揭秘一個神秘的小眾行業(yè):“敲詐談判”專家
Adrian Croft
2021-06-04
圖片來源:Guillem Casasús
如何與搞垮公司的計算機系統(tǒng),、盜取數(shù)據(jù)、動輒敲詐數(shù)百萬美元的罪犯打交道,?柯蒂斯·曼德爾有一個忠告:別叫他們“壞蛋”,。
“壞蛋們知道自己是壞蛋,但他們試圖把自己裝扮成商人,?!本W(wǎng)絡(luò)智能專業(yè)公司GroupSense的首席執(zhí)行官曼德爾說,他至少代表過20多個受到所謂勒索軟件攻擊的組織與對手進行談判,?!爸灰阍谒麄兠媲把b出正常談生意的樣子,事情就好辦一些,。”
想象一下一種噩夢般的場景:你要開始一天的工作,卻發(fā)現(xiàn)怎么都打不開計算機里的重要客戶信息,,因為黑客給你的文件加了密,,要求你交出一大筆錢來換取解碼的密鑰。在大多數(shù)情況下,,黑客還會盜取敏感的公司數(shù)據(jù),,并且威脅要公布這些數(shù)據(jù)。
最好的情況是,,這種敲詐要求嚴(yán)重影響公司運營數(shù)日,。最壞的情況是,黑客可能讓公司名聲掃地,,一蹶不振,。
遭到侵害的公司往往會求助于敲詐談判專家,這些人在應(yīng)對此類攻擊方面具有豐富的經(jīng)驗,。他們的工作就是與黑客打交道,,最好能夠設(shè)法大幅降低黑客索要的贖金。他們還安排用比特幣或其他的加密貨幣來支付贖金,,黑客們喜歡這種支付形式,,因為它難以追蹤。
勒索軟件的攻擊者在新冠肺炎疫情期間尤為猖獗,。據(jù)網(wǎng)絡(luò)安全公司SonicWall的統(tǒng)計,,全球案發(fā)量在去年上升了62%,勒索金額高達3.05億美元,。另一家網(wǎng)絡(luò)安全公司PurpleSec說,,2020年全球企業(yè)因此蒙受了200億美元的損失,而2019年的損失為115億美元,。
在新冠肺炎疫情期間興起的居家工作,,讓許多員工可以用個人電腦登錄公司系統(tǒng),這給網(wǎng)絡(luò)犯罪分子提供了大量能夠利用的空子,。只要員工在無意間打開一封電子郵件的附件,、點開一條廣告或進入一個鏈接,就可能下載了惡意軟件,。
小公司因為沒有專職的IT安全人員,,過去常常被勒索軟件犯罪團伙視為囊中之物。但據(jù)專家稱,,現(xiàn)在黑客覬覦的是規(guī)模更大的企業(yè),,例如石油、物流和制造公司,,還有政府部門,、醫(yī)院和學(xué)校等,。
在一起迄今為止最嚴(yán)重的勒索軟件攻擊中,與一伙說俄語的團伙有牽連的黑客在今年5月迫使一家石油管道運輸公司關(guān)閉了數(shù)日之久,,因為其供應(yīng)的石油占美國東海岸日需用量的將近一半,,從而引發(fā)了恐慌性搶購,甚至導(dǎo)致一些加油站無油可加,。受到攻擊的就是科洛尼爾管道運輸公司(Colonial Pipeline),,它說已經(jīng)決定支付贖金,因為數(shù)千萬美國人離不開這條運輸線,。據(jù)《華爾街日報》報道,,科洛尼爾支付了相當(dāng)于440萬美元的比特幣,但該公司并未對此數(shù)額表態(tài),。
猶他大學(xué)稱,,攻擊者切斷了該校的計算機入口之后,它在去年7月支付了超過45.7萬美元的贖金,,以免私人信息在網(wǎng)上被泄露,。該大學(xué)與網(wǎng)絡(luò)保險商和司法機構(gòu)合作,并咨詢了一家沒有透露名稱的專業(yè)敲詐談判公司,。這所大學(xué)表示:“我們得到的所有信息和指導(dǎo)都表明,,若不支付贖金,威脅實施者絕對不會善罷甘休,?!?/p>
由于許多公司不愿意談及網(wǎng)絡(luò)安全漏洞和所付贖金的金額,有一些專家猜測,,這類問題的嚴(yán)重性要遠(yuǎn)遠(yuǎn)超過公開披露的程度,。“我們處理過索要5,000萬美元贖金的談判——這些都屬于公開報道的案件,,我可以想象究竟還有多少案件未曾報道或披露,,純粹是因為是保險公司支付的贖金?!睆氖略p騙追討業(yè)務(wù)的Gemini Advisory公司的首席執(zhí)行官安德烈·巴里塞維奇說,,他也帶隊處理過一些勒索軟件談判。
這些攻擊往往來自俄羅斯和前蘇聯(lián)國家,,比如白俄羅斯,、烏克蘭、摩爾多瓦,,以及土耳其等國,。由于這類案件具有國際背景,躲在暗處的騙子使用的工具能夠躲避追蹤,,對勒索團伙成功起訴的案例寥寥無幾,。
如今,,各國針對加強國際合作打擊勒索行為的呼聲日益高漲。美國,、英國和加拿大的一些技術(shù)公司和執(zhí)法機構(gòu)在今年4月提出,,要采取積極的國際行動以打擊勒索行為,包括懲罰對此類犯罪聽之任之的國家,。大約在同一個時間,美國司法部成立了一支特勤隊,,專門應(yīng)付勒索軟件團伙,。
但是,美國聯(lián)邦調(diào)查局反對支付贖金,,理由是此舉是在鼓勵更多的網(wǎng)絡(luò)竊財行為,,而且勒索所得可能被用于資助有組織犯罪和恐怖活動。然而在美國,,支付贖金是合法行為,,只要不涉及向伊朗和朝鮮等國家輸送資金,或是轉(zhuǎn)給在美國財政部的制裁名單榜上有名的網(wǎng)絡(luò)犯罪分子就行,。
公司遭到勒索軟件攻擊的第一個跡象多半僅僅表現(xiàn)在,,員工無法登陸自己的計算機,或者不能使用電子郵箱,。這時有一個不加密的文件——僅此一個——傳來壞消息,,而且往往把受害人引向一個嵌有距離最后時限僅幾分鐘的倒計時時鐘的網(wǎng)站。
“時鐘上通常附有一則威脅,?!闭勁袑<衣聽栒f,其內(nèi)容不是說等秒針倒退到零后贖金就會加倍,,就是說黑客將把竊取的數(shù)據(jù)在網(wǎng)上公諸于眾,。但是他又說,這往往是一個假的時限,,目的是制造一種緊張氣氛,。
如果受到攻擊的公司或組織的數(shù)據(jù)有備份,并且自認(rèn)為在遭受攻擊后很快就可以恢復(fù)運營,,它可能決定不理睬黑客,。至于無準(zhǔn)備的公司——這樣的公司數(shù)量不少——或者公司的敏感數(shù)據(jù)已經(jīng)被盜,那么它們就可能無計可施,,只能進行討價還價——通常是通過黑客提供的實時聊天窗口進行,。
談判專家建議受到勒索的公司求助于保險公司或擅長處理數(shù)據(jù)漏洞的律師事務(wù)所。這類律師事務(wù)所會判斷出,,聘請談判專家是否可以奏效,。另外,,他們一般也會建議受害者報警。
勒索軟件談判公司Coveware報告說,,今年頭三個月所交贖金的平均數(shù)額達到22萬美元,,比前一季度猛漲了43%。如此漲幅的原因是,,有幾個極其活躍的團伙攻擊了大型組織,,索要高額贖金。
曼德爾的最終目的是設(shè)法把贖金壓到最初索要金額的10%,。他代表客戶——那是一家他未提及名稱的大型工程公司——支付的最大一筆贖金是275萬美元,。原因是該公司要求盡可能減少談判回合,以便盡快恢復(fù)運營,。
曼德爾的公司按小時收取服務(wù)費,,并根據(jù)客戶的規(guī)模設(shè)定了上限。大多數(shù)企業(yè)最終支付的賬單在2萬美元至2.5萬美元之間,。但曼德爾說,,他的公司偶爾也會免費為小企業(yè)或非盈利機構(gòu)服務(wù)。在一次免費談判中,,曼德爾試圖勸說黑客放棄贖金,,因為他們攻擊的目標(biāo)是一家癌癥慈善服務(wù)機構(gòu),但那幫家伙不聽,?!八麄冏詈筮€是拿到了贖金?!彼f,。
勒索軟件最近的新動向是“勒索軟件服務(wù)”的出現(xiàn),由軟件開發(fā)者向他人出租自己開發(fā)的勒索軟件,,從勒索所得中提成或收取租賃費作為報酬,。這讓那些幾乎沒有技術(shù)背景或原本無緣入行的犯罪分子更加容易得手。
“這有些像黑手黨與街頭幫派之間的關(guān)系,。黑手黨守規(guī)矩,,有自身的行為方式?!甭聽栒f,。“而那些次等罪犯只買平臺,,他們毫無規(guī)矩,,而且真的不在乎長期后果,所以他們未必總能踐約,?!?/p>
企業(yè)組織可以向美國國際集團或Coalition等保險公司投保網(wǎng)絡(luò)險,,以保護自己免受勒索之苦。承保的險項一般能夠承擔(dān)贖金外加恢復(fù)計算機系統(tǒng)運行的成本,。
作為Coalition公司的應(yīng)急響應(yīng)主管,,麗安·尼科洛是公司第一個接到受害客戶電話的人,雖然公司也聘請外部專家來處理談判事務(wù),。她說,,自從她在2015年開始涉足該業(yè)務(wù)以來,勒索案件增長了10倍,,而當(dāng)時索要5萬美元就是高額了,。“近年來,,索要百萬贖金已經(jīng)屢見不鮮?!彼f,。
她告誡道,最大的付款風(fēng)險是“雙重勒索”,,即網(wǎng)絡(luò)犯罪分子對受害者背信棄義,。尼科洛就事論事地說道:“他們在收到第一筆錢之后,還會回到最初的要求,,就像交了兩次贖金,。”
勒索軟件的受害者
黑客們劫持了無數(shù)組織的數(shù)據(jù),。以下是其中幾個最著名的案例,。
2021年5月12日,科洛尼爾管道運輸公司在遭到網(wǎng)絡(luò)攻擊后關(guān)閉運營,,位于佐治亞州鄧伍迪市的一家加油站暫停服務(wù),。圖片來源:Elijah Nouvelage—Bloomberg/Getty Images
科洛尼爾管道運輸公司(2021年)
據(jù)報道,這家公司在受到攻擊,、被迫關(guān)閉其輸油管道后,,繳納了440萬美元。該公司的輸油管道向美國東海岸提供將近一半的汽油,。
加利福尼亞大學(xué)舊金山分校(University of California, San Francisco,,2020年)
這所學(xué)校一直在忙于重要的新冠病毒研究。在黑客解密了該校重要的學(xué)術(shù)數(shù)據(jù)后,,它支付了114萬美元,。
挪威海德魯公司(Norsk Hydro,2019年)
這家挪威的鋁制品生產(chǎn)商在遭到攻擊并拒絕支付贖金后,,用了好幾周的時間來恢復(fù)受到入侵的系統(tǒng),,最終的損失在5,000萬美元左右,。
WannaCry病毒(2017年)
這次被美國甩鍋給朝鮮的重大網(wǎng)絡(luò)攻擊波及了150個國家中的超過30萬臺計算機,破壞了許多大型組織的運營,,其中包括英國的國家醫(yī)療服務(wù)體系(National Health Service)和中國石油天然氣集團有限公司,。
索尼影業(yè)公司(Sony Pictures,2014年)
黑客們要求這家制片公司下架一部即將上映的喜劇片,,因為該片講的是密謀暗殺朝鮮領(lǐng)導(dǎo)人金正恩,。他們竊取了大量的電影和電子郵件,然后清空了這家公司的電腦,。
FBI和網(wǎng)絡(luò)安全專家提供的防黑客高招
企業(yè)應(yīng)該采取以下步驟,,防止受到勒索軟件的攻擊。
· 培訓(xùn)員工識別經(jīng)常被用來傳遞勒索軟件的釣魚電子郵件,。
· 不要打開陌生電子郵件里的附件或點擊URL地址,。
· 使用唯一的密碼登錄企業(yè)系統(tǒng)并且進行雙重驗證。
· 監(jiān)視遠(yuǎn)程登錄狀況,,以便發(fā)現(xiàn)未授權(quán)者登錄企業(yè)網(wǎng)絡(luò),。
· 定期備份數(shù)據(jù)。線下單獨存放備份,,脫離正常的運行,。
· 確保公司網(wǎng)絡(luò)上的所有設(shè)備均使用最先進的操作系統(tǒng)和應(yīng)用。
· 確保殺毒軟件能夠自動升級并定期進行掃描,。
· 若是受到勒索軟件攻擊,,事先做好應(yīng)對方案。(財富中文網(wǎng))
Sources: FBI, cybersecurity experts
譯者:王恩冕
財富中文網(wǎng)所刊載內(nèi)容之知識產(chǎn)權(quán)為財富媒體知識產(chǎn)權(quán)有限公司及/或相關(guān)權(quán)利人專屬所有或持有,。未經(jīng)許可,,禁止進行轉(zhuǎn)載、摘編,、復(fù)制及建立鏡像等任何使用,。
