[[426878]]

1. 為什么有這么多受害者被勒索軟件要求贖金?

簡單來說，支付可能比不支付更具成本效益，或者至少最初看起來如此。當WannaCryptor(又名 WannaCry)在 2017 年對世界造成惡意負載時，英國的國家醫(yī)療服務體系對其基礎設施造成了重大打擊。它們受到如此嚴重打擊的原因有據(jù)可查，重建費用也有據(jù)可查：估計為 1.2 億美元。這還沒有考慮由于 19,000 多個國家醫(yī)療服務體系預約而導致的人力成本。

然后在 2018 年，亞特蘭大市在其智能城市服務器基礎設施上遭受了 SamSam 勒索軟件的攻擊，網(wǎng)絡犯罪分子要求支付 51,000 美元的巨額贖金。幾年過去了，據(jù)報道重建系統(tǒng)的成本在 1100 萬美元到 1700 萬美元之間。

以公開記錄的事件為例，重建成本遠高于贖金。由于上述兩個例子都是地方政府或中央政府，這些受害者的道德指南針可能指向他們沒有資助下一次網(wǎng)絡犯罪事件?？上H僅一年后，佛羅里達州的湖城和里維埃拉海灘市政府分別交出了 500,000 美元和 600,000 美元，用于支付勒索軟件的要求。

事實上，Cybereason最近的一項調(diào)查發(fā)現(xiàn)，幾乎一半支付贖金的企業(yè)在收到解密密鑰后并沒有重新獲得對所有關鍵數(shù)據(jù)的訪問權(quán)限。那為什么要支付需求呢?勒索軟件的業(yè)務在雙方都變得更加商業(yè)化和復雜化：由于公開披露的重建成本，以及勒索軟件談判者和網(wǎng)絡保險的全新行業(yè)，網(wǎng)絡犯罪分子了解他們犯罪中涉及的數(shù)據(jù)的價值另一邊出現(xiàn)了。一個新的業(yè)務部門誕生了：公司和個人開始從促進支付勒索要求中獲利。

同樣重要的是要記住勒索軟件可能對獲得專家資源的較小企業(yè)造成的破壞性影響。支付需求可能是企業(yè)生存的一天和永久關閉大門之間的區(qū)別，就像 The Heritage Company 發(fā)生的那樣，導致 300 人失業(yè)。在有隱私立法的國家，付費也可能消除通知監(jiān)管機構(gòu)的需要;但是，我懷疑無論付款是否以刪除泄露數(shù)據(jù)為條件，都應該始終將違規(guī)情況通知監(jiān)管機構(gòu)。

2. 贖金付款通常不違法

2020 年 10 月，美國財政部外國資產(chǎn)控制辦公室 (OFAC)宣布在某些情況下支付勒索軟件要求是非法的。向個人、組織、政權(quán)以及在某些情況下整個制裁名單上的國家提供便利是非法的。重要的是，一些網(wǎng)絡犯罪集團在制裁名單上。向制裁名單上的任何人發(fā)送或協(xié)助發(fā)送資金是否已經(jīng)非法?我認為可能是這樣，那么此公告中有哪些新內(nèi)容?選民需要認為他們的政府正在采取措施阻止向網(wǎng)絡犯罪分子提供現(xiàn)金的浪潮。歐盟遵循類似的制度，其制裁制度禁止向官方制裁名單上的各方提供資金。

除了 OFAC 的裁決外，在美國仍然沒有關于支付勒索軟件要求的明確指導，據(jù)專家稱，它甚至可以免稅。這可能會影響企業(yè)是否允許自己被勒索的決策過程。

網(wǎng)絡犯罪背后的地點或人員的歸屬很難證明，技術通常有助于確保其中許多群體保持匿名和游牧，或至少部分保持匿名。但是，在決定是否付款時，了解您的付款人可能是一項基本要求，因為無意中向制裁名單上的個人或團體付款可能會導致收款人觸犯法律。請記住，名單上的一些人可能會趁機躲在一個團體中，但仍然分享收益，可能使付款成為非法。

Colonial Pipeline最近支付了 75 個比特幣(當時為 440 萬美元)，盡管 FBI收回了 63.7 個比特幣(收回時約為230 萬美元，但按支付贖金時的匯率計算為 370 萬美元) ，表明使用制裁名單禁止付款是無效的。Darkside 是這次襲擊背后的壞人，據(jù)稱組織位于俄羅斯，他們一直小心翼翼地避免列入名單，例如確保他們的數(shù)據(jù)存儲不在伊朗，從而將他們的“業(yè)務”保留在不在伊朗境內(nèi)的地區(qū)，就不在成為制裁名單。

3. 勒索軟件即服務商業(yè)模式

由于Colonial Pipeline引起的不必要的關注，網(wǎng)絡犯罪組織 Darkside 現(xiàn)在已經(jīng)解散。它是否在制裁名單上，它的關閉是否意味著它在收入預測中的攻擊將停止?我不知道為什么所有已知的網(wǎng)絡犯罪組織都不在制裁名單上，但也許這太合乎邏輯了。這些群體通常是服務提供商，而不是創(chuàng)造“商機”的實際攻擊者;相反，他們提供基礎設施和服務來支持攻擊者，然后分享所產(chǎn)生的收入。這通常被稱為“勒索軟件即服務”或 RaaS，實際攻擊者是 RaaS 組織的商業(yè)附屬機構(gòu)。

攻擊者識別目標，以某種方式滲透他們的網(wǎng)絡，識別并泄露敏感數(shù)據(jù)的副本，然后將來自其 RaaS 提供商(例如 Darkside)的惡意代碼施加到受害者身上。RaaS 提供商通過后端服務促進攻擊，一旦受害者付款，收益就會被分割，通常是 75/25。當 Darkside 退出該業(yè)務時，其他勒索軟件服務提供商可能會從中受益，并獲得獎金日，新的附屬公司加入正在進行的預先存在的合格交易 。

這可能會引發(fā)這樣一個問題：誰對攻擊負責——附屬機構(gòu)還是服務提供商?媒體報道的歸因通常來自網(wǎng)絡取證團隊，并將所有權(quán)授予服務提供商，通過惡意代碼的類型、支付細節(jié)等進行識別，這些都是簽名且非常容易識別。我們很少聽到的是事件的始作俑者，即附屬公司;這很可能是那個看起來狡猾的人，當然也可能是一個老練的黑客，他正在利用未修補的漏洞或有針對性的魚叉式網(wǎng)絡釣魚攻擊，并且正在經(jīng)營可擴展且資源豐富的網(wǎng)絡犯罪業(yè)務。

當前的趨勢是通過加密來竊取數(shù)據(jù)并拒絕訪問數(shù)據(jù);因此，現(xiàn)在的攻擊通常還涉及數(shù)據(jù)泄露的要素。

4. 為防止數(shù)據(jù)被發(fā)布或出售而付費是否違法?

個人或敏感信息可能在暗網(wǎng)上被披露或出售的威脅可被視為另一種形式的勒索。通過脅迫獲取利益，這在大多數(shù)司法管轄區(qū)是刑事犯罪。在美國，勒索軟件要求不斷涌現(xiàn)，勒索包括奪取財產(chǎn)和以書面或口頭方式向受害者灌輸恐懼，如果他們不遵守勒索者的要求，就會發(fā)生什么事。勒索軟件案件中的數(shù)據(jù)加密和系統(tǒng)訪問限制是受害者已經(jīng)發(fā)生的事情，但對泄露的數(shù)據(jù)將被出售或發(fā)布在暗網(wǎng)上的恐懼是向受害者灌輸恐懼。

5. 網(wǎng)絡保險是導致還是解決問題?

當前支付勒索軟件需求的趨勢以及“只是與開展業(yè)務相關的成本”的態(tài)度是不健康的。董事會會議上的問題應側(cè)重于使組織盡可能保持網(wǎng)絡安全，并采取一切可能的預防措施。對于保險，可能存在自滿因素，最低限度滿足遵守保險公司規(guī)定的要求，然后繼續(xù)“照常營業(yè)”，知道如果發(fā)生不幸事件，公司可以采取措施把保險公司推到前線。這兩起事件影響了里維埃拉海灘和萊克城，這兩座城市都由保險公司承保，猶他大學支付了 475,000 美元，據(jù)報道，Colonial Pipeline 也部分由網(wǎng)絡保險承保。

雖然網(wǎng)絡保險可以為贖金支付提供資金并進行談判以產(chǎn)生緩沖影響，但如前所述，當然還涉及許多其他成本。Norsk Hydro 的保險公司在公司 2019 年遭受攻擊時支付了 2020 萬美元，總成本估計在 58 美元至 7000 萬美元之間;一些額外的金額也可能已由保險承保。

如果我是網(wǎng)絡犯罪分子，我的首要任務就是找出誰擁有網(wǎng)絡保險，將目標范圍縮小到極有可能支付的人——這不是他們的錢，那么他們?yōu)槭裁床荒?這可能就是為什么CNA Financial成為攻擊目標并據(jù)報道支付了 4000 萬美元以重新獲得對其系統(tǒng)的訪問權(quán)，并且我認為可以恢復被盜的數(shù)據(jù)。作為一家提供網(wǎng)絡保險的公司，大筆付款可以被視為不攻擊 CNA 客戶的付款，因為保險公司最終會為每次攻擊付費。這假設網(wǎng)絡犯罪分子獲得了客戶列表的訪問權(quán)限，但尚不清楚。另一方面，如果保險公司賠付，如果他們的一個被保險客戶受到攻擊，他們很難不賠付——在這種情況下，賠付可能會發(fā)送錯誤的信息。

網(wǎng)絡保險可能會繼續(xù)存在，但從網(wǎng)絡安全的角度來看，保險應該要求的條件——彈性和恢復計劃——應該定義極高的標準，從而減少任何索賠的可能性。不得讓保險成為后備選項。被攻擊了?這很麻煩，但沒關系……我們有保險。

6. 是時候禁止勒索軟件付款了嗎?

愛爾蘭衛(wèi)生服務機構(gòu)的 Conti 勒索軟件組織在 5 月份發(fā)起的勒索軟件攻擊可能凸顯了不禁止向網(wǎng)絡犯罪分子支付解密器費用的原因，并禁止為不發(fā)布他們泄露的數(shù)據(jù)而支付費用。

對殖民地管道的攻擊也是如此;沒有政府希望看到加油站排起長隊，如果不付費就意味著不向公民提供服務或提供有限的服務，這可能會在政治上造成破壞。對基礎設施的攻擊會導致道德困境，在知道資金用于為未來的網(wǎng)絡攻擊提供資源的情況下付款是很困難的。

支付勒索軟件的需求似乎也為網(wǎng)絡犯罪分子創(chuàng)造了第二次機會：根據(jù)前面提到的 Cybereason 的調(diào)查，支付贖金的企業(yè)中有 80% 隨后再次遭受攻擊，46% 的公司認為這是同一個攻擊者。如果數(shù)據(jù)顯示支付需求會導致額外的攻擊，那么禁止第一次支付將顯著改變網(wǎng)絡犯罪分子賺錢的機會。

由于對人類生命的潛在損害或風險，我很欣賞不禁止勒索軟件付款的論點;然而，這種觀點似乎與現(xiàn)行立法相矛盾。如果對主要醫(yī)療服務發(fā)起下一次攻擊的組織在制裁名單上，支付就已經(jīng)是非法的;這意味著組織可以支付一些網(wǎng)絡犯罪分子，但不能支付其他費用。例如，如果道德困境是關于保護公民，那么醫(yī)院支付任何勒索軟件攻擊都是合法的，無論攻擊者是誰。

政府通過制裁名單選擇哪些網(wǎng)絡犯罪分子可以得到報酬，哪些不能，在我看來，這似乎不是正確的行動方案。

7. 加密貨幣難題

大多數(shù)金融機構(gòu)都受到監(jiān)管并被要求滿足某些標準，以防止和檢測洗錢活動——通過犯罪活動獲得的資金。開設銀行賬戶或在新的金融機構(gòu)投資需要您毫無疑問地證明您的身份，需要護照、水電費和大量個人信息。在一些國家，這擴展到聘請律師、房地產(chǎn)交易以及許多其他類型的服務和交易。然后是加密貨幣，勇敢的投資者的狂野西部和網(wǎng)絡犯罪分子的首選貨幣。

加密貨幣提供了一定程度的匿名性，為網(wǎng)絡犯罪分子提出的要求和受害者處理付款建立了一種方法，而無需披露誰收到付款。值得注意的是，并非所有加密貨幣在這方面都是平等的，有些加密貨幣至少提供了接收錢包的一瞥，但沒有提供錢包背后的人，還有一些甚至隱藏了錢包本身。

在上個月，政客們對如何監(jiān)管加密貨幣感到困惑。薩爾瓦多宣布打算在宣布后三個月內(nèi)接受比特幣作為法定貨幣;這將與美元一起作為目前的法定貨幣。然而，世界銀行以對透明度和環(huán)境問題的擔憂為由拒絕了該國提出的協(xié)助實施的請求。

加密貨幣為網(wǎng)絡犯罪分子解決了一個巨大的問題——如何在不透露自己身份的情況下接收付款。它還創(chuàng)造了對加密貨幣的需求：對于每個付款的受害者，都會產(chǎn)生獲取貨幣以進行付款的需求。這種需求推高了貨幣的價值，市場對此表示贊賞;當 FBI 宣布已成功扣押加密錢包并收回了 63.7 個比特幣(230 萬美元)的 Colonial Pipeline 付款時，整個加密貨幣市場因消息而下跌;由于市場是過山車，這可能只是一個令人毛骨悚然的巧合。

奇怪的是，如果您是一名加密貨幣投資者，并且您接受對貨幣的需求部分是由網(wǎng)絡犯罪分子創(chuàng)造的(這反過來又推高了價值)，那么您就在一定程度上從犯罪活動中間接獲得了經(jīng)濟利益。我最近在一個執(zhí)法專業(yè)人士的房間里分享了這個想法，其中一些人承認投資于加密貨幣。

8. 結(jié)論

這種完全無視體面行為和不通過支付贖金為網(wǎng)絡犯罪提供資金的做法造成了一種態(tài)度，即為犯罪活動提供資金是可以接受的。

正確的做法是將資助網(wǎng)絡犯罪分子定為非法，立法者應該挺身而出，阻止付款。對于確實通過禁止支付的立法的國家來說，可能有先發(fā)優(yōu)勢：這些高價值攻擊背后的網(wǎng)絡犯罪分子是有重點、有資金、有資源和驅(qū)動的。如果一個國家或地區(qū)通過了禁止任何公司或組織支付勒索軟件需求的立法，那么網(wǎng)絡犯罪分子將調(diào)整其業(yè)務并將其活動重點放在尚未采取行動的國家/地區(qū)。如果這種觀點合乎邏輯，那么現(xiàn)在是采取行動的時候了。

值得注意的是，美國司法部最近發(fā)布的一份備忘錄要求將涉及勒索軟件和/或數(shù)字勒索或運行所用基礎設施的主體的案件通知美國檢察官刑事司的計算機犯罪和知識產(chǎn)權(quán)部門。通過勒索軟件和勒索計劃。雖然這確實集中了通知，但僅適用于正在調(diào)查的案例。至少據(jù)我所知，沒有強制要求企業(yè)報告勒索軟件攻擊;不過，建議這樣做，我會敦促所有受害者與執(zhí)法部門聯(lián)系，這篇文章就是是一個起點。

如果您認為支付勒索軟件需求所產(chǎn)生的收入是來自犯罪活動的非法收入，那么加密貨幣整體是否應對洗錢或提供直接歸因于網(wǎng)絡犯罪的資金安全港負責?盡管它的名字，政府并不承認加密貨幣是一種貨幣;他們認為它是一種需要繳納資本利得稅的投資工具，如果你有幸投資并賺錢的話。任何從犯罪活動中直接獲得資金的投資公司都必須犯罪，那么為什么整個加密貨幣市場在完全透明和監(jiān)管之前不這樣做呢?

簡而言之，讓支付贖金成為非法，或者至少限制保險市場的作用，迫使公司向網(wǎng)絡事件監(jiān)管機構(gòu)披露事件，并規(guī)范加密貨幣以消除偽匿名權(quán)。所有這些都可以在打擊網(wǎng)絡犯罪的斗爭中產(chǎn)生重大影響。