NCC 集團旗下Fox-TT 的網(wǎng)絡安全分析師 Pepijn Hack和Zong-Yu Wu 在Black Hat Europe 2021 的會議上提出了這些概念，并在不久之后在 NCC 集團的博客文章中做了詳細擴展。這些數(shù)據(jù)來源于 2019 年至 2020 年間，對超過 700 次勒索者與受害者談判的研究，以及一篇探索三個主要主題的論文。他們分別是：

• 勒索者如何使用經(jīng)濟模型來實現(xiàn)利益最大化
• 受害者如何在談判階段表明立場
• 勒索軟件受害者可以使用的策略

研究人員寫道：“這項實證研究表明，勒索軟件已經(jīng)發(fā)展成為了一項復雜的業(yè)務。” “每個勒索軟件團伙都制定了自己的談判和定價策略，旨在實現(xiàn)利益最大化。”

勒索軟件團伙處于談判的主導地位

該數(shù)據(jù)集主要關注兩種不同的勒索軟件。提供2019年末至2021年初收集的數(shù)據(jù)對兩個勒索軟件進行了比較。第一組是在 2019 年收集的，當時勒索者相對缺乏經(jīng)驗，贖金要求較低。受害者和勒索軟件組織進行了 681 次談判。第二組進行了30次談判。

分析顯示，勒索軟件操作層面的成熟度有所提高。勒索軟件實施團隊根據(jù)勒索目標的綜合情況計算攻擊成本以及贖金定價策略，他們判斷的因素包括受感染設備/服務器的數(shù)量、員工、預估收入以及媒體曝光的潛在影響等等。通過這樣做，勒索者甚至可以在受害者進入談判之前準確地預判受害者可能支付的金額。一旦他們這樣做，受害企業(yè)就會處于不利地位。博客中有提到“通常情況下，在談判中，每個玩家都握著自己的牌。勒索者知道他們的業(yè)務成本以及他們需要賺多少錢才能達到收支平衡。同時，受害者也預估了補救成本”。這便造成了這樣一種情況，受害者必須通過“不公平的談判游戲”，在其不知情的情況下，勒索者會先預估出“合理的”贖金范圍。“這是一場被操縱的游戲。如果對手牌技高超，那么他將會一直獲勝。這也恰恰是勒索軟件攻擊越來越猖獗的關鍵原因之一。”

研究結果表明，從每年收入的角度來看，較小的公司通常支付更多的贖金。這意味著他們支付的百分比較高，但絕對贖金金額較少。相比之下，最高贖金(1400 萬美元)是由《財富》500 強的企業(yè)支付的。“因此可以理解為，攻擊者會精心挑選有價值的目標并從幾筆大額贖金中獲利，而不是選擇攻擊小公司。這也導致一些勒索軟件組織往往只選擇針對大型盈利企業(yè)實施勒索攻擊。”

被勒索企業(yè)或個人談判需要做以下 4 個準備

該研究列出了可以在某種程度上來說對受害者有利的談判方法，可以取得更好的談判效果并降低損失。

1. 告訴員工不要打開贖金票據(jù)并點擊里面的鏈接。點開后，里面通常會出現(xiàn)倒計時付款的字樣。不打開票據(jù)就可以爭取到一些時間，這樣就有時間來確定是哪些基礎設施受到了攻擊、了解被攻擊產(chǎn)生的后果以及成本。

2. 確定談判目標，準備備選方案以及應對最佳/壞的情況下可能要支付的贖金方案

3. 建立清晰的內(nèi)外溝通渠道，包括但不限于危機管理團隊、董事會、法律顧問和溝通部門。

4. 盡可能多的了解攻擊者及他們的策略并嘗試解密密鑰是否可用。

5個談判技巧

如果企業(yè)決定與勒索者進行談判的話，除了上述準備，還建議他們掌握以下五種談判技巧，盡可能的降低損害。

1. 談判時保持尊重的態(tài)度并使用專業(yè)詞匯，切忌將多余的感情帶入到談判中。

2.受害者應該盡可能多的爭取時間，探索所有恢復的可能性。還有一種方法是解釋您需要時間來籌集所需的加密貨幣贖金。

3. 與其拖延時間，不如提前支付少量費用，往往勒索者都會同意降低贖金金額以快速獲利，轉向下一個目標。

4. 最有效的策略之一是說服勒索者您沒有能力支付他最初要求的金額，不過勒索者往往會對勒索對象進行調查。但研究指出，擁有一定的收入與擁有流動資金和加密貨幣往往是有區(qū)別的。

5. 避免告訴勒索者自己有網(wǎng)絡保險政策。企業(yè)不要將網(wǎng)絡保險文件保存在任何可訪問的服務器上。這會影響談判的靈活度，因為大多數(shù)保險政策都涵蓋了成本。

該研究還給出了一些談判后的建議。包括：要求解密測試被加密文件、付款后要求勒索者提供文件刪除證明，以及讓攻擊者解釋入侵方式。企業(yè)也應該做好準備，即使支付贖金也會發(fā)生泄露或被出售文件的情況。