本月初,美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室(OFAC)發(fā)布咨文警告組織不要向勒索軟件支付贖金,并聲稱(chēng)此舉存在違反政府對(duì)網(wǎng)絡(luò)犯罪集團(tuán)或國(guó)家黑客施加的經(jīng)濟(jì)制裁的法律風(fēng)險(xiǎn)。
該咨文有可能破壞勒索軟件的變現(xiàn)模式,但同時(shí)也使被攻擊的企業(yè)、其保險(xiǎn)公司和事件響應(yīng)服務(wù)商處境更加艱難。因?yàn)椴恢Ц囤H金,往往意味著勒索軟件攻擊造成的損失更大,而且需要更長(zhǎng)的時(shí)間才能恢復(fù)。而且,“支付贖金犯法”也有可能導(dǎo)致網(wǎng)絡(luò)安全保險(xiǎn)將不再覆蓋勒索軟件攻擊。
“OFAC可能會(huì)對(duì)違反制裁的行為處以民事處罰,這意味著受美國(guó)司法管轄的個(gè)人,即使不知道(或有理由知道)自己在與被制裁或禁止的個(gè)人進(jìn)行交易也可能承擔(dān)民事責(zé)任?!必?cái)政部在咨文中說(shuō)。
支付贖金助長(zhǎng)勒索軟件氣焰
勒索軟件起源于針對(duì)消費(fèi)者的恐嚇詐騙軟件,例如彈窗警告用戶(hù)需要立刻下載安裝“殺毒軟件”,或者支付并不存在的罰款。事實(shí)上,在早期階段,勒索軟件程序并不加密用戶(hù)計(jì)算機(jī)文件,而只是試圖用瘋狂刷屏或彈窗的的方式鎖定用戶(hù)(的計(jì)算機(jī))。
隨著勒索軟件領(lǐng)域的競(jìng)爭(zhēng)加劇,一些黑客組織開(kāi)始同時(shí)攻擊消費(fèi)者和企業(yè),但直到2017年WannaCry和NotPetya攻擊之后,網(wǎng)絡(luò)犯罪分子才意識(shí)到企業(yè)網(wǎng)絡(luò)的脆弱性。
在過(guò)去的三年中,成熟的網(wǎng)絡(luò)犯罪集團(tuán)逐漸轉(zhuǎn)向更加復(fù)雜的金融犯罪勒索軟件。他們使用APT風(fēng)格的技術(shù),例如精心選擇目標(biāo),進(jìn)行深度偵察,橫向移動(dòng),無(wú)文件執(zhí)行,按受害者量身定制的有效載荷,取得了巨大“成功”。
勒索軟件從2C轉(zhuǎn)向2B之后,贖金的價(jià)格也水漲船高,如今,針對(duì)企業(yè)的勒索贖金要價(jià)動(dòng)輒數(shù)百甚至上千萬(wàn)美元。勒索軟件贖金的飆漲,部分原因是很多企業(yè)的贖金是通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)支付。雖然目前關(guān)于私營(yíng)公司支付贖金的信息很少,但是間接證據(jù)表明支付贖金已經(jīng)是非常普遍的“操作”。
事實(shí)上,無(wú)論是否公開(kāi)宣傳此類(lèi)服務(wù),越來(lái)越多的事件響應(yīng)公司和獨(dú)立顧問(wèn)都以受害者的名義參與勒索軟件的談判。一些組織和金融平臺(tái)會(huì)協(xié)助進(jìn)行贖金付款流程,例如將資金轉(zhuǎn)換為比特幣或其他加密貨幣并將其發(fā)送給攻擊者。
去年,ProPublica的報(bào)告透露,很多保險(xiǎn)公司經(jīng)常建議客戶(hù)支付贖金,因?yàn)檫@比重建所有系統(tǒng)并從備份中恢復(fù)要便宜,可以減少停機(jī)時(shí)間有關(guān)的成本。但這也形成了一個(gè)“四贏”的惡性循環(huán):攻擊者成功拿到贖金,保險(xiǎn)公司支付的錢(qián)少了,事件響應(yīng)安全服務(wù)商獲得了合同,受害者更快地恢復(fù)了。結(jié)果,勒索軟件成了低風(fēng)險(xiǎn)高收益的網(wǎng)絡(luò)犯罪“成功模式”。
OFAC在其咨詢(xún)報(bào)告中指出:“支付勒索軟件贖金,可能會(huì)使被制裁的罪犯和對(duì)手獲利并推進(jìn)其非法目標(biāo)?!薄袄?,向受制裁的實(shí)體或地區(qū)支付的贖金可用于資助不利于美國(guó)國(guó)家安全和外交政策目標(biāo)的活動(dòng)。支付贖金還將鼓勵(lì)攻擊者參與未來(lái)的攻擊?!?/p>
與勒索軟件攻擊有關(guān)且在財(cái)政部制裁名單上的團(tuán)體或個(gè)人的例子包括兩名與SamSam勒索軟件有關(guān)的伊朗國(guó)民,以及朝鮮政府贊助的拉撒路組織(Lazarus),后者與WannaCry攻擊有關(guān),且與網(wǎng)絡(luò)犯罪分子存在聯(lián)系。還有一個(gè)名為Evil Corp的俄羅斯網(wǎng)絡(luò)犯罪組織,該組織是Dridex僵尸網(wǎng)絡(luò)以及WastedLocker和BitPaymer勒索軟件的背后黑手。
由于網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)異常復(fù)雜,受害者或其安全咨詢(xún)服務(wù)商很難知曉勒索是否會(huì)流向制裁名單上的實(shí)體,個(gè)人或政府。但OFAC在其咨詢(xún)意見(jiàn)中明確指出,不知道收款人是否受到制裁并不能使企業(yè)免于民事處罰。
網(wǎng)絡(luò)保險(xiǎn)面臨巨震
反惡意軟件公司Emsisoft的威脅分析師布雷特·卡洛(Brett Callow)認(rèn)為:“財(cái)政部咨文的真正目的是使事件響應(yīng)行業(yè)擺脫陰影,并在政府的合作和投入下,以更高的透明度運(yùn)作,提高政府對(duì)此類(lèi)事件結(jié)果的控制權(quán)。2018年,勒索軟件的平均贖金要價(jià)約為5,000美元,大多數(shù)受害者是小型企業(yè)?,F(xiàn)在,平均贖金價(jià)格約為20萬(wàn)美元,數(shù)百萬(wàn)美元的高額贖金正日益成為常態(tài)。受害者是醫(yī)院、大型跨國(guó)公司甚至國(guó)防工業(yè)基地的公司。因此,勒索軟件攻擊比幾年前變得更加嚴(yán)重,政府確實(shí)需要找到一種干預(yù)措施?!?/p>
Emsisoft是公開(kāi)呼吁政府禁止支付勒索軟件贖金的安全公司之一,稱(chēng)該行為“對(duì)國(guó)家安全、選舉安全、公司知識(shí)產(chǎn)權(quán)和財(cái)務(wù)安全、個(gè)人信息及其健康構(gòu)成威脅。”今年早些時(shí)候,德國(guó)報(bào)道了首起與勒索軟件相關(guān)的死亡事件,一名生命垂危的婦女因就醫(yī)的醫(yī)院被勒索軟件攻擊而不得不被送往20英里外的一家醫(yī)院,因延誤治療導(dǎo)致死亡。
目前來(lái)看,OFAC的咨文報(bào)告并未完全禁止勒索軟件付款(而且也只是針對(duì)美國(guó)司法管轄范圍內(nèi)的企業(yè)),而且那些有迫切需要的美國(guó)企業(yè)還可以申請(qǐng)OFAC許可證以支付勒索軟件贖金,但是這些請(qǐng)求將接受“以拒絕為前提的個(gè)案審查”,成功率未知。
問(wèn)題是,如果大多數(shù)付款請(qǐng)求都被拒絕,將會(huì)發(fā)生什么?如果結(jié)果可能導(dǎo)致企業(yè)無(wú)法恢復(fù)甚至倒閉,企業(yè)還會(huì)冒險(xiǎn)去申請(qǐng)?jiān)S可嗎?
目前尚不清楚事件響應(yīng)公司留有哪些操作余地。威脅情報(bào)公司GroupSense在網(wǎng)絡(luò)犯罪論壇和地下黑市安插很多眼線收集威脅情報(bào),剛剛在9月份推出勒索軟件協(xié)商服務(wù),包括評(píng)估和與威脅參與者互動(dòng),制定協(xié)商策略以降低支付需求,甚至管理加密貨幣交易。現(xiàn)在,處理贖金付款的這個(gè)環(huán)節(jié)將使他們面臨違反OFAC規(guī)定的風(fēng)險(xiǎn)。
GroupSense首席執(zhí)行官Kurtis Minder認(rèn)為:
財(cái)政部沒(méi)有為受害者提供其他選擇。如果政府希望公司停止支付贖金,則應(yīng)提供一項(xiàng)救濟(jì)計(jì)劃,其中包括對(duì)勒索軟件受害者的補(bǔ)貼,以幫助他們避免因勒索軟件而倒閉。如果不向受害公司提供幫助,只會(huì)把贖金支付推向地下?!?/p>
獨(dú)立風(fēng)險(xiǎn)管理咨詢(xún)公司Betterley Risk Consultants的里克·貝特利(Rick Betterley)表示,財(cái)政部的咨文可能對(duì)網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)產(chǎn)生重大影響。
Betterley同意,保險(xiǎn)的存在使受害者更容易支付贖金要求,但他認(rèn)為保險(xiǎn)并不是是否支付贖金的主要原因。這是因?yàn)?,盡管勒索軟件攻擊和重建系統(tǒng)的響應(yīng)成本已由保險(xiǎn)單支付,但公司因業(yè)務(wù)中斷而蒙受的損失卻通常不會(huì)或幾乎不會(huì)完全消失,而這些損失可能會(huì)使公司退出商業(yè)競(jìng)爭(zhēng)。因此,盡管支付贖金能夠幫助保險(xiǎn)公司降低賠付成本,但受害者支付贖金的主要原因是希望能夠繼續(xù)經(jīng)營(yíng)。
換而言之,有了保險(xiǎn)可以使受害者更容易付款,但是如果沒(méi)有保險(xiǎn),很多受害者仍然可能會(huì)支付贖金。Betterley說(shuō),要想拿出這些資金會(huì)比較困難,但是要在這筆資金或破產(chǎn)之間進(jìn)行選擇,企業(yè)自然會(huì)”兩害相權(quán)取其輕“?!蔽艺J(rèn)為最大的問(wèn)題將是,保險(xiǎn)公司將不能支付違反政府指令的(贖金)索賠,因此,美國(guó)財(cái)政部的行動(dòng)對(duì)網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)來(lái)說(shuō)是個(gè)大問(wèn)題?!?/p>
如果保險(xiǎn)公司不再承保勒索軟件攻擊,Betterley說(shuō)他也不會(huì)感到驚訝:”這將是一件大事,還會(huì)有多少公司會(huì)去購(gòu)買(mǎi)其他網(wǎng)絡(luò)安全保險(xiǎn)?鬼才知道?!?/p>
總之,”曖昧“的財(cái)政部咨文已經(jīng)讓企業(yè)、保險(xiǎn)公司、安全公司和勒索軟件組織陷入困惑和焦慮,但有一些市場(chǎng)正在成為真正的贏家——例如數(shù)據(jù)備份/數(shù)據(jù)安全和勒索軟件檢測(cè)響應(yīng)服務(wù)。美國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)保險(xiǎn)信息研究所表示:”對(duì)于被勒索的美國(guó)企業(yè)以及可能違反OFAC的企業(yè),眼下的困境凸顯了網(wǎng)絡(luò)最佳實(shí)踐的重要性,尤其是備份所有關(guān)鍵任務(wù)數(shù)據(jù)。許多保險(xiǎn)公司正在與客戶(hù)合作,以實(shí)施數(shù)據(jù)備份,并采取各種其他措施來(lái)應(yīng)對(duì)勒索軟件攻擊的威脅。“