大家對(duì)于勒索軟件付贖金的態(tài)度正在發(fā)生改變，但不一定是變得更好。

在上周舉行的2020年RSA大會(huì)中，勒索軟件攻擊和防御是大家討論的主要話題。大部分討論集中在不斷變化的威脅，特別是攻擊者威脅要泄漏受害者的數(shù)據(jù)，以此迫使他們支付贖金。而其他討論涉及勒索軟件的經(jīng)濟(jì)學(xué)問題，包括圍繞支付贖金的道德問題，并且多名專家表示，近年來，企業(yè)對(duì)支付贖金的態(tài)度已經(jīng)發(fā)生了巨大變化。

[[317957]]

Deloitte公司網(wǎng)絡(luò)戰(zhàn)略、防御和響應(yīng)部門負(fù)責(zé)人Andrew Morrison說：“支付贖金的意愿已經(jīng)上升。在兩年前甚至18個(gè)月前，人們普遍的看法是‘我們不與恐怖分子進(jìn)行談判，我們不支付贖金。’這是聯(lián)邦調(diào)查局的建議，也是我們的建議-每個(gè)人的建議都是不要支付贖金，因?yàn)檫@只會(huì)使情況變得更糟，并且你不能保證恢復(fù)數(shù)據(jù)。”

Morrison認(rèn)為，這種觀念發(fā)生了巨大變化。

他說：“現(xiàn)在，幾乎每個(gè)企業(yè)都將其視為業(yè)務(wù)決策，他們像權(quán)衡其他財(cái)務(wù)決定一樣權(quán)衡支付贖金的決定。這筆支出是否值得?”

Malwarebytes Labs主管Adam Kujawa說，這種態(tài)度的改變是勒索軟件攻擊演變的直接結(jié)果，攻擊者將目光投向更大的企業(yè)目標(biāo)，勒索軟件攻擊變得越來越具有破壞性。

Kujawa說，在最初的幾年里，勒索軟件主要針對(duì)消費(fèi)者，而行業(yè)標(biāo)準(zhǔn)建議是不要支付贖金。

他說：“不要給這些人付錢，不要鼓勵(lì)他們，支付贖金只會(huì)使情況變得更糟。美國聯(lián)邦調(diào)查局也這么建議。但是現(xiàn)在情況已經(jīng)有所不同，勒索軟件比以往任何時(shí)候都更具針對(duì)性?，F(xiàn)在勒索軟件專門針對(duì)更大的網(wǎng)絡(luò)，當(dāng)感染整個(gè)網(wǎng)絡(luò)時(shí)制造盡可能大的破壞，正如我們看到的Emotet和TrickBot這樣的特洛​​伊木馬，它們會(huì)橫向移動(dòng)并能夠破壞整個(gè)網(wǎng)絡(luò)，然后在每個(gè)端點(diǎn)都被感染后啟動(dòng)勒索軟件。”

支付贖金的風(fēng)險(xiǎn)

對(duì)于拒絕支付贖金，甚至執(zhí)法機(jī)構(gòu)和政府官員似乎也軟化了立場(chǎng)。在RSA大會(huì)期間，F(xiàn)BI監(jiān)管特工Joel DeCapua強(qiáng)調(diào)了支付勒索軟件贖金的風(fēng)險(xiǎn)，并建議不要這樣做，但他也承認(rèn)某些企業(yè)可能別無選擇。

DeCapua說：“我們不主張支付贖金。我們看到有的人支付了贖金，然后又沒有取回他們的數(shù)據(jù)。”

DeCapua說：“很多時(shí)候，當(dāng)你支付贖金時(shí)，攻擊者實(shí)際上在系統(tǒng)上還有很多其他后門程序。你不會(huì)得到想要的東西;結(jié)果也不是很好。我們鼓勵(lì)人們不要支付贖金，但是我們確實(shí)理解，當(dāng)人們處于這種可怕的境況中時(shí)，他們必須做出艱難的選擇。”

在RSA大會(huì)的另一場(chǎng)針對(duì)勒索軟件的會(huì)議上，司美國法部計(jì)算機(jī)犯罪和知識(shí)產(chǎn)權(quán)科的高級(jí)律師William Hall談到SamSam勒索軟件，在會(huì)議期間，Hall猶豫是否參加有關(guān)是否支付贖金的辯論，但他指出雙方的積極態(tài)度。

Hall說：“很多執(zhí)法人員相信，如果受害者停止支付贖金，則最低限度的勒索軟件對(duì)犯罪分子來說不是非常有效的手段，并且他們可能會(huì)停止。我今天在這里并不會(huì)談?wù)撨@個(gè)非常困難的問題領(lǐng)域。”

他說，但是，受害者為SamSam勒索軟件支付贖金是“重要的證據(jù)”，有助于執(zhí)法機(jī)構(gòu)識(shí)別攻擊者。

信息安全社區(qū)中的一些人表示擔(dān)心，對(duì)勒索軟件支付贖金的態(tài)度轉(zhuǎn)變導(dǎo)致更多企業(yè)向攻擊者支付贖金付款，他們擔(dān)心這會(huì)導(dǎo)致更多攻擊。Risk Based Security首席執(zhí)行官兼首席信息安全官Jake Kouns同意，支付贖金的趨勢(shì)有所增加，尤其是在安全預(yù)算較小且可能沒有足夠攻擊準(zhǔn)備的中小型企業(yè)中。

他說：“這是一個(gè)艱難的局面，因?yàn)槟悴幌霝楦嗟墓糇龀鲐暙I(xiàn)。但同時(shí)，如果不支付贖金，企業(yè)可能面臨倒閉的風(fēng)險(xiǎn)，他們真的愿意為了更大的利益而選擇倒閉嗎?”

Morrison說，Deloitte對(duì)遭受嚴(yán)重勒索軟件攻擊的制藥客戶進(jìn)行了事件響應(yīng)(IR)，攻擊者對(duì)該公司即將上市的藥物研究進(jìn)行了加密，而該藥物可能挽救生命。

他說：“對(duì)于他們來說，他們肯定要支付贖金，因?yàn)檫@不僅是收入的損失，而且涉及生命。”

Morrison稱，有些攻擊并未到這個(gè)程度，但客戶仍然選擇支付贖金。

他說：“有時(shí)他們會(huì)選擇支付贖金，他們說，如果我激活我的[IR]固定器，花費(fèi)將比贖金還多。這是最初的心態(tài)。他們不一定理解的是這一決策充滿風(fēng)險(xiǎn)。你并不是得到一個(gè)神奇的鑰匙，然后將其插入，一切都會(huì)恢復(fù)。”

勒索軟件攻擊呈上升趨勢(shì)

勒索軟件支付贖金增加的另一個(gè)因素是攻擊數(shù)量的增加。思科Talos情報(bào)小組的外聯(lián)負(fù)責(zé)人Matt Valites表示，由于攻擊在受害者的IT環(huán)境使攻擊變得更加嚴(yán)重和普遍，因此，支付贖金的決定不只是單純的財(cái)務(wù)權(quán)衡。

他說：“現(xiàn)在有很多勒索軟件，我們的IR團(tuán)隊(duì)不斷看到勒索軟件。是否支付贖金是企業(yè)自身但決定，這取決于很多事情，例如你的預(yù)算是多少。并且，即使你付錢，你也無法擺脫這一情況，攻擊者可以馬上再重來一次。”

盡管事件響應(yīng)專家發(fā)出警告，但專家表示，勒索軟件的趨勢(shì)正在朝錯(cuò)誤的方向發(fā)展。Morrison說，最大的問題是勒索軟件攻擊很成功，企業(yè)正在努力阻止感染以及對(duì)其環(huán)境的破壞。

Morrison說：“網(wǎng)絡(luò)安全一直是貓鼠游戲，比的是誰有更好的武器、更好的防御。這一直處于平衡狀態(tài)，但現(xiàn)在我認(rèn)為我們正在失去這一平衡。在恢復(fù)平衡之前，以及在有更好的防御來應(yīng)對(duì)勒索軟件之前，這一趨勢(shì)繼續(xù)發(fā)展。”