为者不希望他们的受害者联系执法部门这一事实是一个非常强烈的迹象，他们应该这样做。” “执法机构可以为受害者提供宝贵的帮助，在某些情况下，甚至可以帮助他们恢复数据，而无需支付赎金。”

9 月份更新的 OFAC 咨询更加强调联系执法部门，将其作为考虑对违反制裁的执法响应时的主要缓解因素之一。

事后分析确定经验教训
每个事件还将在相关各方（法律团队、IR 和 IT 团队、勒索软件谈判专家）之间进行事后审查，所有信息都将在其中进行审查。从这个过程中吸取的教训应该转化为一个项目，以提高组织在未来阻止或减缓此类攻击的能力。