1. 为什么有这么多受害者被勒索软件要求赎金?
简单来说,支付可能比不支付更具成本效益,或者至少最初看起来如此。当WannaCryptor(又名 WannaCry)在 2017 年对世界造成恶意负载时,英国的国家医疗服务体系对其基础设施造成了重大打击。它们受到如此严重打击的原因有据可查,重建费用也有据可查:估计为 1.2 亿美元。这还没有考虑由于 19,000 多个国家医疗服务体系预约而导致的人力成本。
然后在 2018 年,亚特兰大市在其智能城市服务器基础设施上遭受了 SamSam 勒索软件的攻击,网络犯罪分子要求支付 51,000 美元的巨额赎金。几年过去了,据报道重建系统的成本在 1100 万美元到 1700 万美元之间。
以公开记录的事件为例,重建成本远高于赎金。由于上述两个例子都是地方政府或中央政府,这些受害者的道德指南针可能指向他们没有资助下一次网络犯罪事件。可惜仅仅一年后,佛罗里达州的湖城和里维埃拉海滩市政府分别交出了 500,000 美元和 600,000 美元,用于支付勒索软件的要求。
事实上,Cybereason最近的一项调查发现,几乎一半支付赎金的企业在收到解密密钥后并没有重新获得对所有关键数据的访问权限。那为什么要支付需求呢?勒索软件的业务在双方都变得更加商业化和复杂化:由于公开披露的重建成本,以及勒索软件谈判者和网络保险的全新行业,网络犯罪分子了解他们犯罪中涉及的数据的价值另一边出现了。一个新的业务部门诞生了:公司和个人开始从促进支付勒索要求中获利。
同样重要的是要记住勒索软件可能对获得专家资源的较小企业造成的破坏性影响。支付需求可能是企业生存的一天和永久关闭大门之间的区别,就像 The Heritage Company 发生的那样,导致 300 人失业。在有隐私立法的国家,付费也可能消除通知监管机构的需要;但是,我怀疑无论付款是否以删除泄露数据为条件,都应该始终将违规情况通知监管机构。
2. 赎金付款通常不违法
2020 年 10 月,美国财政部外国资产控制办公室 (OFAC)宣布在某些情况下支付勒索软件要求是非法的。向个人、组织、政权以及在某些情况下整个制裁名单上的国家提供便利是非法的。重要的是,一些网络犯罪集团在制裁名单上。向制裁名单上的任何人发送或协助发送资金是否已经非法?我认为可能是这样,那么此公告中有哪些新内容?选民需要认为他们的政府正在采取措施阻止向网络犯罪分子提供现金的浪潮。欧盟遵循类似的制度,其制裁制度禁止向官方制裁名单上的各方提供资金。
除了 OFAC 的裁决外,在美国仍然没有关于支付勒索软件要求的明确指导,据专家称,它甚至可以免税。这可能会影响企业是否允许自己被勒索的决策过程。
网络犯罪背后的地点或人员的归属很难证明,技术通常有助于确保其中许多群体保持匿名和游牧,或至少部分保持匿名。但是,在决定是否付款时,了解您的付款人可能是一项基本要求,因为无意中向制裁名单上的个人或团体付款可能会导致收款人触犯法律。请记住,名单上的一些人可能会趁机躲在一个团体中,但仍然分享收益,可能使付款成为非法。
Colonial Pipeline最近支付了 75 个比特币(当时为 440 万美元),尽管 FBI收回了 63.7 个比特币(收回时约为230 万美元,但按支付赎金时的汇率计算为 370 万美元) ,表明使用制裁名单禁止付款是无效的。Darkside 是这次袭击背后的坏人,据称组织位于俄罗斯,他们一直小心翼翼地避免列入名单,例如确保他们的数据存储不在伊朗,从而将他们的“业务”保留在不在伊朗境内的地区,就不在成为制裁名单。
3. 勒索软件即服务商业模式
由于Colonial Pipeline引起的不必要的关注,网络犯罪组织 Darkside 现在已经解散。它是否在制裁名单上,它的关闭是否意味着它在收入预测中的攻击将停止?我不知道为什么所有已知的网络犯罪组织都不在制裁名单上,但也许这太合乎逻辑了。这些群体通常是服务提供商,而不是创造“商机”的实际攻击者;相反,他们提供基础设施和服务来支持攻击者,然后分享所产生的收入。这通常被称为“勒索软件即服务”或 RaaS,实际攻击者是 RaaS 组织的商业附属机构。
攻击者识别目标,以某种方式渗透他们的网络,识别并泄露敏感数据的副本,然后将来自其 RaaS 提供商(例如 Darkside)的恶意代码施加到受害者身上。RaaS 提供商通过后端服务促进攻击,一旦受害者付款,收益就会被分割,通常是 75/25。当 Darkside 退出该业务时,其他勒索软件服务提供商可能会从中受益,并获得奖金日,新的附属公司加入正在进行的预先存在的合格交易 。
这可能会引发这样一个问题:谁对攻击负责——附属机构还是服务提供商?媒体报道的归因通常来自网络取证团队,并将所有权授予服务提供商,通过恶意代码的类型、支付细节等进行识别,这些都是签名且非常容易识别。我们很少听到的是事件的始作俑者,即附属公司;这很可能是那个看起来狡猾的人,当然也可能是一个老练的黑客,他正在利用未修补的漏洞或有针对性的鱼叉式网络钓鱼攻击,并且正在经营可扩展且资源丰富的网络犯罪业务。
当前的趋势是通过加密来窃取数据并拒绝访问数据;因此,现在的攻击通常还涉及数据泄露的要素。
4. 为防止数据被发布或出售而付费是否违法?
个人或敏感信息可能在暗网上被披露或出售的威胁可被视为另一种形式的勒索。通过胁迫获取利益,这在大多数司法管辖区是刑事犯罪。在美国,勒索软件要求不断涌现,勒索包括夺取财产和以书面或口头方式向受害者灌输恐惧,如果他们不遵守勒索者的要求,就会发生什么事。勒索软件案件中的数据加密和系统访问限制是受害者已经发生的事情,但对泄露的数据将被出售或发布在暗网上的恐惧是向受害者灌输恐惧。
5. 网络保险是导致还是解决问题?
当前支付勒索软件需求的趋势以及“只是与开展业务相关的成本”的态度是不健康的。董事会会议上的问题应侧重于使组织尽可能保持网络安全,并采取一切可能的预防措施。对于保险,可能存在自满因素,最低限度满足遵守保险公司规定的要求,然后继续“照常营业”,知道如果发生不幸事件,公司可以采取措施把保险公司推到前线。这两起事件影响了里维埃拉海滩和莱克城,这两座城市都由保险公司承保,犹他大学支付了 475,000 美元,据报道,Colonial Pipeline 也部分由网络保险承保。
虽然网络保险可以为赎金支付提供资金并进行谈判以产生缓冲影响,但如前所述,当然还涉及许多其他成本。Norsk Hydro 的保险公司在公司 2019 年遭受攻击时支付了 2020 万美元,总成本估计在 58 美元至 7000 万美元之间;一些额外的金额也可能已由保险承保。
如果我是网络犯罪分子,我的首要任务就是找出谁拥有网络保险,将目标范围缩小到极有可能支付的人——这不是他们的钱,那么他们为什么不呢?这可能就是为什么CNA Financial成为攻击目标并据报道支付了 4000 万美元以重新获得对其系统的访问权,并且我认为可以恢复被盗的数据。作为一家提供网络保险的公司,大笔付款可以被视为不攻击 CNA 客户的付款,因为保险公司最终会为每次攻击付费。这假设网络犯罪分子获得了客户列表的访问权限,但尚不清楚。另一方面,如果保险公司赔付,如果他们的一个被保险客户受到攻击,他们很难不赔付——在这种情况下,赔付可能会发送错误的信息。
网络保险可能会继续存在,但从网络安全的角度来看,保险应该要求的条件——弹性和恢复计划——应该定义极高的标准,从而减少任何索赔的可能性。不得让保险成为后备选项。被攻击了?这很麻烦,但没关系……我们有保险。
6. 是时候禁止勒索软件付款了吗?
爱尔兰卫生服务机构的 Conti 勒索软件组织在 5 月份发起的勒索软件攻击可能凸显了不禁止向网络犯罪分子支付解密器费用的原因,并禁止为不发布他们泄露的数据而支付费用。
对殖民地管道的攻击也是如此;没有政府希望看到加油站排起长队,如果不付费就意味着不向公民提供服务或提供有限的服务,这可能会在政治上造成破坏。对基础设施的攻击会导致道德困境,在知道资金用于为未来的网络攻击提供资源的情况下付款是很困难的。
支付勒索软件的需求似乎也为网络犯罪分子创造了第二次机会:根据前面提到的 Cybereason 的调查,支付赎金的企业中有 80% 随后再次遭受攻击,46% 的公司认为这是同一个攻击者。如果数据显示支付需求会导致额外的攻击,那么禁止第一次支付将显着改变网络犯罪分子赚钱的机会。
由于对人类生命的潜在损害或风险,我很欣赏不禁止勒索软件付款的论点;然而,这种观点似乎与现行立法相矛盾。如果对主要医疗服务发起下一次攻击的组织在制裁名单上,支付就已经是非法的;这意味着组织可以支付一些网络犯罪分子,但不能支付其他费用。例如,如果道德困境是关于保护公民,那么医院支付任何勒索软件攻击都是合法的,无论攻击者是谁。
政府通过制裁名单选择哪些网络犯罪分子可以得到报酬,哪些不能,在我看来,这似乎不是正确的行动方案。
7. 加密货币难题
大多数金融机构都受到监管并被要求满足某些标准,以防止和检测洗钱活动——通过犯罪活动获得的资金。开设银行账户或在新的金融机构投资需要您毫无疑问地证明您的身份,需要护照、水电费和大量个人信息。在一些国家,这扩展到聘请律师、房地产交易以及许多其他类型的服务和交易。然后是加密货币,勇敢的投资者的狂野西部和网络犯罪分子的首选货币。
加密货币提供了一定程度的匿名性,为网络犯罪分子提出的要求和受害者处理付款建立了一种方法,而无需披露谁收到付款。值得注意的是,并非所有加密货币在这方面都是平等的,有些加密货币至少提供了接收钱包的一瞥,但没有提供钱包背后的人,还有一些甚至隐藏了钱包本身。
在上个月,政客们对如何监管加密货币感到困惑。萨尔瓦多宣布打算在宣布后三个月内接受比特币作为法定货币;这将与美元一起作为目前的法定货币。然而,世界银行以对透明度和环境问题的担忧为由拒绝了该国提出的协助实施的请求。
加密货币为网络犯罪分子解决了一个巨大的问题——如何在不透露自己身份的情况下接收付款。它还创造了对加密货币的需求:对于每个付款的受害者,都会产生获取货币以进行付款的需求。这种需求推高了货币的价值,市场对此表示赞赏;当 FBI 宣布已成功扣押加密钱包并收回了 63.7 个比特币(230 万美元)的 Colonial Pipeline 付款时,整个加密货币市场因消息而下跌;由于市场是过山车,这可能只是一个令人毛骨悚然的巧合。
奇怪的是,如果您是一名加密货币投资者,并且您接受对货币的需求部分是由网络犯罪分子创造的(这反过来又推高了价值),那么您就在一定程度上从犯罪活动中间接获得了经济利益。我最近在一个执法专业人士的房间里分享了这个想法,其中一些人承认投资于加密货币。
8. 结论
这种完全无视体面行为和不通过支付赎金为网络犯罪提供资金的做法造成了一种态度,即为犯罪活动提供资金是可以接受的。
正确的做法是将资助网络犯罪分子定为非法,立法者应该挺身而出,阻止付款。对于确实通过禁止支付的立法的国家来说,可能有先发优势:这些高价值攻击背后的网络犯罪分子是有重点、有资金、有资源和驱动的。如果一个国家或地区通过了禁止任何公司或组织支付勒索软件需求的立法,那么网络犯罪分子将调整其业务并将其活动重点放在尚未采取行动的国家/地区。如果这种观点合乎逻辑,那么现在是采取行动的时候了。
值得注意的是,美国司法部最近发布的一份备忘录要求将涉及勒索软件和/或数字勒索或运行所用基础设施的主体的案件通知美国检察官刑事司的计算机犯罪和知识产权部门。通过勒索软件和勒索计划。虽然这确实集中了通知,但仅适用于正在调查的案例。至少据我所知,没有强制要求企业报告勒索软件攻击;不过,建议这样做,我会敦促所有受害者与执法部门联系,这篇文章就是是一个起点。
如果您认为支付勒索软件需求所产生的收入是来自犯罪活动的非法收入,那么加密货币整体是否应对洗钱或提供直接归因于网络犯罪的资金安全港负责?尽管它的名字,政府并不承认加密货币是一种货币;他们认为它是一种需要缴纳资本利得税的投资工具,如果你有幸投资并赚钱的话。任何从犯罪活动中直接获得资金的投资公司都必须犯罪,那么为什么整个加密货币市场在完全透明和监管之前不这样做呢?
简而言之,让支付赎金成为非法,或者至少限制保险市场的作用,迫使公司向网络事件监管机构披露事件,并规范加密货币以消除伪匿名权。所有这些都可以在打击网络犯罪的斗争中产生重大影响。
