你的公司遭受了勒索軟件攻擊，現(xiàn)在必須決定是否支付贖金以獲取數(shù)據(jù)解密、從攻擊者的服務器中刪除或不在網(wǎng)上泄露。

這個決定將取決于多種因素，但根據(jù)GuidePoint Security的說法，其中一個重要因素應該是實施攻擊的勒索軟件運營商的整體成熟度和知名度。

不成熟的勒索軟件組織：一個獨特的威脅

雖然全球各地的執(zhí)法機構(gòu)和政府建議組織不要支付贖金，但我們都知道，盡管知道支付可能不會帶來希望解決的問題，許多組織仍然會這么做。

GuidePoint的研究人員提供了額外的建議：“考慮勒索軟件團伙及其運營商的已知歷史、信譽和可信度，以便做出有關(guān)支付或不支付贖金的明智決定。”

與像LockBit、Alphv或Black Basta這樣的成熟RaaS組織不同，不成熟、機會主義的團體更有可能撒謊，重新勒索受害者，且不提供功能正常的恢復工具(例如解密器)。

“我們注意到重新勒索可能是出于貪婪，但也可能是為了掩蓋技術(shù)缺陷，比如無法解密加密文件——如果威脅行為者可以繼續(xù)要求支付，直到受害者拒絕為止，就有一個合理的解釋可以避免暴露技術(shù)不足的行為者，”他們指出。

基于以往的經(jīng)驗和與同行的討論，研究人員發(fā)現(xiàn)，雖然成熟的RaaS團體努力建立穩(wěn)固的聲譽，以便受害者更有可能支付團體及其附屬機構(gòu)要求的高額贖金，但規(guī)模較小、知名度較低的團體則沒有太多動力去遵守他們設定的規(guī)則。

機會主義的勒索軟件運營商通常更有可能：

?針對較小、防御不足的受害者(比如中小企業(yè))

?通過較不復雜的技術(shù)手段進入公司系統(tǒng)(如暴露的端口、被泄露的憑證、釣魚、暴力破解而非零日利用)

?使用基礎或“二手”基礎設施(包括談判基礎設施)、泄露或破解的工具，沒有專門的泄露網(wǎng)站，也沒有資源或時間來執(zhí)行額外的威脅(向受影響的客戶打電話、重復攻擊等)

?對他們的能力撒謊(解密加密數(shù)據(jù)、訪問特定文件、數(shù)據(jù)竊取)

?要求較小的贖金金額 / 在談判后大幅降低金額，但經(jīng)常不守信用，之后要求更多

研究人員分享了涉及Phobos和DATA LOCKER團體/分支機構(gòu)的特定案例研究，這些團體/分支機構(gòu)在協(xié)商贖金金額后似乎特別傾向于重新勒索。

“由于沒有品牌需要建立或維護，或者名字可以隨時更改，對于不成熟的勒索軟件團體來說，重新勒索受害者直到他們拒絕進一步支付幾乎沒有什么風險。關(guān)于這個話題的社區(qū)信息共享很少，這類威脅行為者通常吸引較少的安全報道或?qū)彶?，”研究人員指出。

他們還提出，”在為勒索軟件事件進行威脅建模或響應計劃時，應將無品牌或不成熟的勒索軟件團體視為一種與較大、更成熟的勒索軟件團體不同的獨立威脅?！?/p>