Fox-IT公司網(wǎng)絡(luò)安全和威脅分析師通過對2019~2020年間超過700起勒索談判進(jìn)行研究，發(fā)現(xiàn)勒索軟件的生態(tài)系統(tǒng)已經(jīng)發(fā)展成為一項復(fù)雜的業(yè)務(wù)，每個勒索軟件團(tuán)伙都制定了自己的談判和定價策略，旨在實現(xiàn)利潤最大化。因此，遭遇勒索攻擊時，如果受害者除了支付贖金已別無選擇，那下面這些實際經(jīng)驗可以幫助受害企業(yè)組織將損害降到最低，快速在攻擊事件中恢復(fù)。

[[439723]]

勒索攻擊市場現(xiàn)狀

Fox-IT公司收集的700多起勒索談判數(shù)據(jù)集主要分為兩個時間段：第一個為2019年收集的681起談判案，當(dāng)時勒索軟件團(tuán)伙相對缺乏經(jīng)驗，贖金要求也相對較低;第二個數(shù)據(jù)集由30個談判案組成，主要收集于2020年底和2021年初，此時勒索攻擊已經(jīng)發(fā)展成為全球企業(yè)的主流安全威脅，攻擊者已經(jīng)具備更多的“談判經(jīng)驗”。

分析顯示，勒索軟件操作的成熟度有所提高。攻擊者正在根據(jù)受害組織的多個受害層面(包括受感染設(shè)備/服務(wù)器的數(shù)量、員工、預(yù)估收入和媒體曝光的潛在影響)計算攻擊成本并實施贖金定價策略。如此一來，攻擊者甚至可以在受害者進(jìn)入談判之前準(zhǔn)確地預(yù)測他們可能支付的金額，可謂完全掌握了談判的主導(dǎo)地位。

通常來說，在談判中，每個玩家都有自己的底牌。勒索軟件攻擊者知道自己的業(yè)務(wù)成本以及需要賺多少錢才能實現(xiàn)收支平衡。同時，受害者也預(yù)估了補救成本。這就造成了一種“不公平”的局面，攻擊者可以在受害者不知情的情況下引導(dǎo)他們達(dá)到預(yù)設(shè)的贖金范圍(一般是受害者能承受的合理范圍)。這就好比是一場被操縱的游戲，攻擊者握有一手好牌，如果打得好的話，可以永遠(yuǎn)是獲勝方。這種情況也助長了日益猖獗的勒索軟件生態(tài)系統(tǒng)。

調(diào)查結(jié)果還顯示，支付絕對贖金較高(包括最高贖金1400萬美元在內(nèi))的受害企業(yè)組織集中來自《財富》500強。雖然對于小規(guī)模企業(yè)來說贖金占據(jù)了其企業(yè)組織總收入較高的百分比，但支付出的贖金絕對金額還是較少，因此有經(jīng)濟(jì)動機(jī)的攻擊者會精心挑選有價值的目標(biāo)，這也導(dǎo)致一些勒索軟件組織決定只針對大型盈利企業(yè)實施攻擊。

受害者面對談判所需的四項準(zhǔn)備

想要實現(xiàn)最佳談判效果，企業(yè)必須從談判活動開始前就部署一些必要的準(zhǔn)備步驟：

(1) 教導(dǎo)員工不要打開贖金通知并點擊其中的鏈接。這通常會啟動倒計時機(jī)制，不打開贖金通知就可以爭取更多時間，來確定攻擊位置、攻擊后果以及可能涉及的成本等信息;

(2) 確立談判目標(biāo)，考慮到備份和最佳/壞的支付方案;

(3) 制定清晰的內(nèi)/外部溝通渠道，涉及危機(jī)管理團(tuán)隊、董事會、法律顧問和溝通部門;

(4) 收集攻擊者信息，以了解他們的策略并查看解密密鑰是否可用。

五種談判策略

有了上述種種準(zhǔn)備，組織將能更好地參與勒索軟件談判。談判過程中，建議考慮下述5種談判方法，以盡可能地降低損害：

(1) 在談話中保持尊重并使用專業(yè)語言，將情緒留在談判之外;

(2) 受害者應(yīng)該盡可能向攻擊者爭取更多時間，以探索所有恢復(fù)的可能性。一種策略是解釋您需要額外的時間來籌集所需的加密貨幣贖金;

(3) 如果拖延不了時間，組織可以提前支付少量費用，眾所周知，攻擊者會接受大幅折扣以快速獲利，并轉(zhuǎn)向另一個目標(biāo);

(4) 最有效的策略之一是說服攻擊者相信您沒有足夠的財務(wù)狀況支付最初要求的金額，事實證明，這一點甚至對于非常大型的組織(攻擊者知道他們擁有大量資金可供支配)同樣有效。因為研究指出，擁有大量可支配資金與擁有數(shù)百萬美元的加密貨幣是兩回事;

(5) 避免告訴攻擊者自己擁有網(wǎng)絡(luò)保險政策。企業(yè)不應(yīng)將網(wǎng)絡(luò)保險文件保存在任何可訪問的服務(wù)器上。網(wǎng)絡(luò)保險的存在會限制談判靈活度。

此外，該研究還提供了一些適用于談判后的簡單實用建議，包括：

• 要求解密測試文件;
• 付款完成后，要求攻擊者提供文件刪除證明;
• 讓攻擊者解釋入侵方式;
• 最后，企業(yè)組織要做好即便支付贖金也會發(fā)生文件泄露或出售的情況。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文