勒索软件团伙正变得更有组织和攻击性，其中许多团伙现在像企业一样运营。他们有客户服务、支付门户和谈判剧本。没有任何组织能够幸免，医院、学校、关键基础设施和全球公司都遭受过攻击。

Zscaler的一份报告显示，向“暗黑天使”(Dark Angels)团伙支付的高达7500万美元的赎金，可能鼓励了其他勒索软件运营商寻求更高的赎金。

但好在有一个积极的趋势，根据Chainalysis的最新报告，越来越多的受害者拒绝支付赎金。

这一转变可能部分归因于最近全球执法部门的行动，这些行动对勒索软件团伙造成了重大打击，这包括拆解LockBit的基础设施、起诉“冥界”(Phobos)勒索软件的管理员、瓦解Radar/Dispossessor团伙，以及关闭ALPHV/BlackCat的泄露网站。

这是一场犯罪分子与执法部门之间不断上演的猫捉老鼠的游戏。

为什么公司会选择参与勒索软件的谈判?

这个问题没有简单的答案，政府和执法部门通常建议不要支付赎金，他们认为这样做不仅强化了网络犯罪的循环，还为有组织犯罪提供了资金，甚至可能支持国家赞助的网络行动。

但另一些人认为，首要责任是保护组织和其利益相关者。在那一刻，这更多关乎生存，而非道德。

对许多人来说，支付赎金似乎是恢复在线状态的最快方式，系统停机的时间越长，成本就越高。

在某些情况下，支付赎金可能是唯一的选择。如果备份数据被破坏或无法使用，公司可能别无选择，只能通过谈判来重新获得数据的访问权限。

医院又该如何?如果它们无法访问患者记录，或者公用事业单位无法恢复供电，生命将危在旦夕。在这些情况下，几乎没有妥协的余地，然而，正如Change Healthcare数据泄露案所示，支付赎金并不能保证关键数据的恢复。

2021年5月，美国主要燃料供应商Colonial Pipeline遭到DarkSide勒索软件团伙的攻击。为了恢复运营并最大限度地减少燃料供应中断，该公司支付了500万美元的赎金，司法部通过协调调查行动成功追回了230万美元的赎金。

Tanium的首席安全顾问蒂姆·莫里斯(Tim Morris)说：“如果这只是一个法律和道德考量，从原则上讲，你不应该支付赎金，执法部门也会同意这种做法，但话说回来，有时支付勒索软件赎金关乎商业决策，而非道德问题，讲道德可能会付出比支付勒索软件赎金更高的代价。”

专业人员如何处理这一过程

当公司决定进行谈判时，专业人员会介入以管理这种情况。事件响应团队通常会带头，与法律、信息技术和通信团队一起控制局面。

通常会引进第三方谈判人员。他们是知道如何与攻击者谈判的专家，而不会轻易让步。他们让谈判保持专业水准，并试图降低赎金要求，同时不增加数据丢失的风险。

“一个第三方高度专业的事件响应团队可以为企业提供一站式服务的各种专业知识，而这些可能是传统内部安全团队所缺乏的，”Sygnia英国和北欧地区董事阿泽姆·阿利姆(Azeem Aleem)说。

攻击者通常会遵循一个剧本。一些攻击者一开始表现得很凶悍，然后在谈判开始后转而表现得乐于助人。他们利用压力和恐惧来快速获得赎金。他们可能会威胁泄露数据、提高赎金或设定虚假的最后期限。优秀的谈判人员知道不要惊慌。

拖延是一种常见的策略，因为时间对你有利。延长对话时间为团队提供了恢复备份、评估法律风险或联系执法部门的时间。

第一次的勒索要求绝不是最终要求。熟练的谈判人员会提出更低的金额，要求折扣，或要求更多时间，而不会激怒攻击者。

在支付任何赎金之前，谈判人员会要求攻击者解锁一个样本文件。如果攻击者做不到这一点，整个谈判可能会破裂。

在勒索软件攻击中涉及执法部门是一个关键步骤，但时机至关重要。当局越早得到通知，他们就越有可能调查这次攻击、识别罪犯并防止未来的攻击。执法部门通常不与攻击者谈判，但他们可以帮助指导公司完成整个过程。

公司还应检查其网络保险政策是否要求通知执法部门。许多保险政策将这一点作为索赔流程的一部分。

构建勒索软件攻击响应计划

准备

组织需要一个勒索软件应急预案。该计划应列出处理攻击的步骤，包括如何决定谈判。一个预定义的框架有助于团队在危机期间快速而自信地行动。

桌面演练

模拟勒索软件攻击或桌面演练，可以让团队为真实事件做好准备。这些模拟演习有助于识别薄弱环节并改善决策，它们还让关键人员有机会练习处理高压情况。

“企业应确保其事件响应计划解决数据盗窃带来的独特挑战。这包括为潜在的双重勒索场景做好准备，并做好管理与客户和其他利益相关者之间后果的准备，”WithSecure的威胁情报和宣传主管蒂姆·韦斯特(Tim West)指出。

当勒索谈判失败时

以下步骤概述了组织在勒索软件攻击中可以采取的应对措施，以最大限度地减少其影响：

评估情况：确定哪些系统受到影响，以及是否有可用的备份。

寻求专家协助：让网络安全专业人员分析此次泄露并协助恢复工作。

隔离系统：将受损设备从网络中断开，以防止攻击进一步蔓延。

通知当局：按要求向执法部门和相关监管机构报告此次事件。

透明沟通：向利益相关者通报此次泄露以及正在采取的应对措施。

恢复数据：利用干净的备份来恢复系统和数据，确保清除所有恶意软件。

加强防御：更新安全措施，修补漏洞，并培训员工，以防止未来发生类似事件。

回顾与学习：进行事后分析，以确定薄弱环节并改进响应策略。

当每个选择都有害时

正如我们所见，在这些谈判中没有规则，因为贼之间没有荣誉可言。这些团伙曾经遵循的模式正在随着他们改进战术而发生变化。没有人想处于首席信息安全官或这些情境中的组织的立场。

心理压力可能是巨大的，因为你无法预测结果，而且两种解决方案都不理想。如果你支付赎金，公司会损失金钱。如果你不支付，你不仅会面临数据丢失的风险，还会失去客户的信任，这对公司未来的打击可能更为致命。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。