一、為什么有這么多受害者被勒索軟件要求贖金？

　　簡單來說，支付可能比不支付更具成本效益，或者至少最初看起來如此。當(dāng)WannaCryptor（又名 WannaCry）在 2017 年對世界造成惡意負(fù)載時(shí)，英國的國家醫(yī)療服務(wù)體系對其基礎(chǔ)設(shè)施造成了重大打擊。它們受到如此嚴(yán)重打擊的原因有據(jù)可查，重建費(fèi)用也有據(jù)可查：估計(jì)為 1.2 億美元。這還沒有考慮由于 19,000 多個(gè)國家醫(yī)療服務(wù)體系預(yù)約而導(dǎo)致的人力成本。

　　然后在 2018 年，亞特蘭大市在其智能城市服務(wù)器基礎(chǔ)設(shè)施上遭受了 SamSam 勒索軟件的攻擊，網(wǎng)絡(luò)犯罪分子要求支付 51,000 美元的巨額贖金。幾年過去了，據(jù)報(bào)道重建系統(tǒng)的成本在 1100 萬美元到 1700 萬美元之間。

　　以公開記錄的事件為例，重建成本遠(yuǎn)高于贖金。由于上述兩個(gè)例子都是地方政府或中央政府，這些受害者的道德指南針可能指向他們沒有資助下一次網(wǎng)絡(luò)犯罪事件?？上H僅一年后，佛羅里達(dá)州的湖城和里維埃拉海灘市政府分別交出了 500,000 美元和 600,000 美元，用于支付勒索軟件的要求。

　　事實(shí)上，Cybereason最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎一半支付贖金的企業(yè)在收到解密密鑰后并沒有重新獲得對所有關(guān)鍵數(shù)據(jù)的訪問權(quán)限。那為什么要支付需求呢？勒索軟件的業(yè)務(wù)在雙方都變得更加商業(yè)化和復(fù)雜化：由于公開披露的重建成本，以及勒索軟件談判者和網(wǎng)絡(luò)保險(xiǎn)的全新行業(yè)，網(wǎng)絡(luò)犯罪分子了解他們犯罪中涉及的數(shù)據(jù)的價(jià)值另一邊出現(xiàn)了。一個(gè)新的業(yè)務(wù)部門誕生了：公司和個(gè)人開始從促進(jìn)支付勒索要求中獲利。

　　同樣重要的是要記住勒索軟件可能對獲得專家資源的較小企業(yè)造成的破壞性影響。支付需求可能是企業(yè)生存的一天和永久關(guān)閉大門之間的區(qū)別，就像 The Heritage Company 發(fā)生的那樣，導(dǎo)致 300 人失業(yè)。在有隱私立法的國家，付費(fèi)也可能消除通知監(jiān)管機(jī)構(gòu)的需要；但是，我懷疑無論付款是否以刪除泄露數(shù)據(jù)為條件，都應(yīng)該始終將違規(guī)情況通知監(jiān)管機(jī)構(gòu)。

　　二、贖金付款通常不違法

　　2020 年 10 月，美國財(cái)政部外國資產(chǎn)控制辦公室 （OFAC）宣布在某些情況下支付勒索軟件要求是非法的。向個(gè)人、組織、政權(quán)以及在某些情況下整個(gè)制裁名單上的國家提供便利是非法的。重要的是，一些網(wǎng)絡(luò)犯罪集團(tuán)在制裁名單上。向制裁名單上的任何人發(fā)送或協(xié)助發(fā)送資金是否已經(jīng)非法？我認(rèn)為可能是這樣，那么此公告中有哪些新內(nèi)容？選民需要認(rèn)為他們的政府正在采取措施阻止向網(wǎng)絡(luò)犯罪分子提供現(xiàn)金的浪潮。歐盟遵循類似的制度，其制裁制度禁止向官方制裁名單上的各方提供資金。

　　除了 OFAC 的裁決外，在美國仍然沒有關(guān)于支付勒索軟件要求的明確指導(dǎo)，據(jù)專家稱，它甚至可以免稅。這可能會(huì)影響企業(yè)是否允許自己被勒索的決策過程。

　　網(wǎng)絡(luò)犯罪背后的地點(diǎn)或人員的歸屬很難證明，技術(shù)通常有助于確保其中許多群體保持匿名和游牧，或至少部分保持匿名。但是，在決定是否付款時(shí)，了解您的付款人可能是一項(xiàng)基本要求，因?yàn)闊o意中向制裁名單上的個(gè)人或團(tuán)體付款可能會(huì)導(dǎo)致收款人觸犯法律。請記住，名單上的一些人可能會(huì)趁機(jī)躲在一個(gè)團(tuán)體中，但仍然分享收益，可能使付款成為非法。

　　Colonial Pipeline最近支付了 75 個(gè)比特幣（當(dāng)時(shí)為 440 萬美元），盡管 FBI收回了 63.7 個(gè)比特幣（收回時(shí)約為230 萬美元，但按支付贖金時(shí)的匯率計(jì)算為 370 萬美元） ，表明使用制裁名單禁止付款是無效的。Darkside 是這次襲擊背后的壞人，據(jù)稱組織位于俄羅斯，他們一直小心翼翼地避免列入名單，例如確保他們的數(shù)據(jù)存儲(chǔ)不在伊朗，從而將他們的“業(yè)務(wù)”保留在不在伊朗境內(nèi)的地區(qū)，就不在成為制裁名單。

　　三、勒索軟件即服務(wù)商業(yè)模式

　　由于Colonial Pipeline引起的不必要的關(guān)注，網(wǎng)絡(luò)犯罪組織 Darkside 現(xiàn)在已經(jīng)解散。它是否在制裁名單上，它的關(guān)閉是否意味著它在收入預(yù)測中的攻擊將停止？我不知道為什么所有已知的網(wǎng)絡(luò)犯罪組織都不在制裁名單上，但也許這太合乎邏輯了。這些群體通常是服務(wù)提供商，而不是創(chuàng)造“商機(jī)”的實(shí)際攻擊者；相反，他們提供基礎(chǔ)設(shè)施和服務(wù)來支持攻擊者，然后分享所產(chǎn)生的收入。這通常被稱為“勒索軟件即服務(wù)”或 RaaS，實(shí)際攻擊者是 RaaS 組織的商業(yè)附屬機(jī)構(gòu)。

　　攻擊者識(shí)別目標(biāo)，以某種方式滲透他們的網(wǎng)絡(luò)，識(shí)別并泄露敏感數(shù)據(jù)的副本，然后將來自其 RaaS 提供商（例如 Darkside）的惡意代碼施加到受害者身上。RaaS 提供商通過后端服務(wù)促進(jìn)攻擊，一旦受害者付款，收益就會(huì)被分割，通常是 75/25。當(dāng) Darkside 退出該業(yè)務(wù)時(shí)，其他勒索軟件服務(wù)提供商可能會(huì)從中受益，并獲得獎(jiǎng)金日，新的附屬公司加入正在進(jìn)行的預(yù)先存在的合格交易 。

　　這可能會(huì)引發(fā)這樣一個(gè)問題：誰對攻擊負(fù)責(zé)——附屬機(jī)構(gòu)還是服務(wù)提供商？媒體報(bào)道的歸因通常來自網(wǎng)絡(luò)取證團(tuán)隊(duì)，并將所有權(quán)授予服務(wù)提供商，通過惡意代碼的類型、支付細(xì)節(jié)等進(jìn)行識(shí)別，這些都是簽名且非常容易識(shí)別。我們很少聽到的是事件的始作俑者，即附屬公司；這很可能是那個(gè)看起來狡猾的人，當(dāng)然也可能是一個(gè)老練的黑客，他正在利用未修補(bǔ)的漏洞或有針對性的魚叉式網(wǎng)絡(luò)釣魚攻擊，并且正在經(jīng)營可擴(kuò)展且資源豐富的網(wǎng)絡(luò)犯罪業(yè)務(wù)。

　　當(dāng)前的趨勢是通過加密來竊取數(shù)據(jù)并拒絕訪問數(shù)據(jù)；因此，現(xiàn)在的攻擊通常還涉及數(shù)據(jù)泄露的要素。

　　四、為防止數(shù)據(jù)被發(fā)布或出售而付費(fèi)是否違法？

　　個(gè)人或敏感信息可能在暗網(wǎng)上被披露或出售的威脅可被視為另一種形式的勒索。通過脅迫獲取利益，這在大多數(shù)司法管轄區(qū)是刑事犯罪。在美國，勒索軟件要求不斷涌現(xiàn)，勒索包括奪取財(cái)產(chǎn)和以書面或口頭方式向受害者灌輸恐懼，如果他們不遵守勒索者的要求，就會(huì)發(fā)生什么事。勒索軟件案件中的數(shù)據(jù)加密和系統(tǒng)訪問限制是受害者已經(jīng)發(fā)生的事情，但對泄露的數(shù)據(jù)將被出售或發(fā)布在暗網(wǎng)上的恐懼是向受害者灌輸恐懼。

　　五、網(wǎng)絡(luò)保險(xiǎn)是導(dǎo)致還是解決問題？

　　當(dāng)前支付勒索軟件需求的趨勢以及“只是與開展業(yè)務(wù)相關(guān)的成本”的態(tài)度是不健康的。董事會(huì)會(huì)議上的問題應(yīng)側(cè)重于使組織盡可能保持網(wǎng)絡(luò)安全，并采取一切可能的預(yù)防措施。對于保險(xiǎn)，可能存在自滿因素，最低限度滿足遵守保險(xiǎn)公司規(guī)定的要求，然后繼續(xù)“照常營業(yè)”，知道如果發(fā)生不幸事件，公司可以采取措施把保險(xiǎn)公司推到前線。這兩起事件影響了里維埃拉海灘和萊克城，這兩座城市都由保險(xiǎn)公司承保，猶他大學(xué)支付了 475,000 美元，據(jù)報(bào)道，Colonial Pipeline 也部分由網(wǎng)絡(luò)保險(xiǎn)承保。

　　雖然網(wǎng)絡(luò)保險(xiǎn)可以為贖金支付提供資金并進(jìn)行談判以產(chǎn)生緩沖影響，但如前所述，當(dāng)然還涉及許多其他成本。Norsk Hydro 的保險(xiǎn)公司在公司 2019 年遭受攻擊時(shí)支付了 2020 萬美元，總成本估計(jì)在 58 美元至 7000 萬美元之間；一些額外的金額也可能已由保險(xiǎn)承保。

　　如果我是網(wǎng)絡(luò)犯罪分子，我的首要任務(wù)就是找出誰擁有網(wǎng)絡(luò)保險(xiǎn)，將目標(biāo)范圍縮小到極有可能支付的人——這不是他們的錢，那么他們?yōu)槭裁床荒?？這可能就是為什么CNA Financial成為攻擊目標(biāo)并據(jù)報(bào)道支付了 4000 萬美元以重新獲得對其系統(tǒng)的訪問權(quán)，并且我認(rèn)為可以恢復(fù)被盜的數(shù)據(jù)。作為一家提供網(wǎng)絡(luò)保險(xiǎn)的公司，大筆付款可以被視為不攻擊 CNA 客戶的付款，因?yàn)楸ｋU(xiǎn)公司最終會(huì)為每次攻擊付費(fèi)。這假設(shè)網(wǎng)絡(luò)犯罪分子獲得了客戶列表的訪問權(quán)限，但尚不清楚。另一方面，如果保險(xiǎn)公司賠付，如果他們的一個(gè)被保險(xiǎn)客戶受到攻擊，他們很難不賠付——在這種情況下，賠付可能會(huì)發(fā)送錯(cuò)誤的信息。

　　網(wǎng)絡(luò)保險(xiǎn)可能會(huì)繼續(xù)存在，但從網(wǎng)絡(luò)安全的角度來看，保險(xiǎn)應(yīng)該要求的條件——彈性和恢復(fù)計(jì)劃——應(yīng)該定義極高的標(biāo)準(zhǔn)，從而減少任何索賠的可能性。不得讓保險(xiǎn)成為后備選項(xiàng)。被攻擊了？這很麻煩，但沒關(guān)系……我們有保險(xiǎn)。

　　六、是時(shí)候禁止勒索軟件付款了嗎？

　　愛爾蘭衛(wèi)生服務(wù)機(jī)構(gòu)的 Conti 勒索軟件組織在 5 月份發(fā)起的勒索軟件攻擊可能凸顯了不禁止向網(wǎng)絡(luò)犯罪分子支付解密器費(fèi)用的原因，并禁止為不發(fā)布他們泄露的數(shù)據(jù)而支付費(fèi)用。

　　對殖民地管道的攻擊也是如此；沒有政府希望看到加油站排起長隊(duì)，如果不付費(fèi)就意味著不向公民提供服務(wù)或提供有限的服務(wù)，這可能會(huì)在政治上造成破壞。對基礎(chǔ)設(shè)施的攻擊會(huì)導(dǎo)致道德困境，在知道資金用于為未來的網(wǎng)絡(luò)攻擊提供資源的情況下付款是很困難的。

　　支付勒索軟件的需求似乎也為網(wǎng)絡(luò)犯罪分子創(chuàng)造了第二次機(jī)會(huì)：根據(jù)前面提到的 Cybereason 的調(diào)查，支付贖金的企業(yè)中有 80% 隨后再次遭受攻擊，46% 的公司認(rèn)為這是同一個(gè)攻擊者。如果數(shù)據(jù)顯示支付需求會(huì)導(dǎo)致額外的攻擊，那么禁止第一次支付將顯著改變網(wǎng)絡(luò)犯罪分子賺錢的機(jī)會(huì)。

　　由于對人類生命的潛在損害或風(fēng)險(xiǎn)，我很欣賞不禁止勒索軟件付款的論點(diǎn)；然而，這種觀點(diǎn)似乎與現(xiàn)行立法相矛盾。如果對主要醫(yī)療服務(wù)發(fā)起下一次攻擊的組織在制裁名單上，支付就已經(jīng)是非法的；這意味著組織可以支付一些網(wǎng)絡(luò)犯罪分子，但不能支付其他費(fèi)用。例如，如果道德困境是關(guān)于保護(hù)公民，那么醫(yī)院支付任何勒索軟件攻擊都是合法的，無論攻擊者是誰。

　　政府通過制裁名單選擇哪些網(wǎng)絡(luò)犯罪分子可以得到報(bào)酬，哪些不能，在我看來，這似乎不是正確的行動(dòng)方案。

　　七、加密貨幣難題

　　大多數(shù)金融機(jī)構(gòu)都受到監(jiān)管并被要求滿足某些標(biāo)準(zhǔn)，以防止和檢測洗錢活動(dòng)——通過犯罪活動(dòng)獲得的資金。開設(shè)銀行賬戶或在新的金融機(jī)構(gòu)投資需要您毫無疑問地證明您的身份，需要護(hù)照、水電費(fèi)和大量個(gè)人信息。在一些國家，這擴(kuò)展到聘請律師、房地產(chǎn)交易以及許多其他類型的服務(wù)和交易。然后是加密貨幣，勇敢的投資者的狂野西部和網(wǎng)絡(luò)犯罪分子的首選貨幣。

　　加密貨幣提供了一定程度的匿名性，為網(wǎng)絡(luò)犯罪分子提出的要求和受害者處理付款建立了一種方法，而無需披露誰收到付款。值得注意的是，并非所有加密貨幣在這方面都是平等的，有些加密貨幣至少提供了接收錢包的一瞥，但沒有提供錢包背后的人，還有一些甚至隱藏了錢包本身。

　　在上個(gè)月，政客們對如何監(jiān)管加密貨幣感到困惑。薩爾瓦多宣布打算在宣布后三個(gè)月內(nèi)接受比特幣作為法定貨幣；這將與美元一起作為目前的法定貨幣。然而，世界銀行以對透明度和環(huán)境問題的擔(dān)憂為由拒絕了該國提出的協(xié)助實(shí)施的請求。

　　加密貨幣為網(wǎng)絡(luò)犯罪分子解決了一個(gè)巨大的問題——如何在不透露自己身份的情況下接收付款。它還創(chuàng)造了對加密貨幣的需求：對于每個(gè)付款的受害者，都會(huì)產(chǎn)生獲取貨幣以進(jìn)行付款的需求。這種需求推高了貨幣的價(jià)值，市場對此表示贊賞；當(dāng) FBI 宣布已成功扣押加密錢包并收回了 63.7 個(gè)比特幣（230 萬美元）的 Colonial Pipeline 付款時(shí)，整個(gè)加密貨幣市場因消息而下跌；由于市場是過山車，這可能只是一個(gè)令人毛骨悚然的巧合。

　　奇怪的是，如果您是一名加密貨幣投資者，并且您接受對貨幣的需求部分是由網(wǎng)絡(luò)犯罪分子創(chuàng)造的（這反過來又推高了價(jià)值），那么您就在一定程度上從犯罪活動(dòng)中間接獲得了經(jīng)濟(jì)利益。我最近在一個(gè)執(zhí)法專業(yè)人士的房間里分享了這個(gè)想法，其中一些人承認(rèn)投資于加密貨幣。

　　八、結(jié)論

　　這種完全無視體面行為和不通過支付贖金為網(wǎng)絡(luò)犯罪提供資金的做法造成了一種態(tài)度，即為犯罪活動(dòng)提供資金是可以接受的。

　　正確的做法是將資助網(wǎng)絡(luò)犯罪分子定為非法，立法者應(yīng)該挺身而出，阻止付款。對于確實(shí)通過禁止支付的立法的國家來說，可能有先發(fā)優(yōu)勢：這些高價(jià)值攻擊背后的網(wǎng)絡(luò)犯罪分子是有重點(diǎn)、有資金、有資源和驅(qū)動(dòng)的。如果一個(gè)國家或地區(qū)通過了禁止任何公司或組織支付勒索軟件需求的立法，那么網(wǎng)絡(luò)犯罪分子將調(diào)整其業(yè)務(wù)并將其活動(dòng)重點(diǎn)放在尚未采取行動(dòng)的國家/地區(qū)。如果這種觀點(diǎn)合乎邏輯，那么現(xiàn)在是采取行動(dòng)的時(shí)候了。

　　值得注意的是，美國司法部最近發(fā)布的一份備忘錄要求將涉及勒索軟件和/或數(shù)字勒索或運(yùn)行所用基礎(chǔ)設(shè)施的主體的案件通知美國檢察官刑事司的計(jì)算機(jī)犯罪和知識(shí)產(chǎn)權(quán)部門。通過勒索軟件和勒索計(jì)劃。雖然這確實(shí)集中了通知，但僅適用于正在調(diào)查的案例。至少據(jù)我所知，沒有強(qiáng)制要求企業(yè)報(bào)告勒索軟件攻擊；不過，建議這樣做，我會(huì)敦促所有受害者與執(zhí)法部門聯(lián)系，這篇文章就是是一個(gè)起點(diǎn)。

　　如果您認(rèn)為支付勒索軟件需求所產(chǎn)生的收入是來自犯罪活動(dòng)的非法收入，那么加密貨幣整體是否應(yīng)對洗錢或提供直接歸因于網(wǎng)絡(luò)犯罪的資金安全港負(fù)責(zé)？盡管它的名字，政府并不承認(rèn)加密貨幣是一種貨幣；他們認(rèn)為它是一種需要繳納資本利得稅的投資工具，如果你有幸投資并賺錢的話。任何從犯罪活動(dòng)中直接獲得資金的投資公司都必須犯罪，那么為什么整個(gè)加密貨幣市場在完全透明和監(jiān)管之前不這樣做呢？

　　簡而言之，讓支付贖金成為非法，或者至少限制保險(xiǎn)市場的作用，迫使公司向網(wǎng)絡(luò)事件監(jiān)管機(jī)構(gòu)披露事件，并規(guī)范加密貨幣以消除偽匿名權(quán)。所有這些都可以在打擊網(wǎng)絡(luò)犯罪的斗爭中產(chǎn)生重大影響。