互联网赎金风暴

快公司FastCompany快公司2020-04-23 10:10

 [图片来源:Tim Gouw/Pexels图片素材库;维基共享资源]

IBM最近报告称,2019年最后一个季度,网络攻击同比增长了67%。新冠病毒的爆发无异于雪上加霜:一夜之间,你发现勒索软件劫持了公司电脑里的所有重要数据——对许多企业高管而言,这是一个噩梦般的场景。

康涅狄格勒索软件恢复公司Coveware的联合创始人兼CEO比尔·西格尔(Bill Siegel)表示:“这种情况非常紧急,往往会对公司的业务造成严重的破坏。”

从未处理过勒索软件的企业甚至不知道该给谁打电话,该找谁来调查情况。但现在,越来越多企业购买了承保数字攻击的网络保险,一旦遭受黑客入侵,它们第一时间就是找保险公司。而保险公司通常会迅速帮它们联系到所谓的“黑客教练”,即一类专门的律师,本质上就是与勒索软件作斗争的调停者。

约翰·穆伦(John Mullen)的律师事务所Mullen Coughlin专门研究数据泄露问题,这家公司开通了热线电话,面向数十家保险公司、经纪人及其客户,遭遇勒索软件攻击或其他侵犯时,他们可以拨打电话留下语音信息。

“我们一分钟内就能看到。”穆伦说,“两到三分钟内就能着手解决冲突。不到10分钟,我们就开始联系对方了。”

像穆伦这样的律师自然可以为企业提供法律建议,包括指导其履行向客户或监管机构披露攻击的义务。虽然律师往往是由保险公司介绍给客户的,但他们代表的是勒索软件受害者,而不是保险公司。但涉及到勒索软件的响应时,他们也充当了某种中间协调者的角色:与计算机取证专家进行协调,以确定攻击的严重程度;与负责通知的公司进行协调,让受攻击影响的客户了解情况;与IT公司进行协调,以迅速安排人员修补漏洞。如果受害企业的领导人决定支付赎金,黑客教练甚至可以让Coveware等拥有相关经验的专业公司介入,与攻击者谈判,并核实支付赎金是否确能解锁文件。

“可以说,我们相当于总承包商。”马伦说。“我们负责把水管工请来。”

让律师事务所主导响应有一个好处:谈到所发生的事情,双方的对话可以相对坦诚,因为客户和律师之间的讨论通常受到法律保护。

Lewis Brisbois律师事务所数据隐私与网络安全业务主管肖恩•霍尔(Sean Hoar)表示:“我们和客户之间的沟通从一开始就受到律师与当事人的保密特权和工作成果原则的保护。”该公司经常接到保险公司和终端客户的电话,就勒索软件和其他数字攻击问题向其寻求帮助。

“大家称呼我们为黑客教练。”他说,“我更喜欢外聘顾问这个词。”

“这往往是他们一生中最糟糕的日子之一”

Travelers保险公司企业网络主管蒂姆·弗朗西斯

安全公司指出,勒索软件的数量正在上涨。IBM最近报告称,2019年最后一个季度,网络攻击同比增长了67%。新冠病毒的爆发无异于雪上加霜:据说一些有组织的犯罪团体表示,病毒大流行期间,他们将避开医疗机构,但仍然有医院受到此类攻击,而且据报道,已经有勒索软件和其他数字诈骗以搜索病毒相关信息的人为攻击目标。

快公司联合无冕财经及智库组织,推出首届“粤港澳大湾区最具创新力公司”GBA50 评选 ,以快公司与生俱来对创新的前瞻性、不一样的视觉、更科学的方法,评选出大湾区具有突出竞争力和综合实力的公司,挖掘它们最前沿的技术,发现它们最领先的商业模式,报道商业新未来的经营领袖,最大程度鲜活地呈现大湾区经济生态创新力。

有些保险公司提供网络风险保单,可覆盖勒索软件和其他类型的数字攻击。它们希望为应对高科技突发事件的客户提供紧急响应服务,即使这些问题是在半夜发现的。美国保险监督官协会(National Association of Insurance Commissioners)的一份报告显示,“快速增长”的网络保险市场目前每年的价值约为31亿美元。他们可以帮客户联系专家,并可能承担应对攻击的成本,比如恢复数据、通知客户,甚至在必要时支付赎金。

“这往往是他们一生中最糟糕的日子之一。”保险巨头Travelers的企业网络主管蒂姆·弗朗西斯(Tim Francis)说道。该公司为网络攻击受害者提供24小时理赔服务。“即使他们制定了事故响应预案,即使他们拿出了预案,即使实施了预案,现实情况也是完全不同的。”

弗朗西斯拒绝透露具体客户的名字(客户自然希望对发生过的事件保密,除此之外,到处声张自己买了保险这件事通常也被认为是不明智的做法)。但他指出,在典型的勒索软件案例中,通常是某个组织发现一名员工不小心点击了钓鱼邮件中的链接,无意中安装了恶意软件,破坏了公司的网络和文件。

“我们不仅仅提供资金。”弗朗西斯说,“更要帮客户联系到专家,包括我们自己在内,让他们明白,情况是不太好,但我们控制得住,我们能够应对,我们有合适的人员来处理这个过程。”

随着数据泄露问题变得越来越复杂,出现了黑客教练这一个新角色。 [图片来源:Travelers网站]

这些人员包括黑客教练,包括黑客教练挑选的取证公司,后者在规模和软件熟悉程度上必须与受害组织相匹配,包括Coveware等公司的技术专家,他们能够分析案件所涉及的恶意软件,如果受害者决定支付赎金,他们还能协助就赎金条款进行谈判,并使用加密货币支付。

“举例来说,单单是比特币的交易也可能很复杂。”弗朗西斯说,“对于一个完全没有这方面经验的组织来说,光是这一点就够复杂,够吓人了。”

 如何跟黑客谈判 

付不付赎金有时也不是一个简单的决定:很多公司自然不想给犯罪分子送钱,有些组织还可以直接从备份中恢复数据,不必费心解密落入黑客手中的文件。西格尔的公司跟踪了不同勒索软件变体的恢复率,他说,如果客户决定付钱,勒索软件专家就可以提供相关信息,分析特定类型的恶意软件的受害者实际上有多大可能性得到有效的解密工具。

“选择这条路,他们可以获得很大的信心,如果他们的案子和我们之前做过的案子一样,就能重新恢复正常运作。”他说道。

弗朗西斯指出,另外一个选择是尝试与黑客谈判,支付一部分赎金来恢复有限数量的文件,这种做法可以验证攻击者是否有能力解密这些文件。

这里还可能涉及法律方面的考量。霍尔表示,他的公司坚持认为,任何与之合作的勒索软件谈判专家都应该做好充分的尽职调查,确保客户支付的赎金不会违反反洗钱法和类似的规定。这些要求是双向的:西格尔说,如果存在数据泄露的风险,Coveware也不会与没有聘请法律顾问的客户合作。

“有时完全是虚张声势。”

比尔·西格尔,Coveware联合创始人兼CEO

该公司经常通过电子邮件或加密聊天与勒索软件攻击者进行谈判,以满足客户在解密时间和支付能力方面的需求。西格尔说:“我们不断改进与这些组织沟通的方式,试图保持谈判优势。”

当然,在赎金谈判的世界里,人们可能会对自己具体使用的技巧守口如瓶。谈判者有时具备一个优势,即黑客并不总知道受害者能够支付多少赎金,甚至不知道受害者在哪家公司,这意味着经验丰富的谈判者往往能够把赎金要求谈低。霍尔说,有时甚至可以借助黑客无私的一面,比如提到遭受攻击的是一家非营利组织,做过不少善事。

“我会找机会插入这种信息,万一能给客户带来好处呢。”他说道。

现代网络犯罪分子在现实中更像什么样子 [图片来源:Coveware]

如果攻击者最终交出了解密软件,那么还存在一个问题,即如何妥善处理,确保它不包含额外的恶意软件。有些勒索软件修复公司会在“沙盒式”的环境里运行解密软件,防止解密软件获取其他数据。西格尔透露,Coveware经常提取出实际使用的密钥或密码,然后输入自己定制的软件中。它的解密工具通常速度更快,还能确保客户不必运行更多来自攻击者的软件。如果攻击过程中确实存在数据被窃取的风险,Coveware可以与受害者及其律师合作,查明到底发生了什么。“有时完全是虚张声势。”西格尔说,“有时确实有大量数据被窃取。”

恢复了数据不代表工作就完成了:保险公司还可能参与保险工作,确保受害者不会再次受害。最近,Travelers推出一项最新服务,一旦眼下的威胁得到解决,数据得以恢复或解密,保险公司及其专家将与企业合作,强化系统,升级保险,降低它们再次受到攻击的可能性。弗朗西斯说,仅仅让黑客离开,而不采取措施阻止他们回来,终究是不够的。

“这样的话,感觉我们为客户做得还不够多。”他说道。

(编辑:区嘉盛)