揭秘一個(gè)神秘的小眾行業(yè):“敲詐談判”專家
Adrian Croft
2021-06-04
圖片來(lái)源:Guillem Casasús
如何與搞垮公司的計(jì)算機(jī)系統(tǒng),、盜取數(shù)據(jù),、動(dòng)輒敲詐數(shù)百萬(wàn)美元的罪犯打交道?柯蒂斯·曼德?tīng)栍幸粋€(gè)忠告:別叫他們“壞蛋”,。
“壞蛋們知道自己是壞蛋,,但他們?cè)噲D把自己裝扮成商人?!本W(wǎng)絡(luò)智能專業(yè)公司GroupSense的首席執(zhí)行官曼德?tīng)栒f(shuō),,他至少代表過(guò)20多個(gè)受到所謂勒索軟件攻擊的組織與對(duì)手進(jìn)行談判?!爸灰阍谒麄兠媲把b出正常談生意的樣子,,事情就好辦一些?!?/p>
想象一下一種噩夢(mèng)般的場(chǎng)景:你要開(kāi)始一天的工作,,卻發(fā)現(xiàn)怎么都打不開(kāi)計(jì)算機(jī)里的重要客戶信息,因?yàn)楹诳徒o你的文件加了密,,要求你交出一大筆錢來(lái)?yè)Q取解碼的密鑰,。在大多數(shù)情況下,黑客還會(huì)盜取敏感的公司數(shù)據(jù),并且威脅要公布這些數(shù)據(jù),。
最好的情況是,這種敲詐要求嚴(yán)重影響公司運(yùn)營(yíng)數(shù)日,。最壞的情況是,,黑客可能讓公司名聲掃地,一蹶不振,。
遭到侵害的公司往往會(huì)求助于敲詐談判專家,,這些人在應(yīng)對(duì)此類攻擊方面具有豐富的經(jīng)驗(yàn)。他們的工作就是與黑客打交道,,最好能夠設(shè)法大幅降低黑客索要的贖金,。他們還安排用比特幣或其他的加密貨幣來(lái)支付贖金,黑客們喜歡這種支付形式,,因?yàn)樗y以追蹤,。
勒索軟件的攻擊者在新冠肺炎疫情期間尤為猖獗。據(jù)網(wǎng)絡(luò)安全公司SonicWall的統(tǒng)計(jì),,全球案發(fā)量在去年上升了62%,,勒索金額高達(dá)3.05億美元。另一家網(wǎng)絡(luò)安全公司PurpleSec說(shuō),,2020年全球企業(yè)因此蒙受了200億美元的損失,,而2019年的損失為115億美元。
在新冠肺炎疫情期間興起的居家工作,,讓許多員工可以用個(gè)人電腦登錄公司系統(tǒng),,這給網(wǎng)絡(luò)犯罪分子提供了大量能夠利用的空子。只要員工在無(wú)意間打開(kāi)一封電子郵件的附件,、點(diǎn)開(kāi)一條廣告或進(jìn)入一個(gè)鏈接,,就可能下載了惡意軟件。
小公司因?yàn)闆](méi)有專職的IT安全人員,,過(guò)去常常被勒索軟件犯罪團(tuán)伙視為囊中之物,。但據(jù)專家稱,現(xiàn)在黑客覬覦的是規(guī)模更大的企業(yè),,例如石油,、物流和制造公司,還有政府部門,、醫(yī)院和學(xué)校等,。
在一起迄今為止最嚴(yán)重的勒索軟件攻擊中,與一伙說(shuō)俄語(yǔ)的團(tuán)伙有牽連的黑客在今年5月迫使一家石油管道運(yùn)輸公司關(guān)閉了數(shù)日之久,,因?yàn)槠涔?yīng)的石油占美國(guó)東海岸日需用量的將近一半,,從而引發(fā)了恐慌性搶購(gòu),甚至導(dǎo)致一些加油站無(wú)油可加。受到攻擊的就是科洛尼爾管道運(yùn)輸公司(Colonial Pipeline),,它說(shuō)已經(jīng)決定支付贖金,,因?yàn)閿?shù)千萬(wàn)美國(guó)人離不開(kāi)這條運(yùn)輸線。據(jù)《華爾街日?qǐng)?bào)》報(bào)道,,科洛尼爾支付了相當(dāng)于440萬(wàn)美元的比特幣,,但該公司并未對(duì)此數(shù)額表態(tài)。
猶他大學(xué)稱,,攻擊者切斷了該校的計(jì)算機(jī)入口之后,,它在去年7月支付了超過(guò)45.7萬(wàn)美元的贖金,以免私人信息在網(wǎng)上被泄露,。該大學(xué)與網(wǎng)絡(luò)保險(xiǎn)商和司法機(jī)構(gòu)合作,,并咨詢了一家沒(méi)有透露名稱的專業(yè)敲詐談判公司。這所大學(xué)表示:“我們得到的所有信息和指導(dǎo)都表明,,若不支付贖金,,威脅實(shí)施者絕對(duì)不會(huì)善罷甘休?!?/p>
由于許多公司不愿意談及網(wǎng)絡(luò)安全漏洞和所付贖金的金額,,有一些專家猜測(cè),這類問(wèn)題的嚴(yán)重性要遠(yuǎn)遠(yuǎn)超過(guò)公開(kāi)披露的程度,?!拔覀兲幚磉^(guò)索要5,000萬(wàn)美元贖金的談判——這些都屬于公開(kāi)報(bào)道的案件,我可以想象究竟還有多少案件未曾報(bào)道或披露,,純粹是因?yàn)槭潜kU(xiǎn)公司支付的贖金,。”從事詐騙追討業(yè)務(wù)的Gemini Advisory公司的首席執(zhí)行官安德烈·巴里塞維奇說(shuō),,他也帶隊(duì)處理過(guò)一些勒索軟件談判,。
這些攻擊往往來(lái)自俄羅斯和前蘇聯(lián)國(guó)家,比如白俄羅斯,、烏克蘭,、摩爾多瓦,以及土耳其等國(guó),。由于這類案件具有國(guó)際背景,,躲在暗處的騙子使用的工具能夠躲避追蹤,對(duì)勒索團(tuán)伙成功起訴的案例寥寥無(wú)幾,。
如今,,各國(guó)針對(duì)加強(qiáng)國(guó)際合作打擊勒索行為的呼聲日益高漲。美國(guó),、英國(guó)和加拿大的一些技術(shù)公司和執(zhí)法機(jī)構(gòu)在今年4月提出,,要采取積極的國(guó)際行動(dòng)以打擊勒索行為,,包括懲罰對(duì)此類犯罪聽(tīng)之任之的國(guó)家。大約在同一個(gè)時(shí)間,,美國(guó)司法部成立了一支特勤隊(duì),,專門應(yīng)付勒索軟件團(tuán)伙。
但是,,美國(guó)聯(lián)邦調(diào)查局反對(duì)支付贖金,,理由是此舉是在鼓勵(lì)更多的網(wǎng)絡(luò)竊財(cái)行為,而且勒索所得可能被用于資助有組織犯罪和恐怖活動(dòng),。然而在美國(guó),支付贖金是合法行為,,只要不涉及向伊朗和朝鮮等國(guó)家輸送資金,,或是轉(zhuǎn)給在美國(guó)財(cái)政部的制裁名單榜上有名的網(wǎng)絡(luò)犯罪分子就行。
公司遭到勒索軟件攻擊的第一個(gè)跡象多半僅僅表現(xiàn)在,,員工無(wú)法登陸自己的計(jì)算機(jī),,或者不能使用電子郵箱。這時(shí)有一個(gè)不加密的文件——僅此一個(gè)——傳來(lái)壞消息,,而且往往把受害人引向一個(gè)嵌有距離最后時(shí)限僅幾分鐘的倒計(jì)時(shí)時(shí)鐘的網(wǎng)站,。
“時(shí)鐘上通常附有一則威脅?!闭勁袑<衣?tīng)栒f(shuō),,其內(nèi)容不是說(shuō)等秒針倒退到零后贖金就會(huì)加倍,就是說(shuō)黑客將把竊取的數(shù)據(jù)在網(wǎng)上公諸于眾,。但是他又說(shuō),,這往往是一個(gè)假的時(shí)限,目的是制造一種緊張氣氛,。
如果受到攻擊的公司或組織的數(shù)據(jù)有備份,,并且自認(rèn)為在遭受攻擊后很快就可以恢復(fù)運(yùn)營(yíng),它可能決定不理睬黑客,。至于無(wú)準(zhǔn)備的公司——這樣的公司數(shù)量不少——或者公司的敏感數(shù)據(jù)已經(jīng)被盜,,那么它們就可能無(wú)計(jì)可施,只能進(jìn)行討價(jià)還價(jià)——通常是通過(guò)黑客提供的實(shí)時(shí)聊天窗口進(jìn)行,。
談判專家建議受到勒索的公司求助于保險(xiǎn)公司或擅長(zhǎng)處理數(shù)據(jù)漏洞的律師事務(wù)所,。這類律師事務(wù)所會(huì)判斷出,聘請(qǐng)談判專家是否可以奏效,。另外,,他們一般也會(huì)建議受害者報(bào)警。
勒索軟件談判公司Coveware報(bào)告說(shuō),,今年頭三個(gè)月所交贖金的平均數(shù)額達(dá)到22萬(wàn)美元,,比前一季度猛漲了43%,。如此漲幅的原因是,有幾個(gè)極其活躍的團(tuán)伙攻擊了大型組織,,索要高額贖金,。
曼德?tīng)柕淖罱K目的是設(shè)法把贖金壓到最初索要金額的10%。他代表客戶——那是一家他未提及名稱的大型工程公司——支付的最大一筆贖金是275萬(wàn)美元,。原因是該公司要求盡可能減少談判回合,,以便盡快恢復(fù)運(yùn)營(yíng)。
曼德?tīng)柕墓景葱r(shí)收取服務(wù)費(fèi),,并根據(jù)客戶的規(guī)模設(shè)定了上限,。大多數(shù)企業(yè)最終支付的賬單在2萬(wàn)美元至2.5萬(wàn)美元之間。但曼德?tīng)栒f(shuō),,他的公司偶爾也會(huì)免費(fèi)為小企業(yè)或非盈利機(jī)構(gòu)服務(wù),。在一次免費(fèi)談判中,曼德?tīng)栐噲D勸說(shuō)黑客放棄贖金,,因?yàn)樗麄児舻哪繕?biāo)是一家癌癥慈善服務(wù)機(jī)構(gòu),,但那幫家伙不聽(tīng)?!八麄冏詈筮€是拿到了贖金,。”他說(shuō),。
勒索軟件最近的新動(dòng)向是“勒索軟件服務(wù)”的出現(xiàn),,由軟件開(kāi)發(fā)者向他人出租自己開(kāi)發(fā)的勒索軟件,從勒索所得中提成或收取租賃費(fèi)作為報(bào)酬,。這讓那些幾乎沒(méi)有技術(shù)背景或原本無(wú)緣入行的犯罪分子更加容易得手,。
“這有些像黑手黨與街頭幫派之間的關(guān)系。黑手黨守規(guī)矩,,有自身的行為方式,。”曼德?tīng)栒f(shuō),?!岸切┐蔚茸锓钢毁I平臺(tái),他們毫無(wú)規(guī)矩,,而且真的不在乎長(zhǎng)期后果,,所以他們未必總能踐約?!?/p>
企業(yè)組織可以向美國(guó)國(guó)際集團(tuán)或Coalition等保險(xiǎn)公司投保網(wǎng)絡(luò)險(xiǎn),,以保護(hù)自己免受勒索之苦。承保的險(xiǎn)項(xiàng)一般能夠承擔(dān)贖金外加恢復(fù)計(jì)算機(jī)系統(tǒng)運(yùn)行的成本,。
作為Coalition公司的應(yīng)急響應(yīng)主管,,麗安·尼科洛是公司第一個(gè)接到受害客戶電話的人,,雖然公司也聘請(qǐng)外部專家來(lái)處理談判事務(wù)。她說(shuō),,自從她在2015年開(kāi)始涉足該業(yè)務(wù)以來(lái),,勒索案件增長(zhǎng)了10倍,而當(dāng)時(shí)索要5萬(wàn)美元就是高額了,?!敖陙?lái),索要百萬(wàn)贖金已經(jīng)屢見(jiàn)不鮮,?!彼f(shuō)。
她告誡道,,最大的付款風(fēng)險(xiǎn)是“雙重勒索”,,即網(wǎng)絡(luò)犯罪分子對(duì)受害者背信棄義。尼科洛就事論事地說(shuō)道:“他們?cè)谑盏降谝还P錢之后,,還會(huì)回到最初的要求,就像交了兩次贖金,?!?/p>
勒索軟件的受害者
黑客們劫持了無(wú)數(shù)組織的數(shù)據(jù)。以下是其中幾個(gè)最著名的案例,。
2021年5月12日,,科洛尼爾管道運(yùn)輸公司在遭到網(wǎng)絡(luò)攻擊后關(guān)閉運(yùn)營(yíng),位于佐治亞州鄧伍迪市的一家加油站暫停服務(wù),。圖片來(lái)源:Elijah Nouvelage—Bloomberg/Getty Images
科洛尼爾管道運(yùn)輸公司(2021年)
據(jù)報(bào)道,,這家公司在受到攻擊、被迫關(guān)閉其輸油管道后,,繳納了440萬(wàn)美元,。該公司的輸油管道向美國(guó)東海岸提供將近一半的汽油。
加利福尼亞大學(xué)舊金山分校(University of California, San Francisco,,2020年)
這所學(xué)校一直在忙于重要的新冠病毒研究,。在黑客解密了該校重要的學(xué)術(shù)數(shù)據(jù)后,它支付了114萬(wàn)美元,。
挪威海德魯公司(Norsk Hydro,,2019年)
這家挪威的鋁制品生產(chǎn)商在遭到攻擊并拒絕支付贖金后,用了好幾周的時(shí)間來(lái)恢復(fù)受到入侵的系統(tǒng),,最終的損失在5,000萬(wàn)美元左右,。
WannaCry病毒(2017年)
這次被美國(guó)甩鍋給朝鮮的重大網(wǎng)絡(luò)攻擊波及了150個(gè)國(guó)家中的超過(guò)30萬(wàn)臺(tái)計(jì)算機(jī),破壞了許多大型組織的運(yùn)營(yíng),,其中包括英國(guó)的國(guó)家醫(yī)療服務(wù)體系(National Health Service)和中國(guó)石油天然氣集團(tuán)有限公司,。
索尼影業(yè)公司(Sony Pictures,,2014年)
黑客們要求這家制片公司下架一部即將上映的喜劇片,因?yàn)樵撈v的是密謀暗殺朝鮮領(lǐng)導(dǎo)人金正恩,。他們竊取了大量的電影和電子郵件,,然后清空了這家公司的電腦。
FBI和網(wǎng)絡(luò)安全專家提供的防黑客高招
企業(yè)應(yīng)該采取以下步驟,,防止受到勒索軟件的攻擊,。
· 培訓(xùn)員工識(shí)別經(jīng)常被用來(lái)傳遞勒索軟件的釣魚電子郵件。
· 不要打開(kāi)陌生電子郵件里的附件或點(diǎn)擊URL地址,。
· 使用唯一的密碼登錄企業(yè)系統(tǒng)并且進(jìn)行雙重驗(yàn)證,。
· 監(jiān)視遠(yuǎn)程登錄狀況,以便發(fā)現(xiàn)未授權(quán)者登錄企業(yè)網(wǎng)絡(luò),。
· 定期備份數(shù)據(jù),。線下單獨(dú)存放備份,脫離正常的運(yùn)行,。
· 確保公司網(wǎng)絡(luò)上的所有設(shè)備均使用最先進(jìn)的操作系統(tǒng)和應(yīng)用,。
· 確保殺毒軟件能夠自動(dòng)升級(jí)并定期進(jìn)行掃描。
· 若是受到勒索軟件攻擊,,事先做好應(yīng)對(duì)方案,。(財(cái)富中文網(wǎng))
Sources: FBI, cybersecurity experts
譯者:王恩冕
財(cái)富中文網(wǎng)所刊載內(nèi)容之知識(shí)產(chǎn)權(quán)為財(cái)富媒體知識(shí)產(chǎn)權(quán)有限公司及/或相關(guān)權(quán)利人專屬所有或持有。未經(jīng)許可,,禁止進(jìn)行轉(zhuǎn)載,、摘編、復(fù)制及建立鏡像等任何使用,。
