本月初，美國財(cái)政部外國資產(chǎn)控制辦公室（OFAC）發(fā)布咨文警告組織不要向勒索軟件支付贖金，并聲稱此舉存在違反政府對網(wǎng)絡(luò)犯罪集團(tuán)或國家黑客施加的經(jīng)濟(jì)制裁的法律風(fēng)險(xiǎn)。

　　該咨文有可能破壞勒索軟件的變現(xiàn)模式，但同時(shí)也使被攻擊的企業(yè)、其保險(xiǎn)公司和事件響應(yīng)服務(wù)商處境更加艱難。因?yàn)椴恢Ц囤H金，往往意味著勒索軟件攻擊造成的損失更大，而且需要更長的時(shí)間才能恢復(fù)。而且，“支付贖金犯法”也有可能導(dǎo)致網(wǎng)絡(luò)安全保險(xiǎn)將不再覆蓋勒索軟件攻擊。

　　“OFAC可能會(huì)對違反制裁的行為處以民事處罰，這意味著受美國司法管轄的個(gè)人，即使不知道（或有理由知道）自己在與被制裁或禁止的個(gè)人進(jìn)行交易也可能承擔(dān)民事責(zé)任。”財(cái)政部在咨文中說。

　　支付贖金助長勒索軟件氣焰

　　勒索軟件起源于針對消費(fèi)者的恐嚇詐騙軟件，例如彈窗警告用戶需要立刻下載安裝“殺毒軟件”，或者支付并不存在的罰款。事實(shí)上，在早期階段，勒索軟件程序并不加密用戶計(jì)算機(jī)文件，而只是試圖用瘋狂刷屏或彈窗的的方式鎖定用戶（的計(jì)算機(jī)）。

　　隨著勒索軟件領(lǐng)域的競爭加劇，一些黑客組織開始同時(shí)攻擊消費(fèi)者和企業(yè)，但直到2017年WannaCry和NotPetya攻擊之后，網(wǎng)絡(luò)犯罪分子才意識到企業(yè)網(wǎng)絡(luò)的脆弱性。

　　在過去的三年中，成熟的網(wǎng)絡(luò)犯罪集團(tuán)逐漸轉(zhuǎn)向更加復(fù)雜的金融犯罪勒索軟件。他們使用APT風(fēng)格的技術(shù)，例如精心選擇目標(biāo)，進(jìn)行深度偵察，橫向移動(dòng)，無文件執(zhí)行，按受害者量身定制的有效載荷，取得了巨大“成功”。

　　勒索軟件從2C轉(zhuǎn)向2B之后，贖金的價(jià)格也水漲船高，如今，針對企業(yè)的勒索贖金要價(jià)動(dòng)輒數(shù)百甚至上千萬美元。勒索軟件贖金的飆漲，部分原因是很多企業(yè)的贖金是通過網(wǎng)絡(luò)安全保險(xiǎn)支付。雖然目前關(guān)于私營公司支付贖金的信息很少，但是間接證據(jù)表明支付贖金已經(jīng)是非常普遍的“操作”。

　　事實(shí)上，無論是否公開宣傳此類服務(wù)，越來越多的事件響應(yīng)公司和獨(dú)立顧問都以受害者的名義參與勒索軟件的談判。一些組織和金融平臺會(huì)協(xié)助進(jìn)行贖金付款流程，例如將資金轉(zhuǎn)換為比特幣或其他加密貨幣并將其發(fā)送給攻擊者。

　　去年，ProPublica的報(bào)告透露，很多保險(xiǎn)公司經(jīng)常建議客戶支付贖金，因?yàn)檫@比重建所有系統(tǒng)并從備份中恢復(fù)要便宜，可以減少停機(jī)時(shí)間有關(guān)的成本。但這也形成了一個(gè)“四贏”的惡性循環(huán)：攻擊者成功拿到贖金，保險(xiǎn)公司支付的錢少了，事件響應(yīng)安全服務(wù)商獲得了合同，受害者更快地恢復(fù)了。結(jié)果，勒索軟件成了低風(fēng)險(xiǎn)高收益的網(wǎng)絡(luò)犯罪“成功模式”。

　　OFAC在其咨詢報(bào)告中指出：“支付勒索軟件贖金，可能會(huì)使被制裁的罪犯和對手獲利并推進(jìn)其非法目標(biāo)。”“例如，向受制裁的實(shí)體或地區(qū)支付的贖金可用于資助不利于美國國家安全和外交政策目標(biāo)的活動(dòng)。支付贖金還將鼓勵(lì)攻擊者參與未來的攻擊。”

　　與勒索軟件攻擊有關(guān)且在財(cái)政部制裁名單上的團(tuán)體或個(gè)人的例子包括兩名與SamSam勒索軟件有關(guān)的伊朗國民，以及朝鮮政府贊助的拉撒路組織（Lazarus），后者與WannaCry攻擊有關(guān)，且與網(wǎng)絡(luò)犯罪分子存在聯(lián)系。還有一個(gè)名為Evil Corp的俄羅斯網(wǎng)絡(luò)犯罪組織，該組織是Dridex僵尸網(wǎng)絡(luò)以及WastedLocker和BitPaymer勒索軟件的背后黑手。

　　由于網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)異常復(fù)雜，受害者或其安全咨詢服務(wù)商很難知曉勒索是否會(huì)流向制裁名單上的實(shí)體，個(gè)人或政府。但OFAC在其咨詢意見中明確指出，不知道收款人是否受到制裁并不能使企業(yè)免于民事處罰。

　　網(wǎng)絡(luò)保險(xiǎn)面臨巨震

　　反惡意軟件公司Emsisoft的威脅分析師布雷特·卡洛（Brett Callow）認(rèn)為：“財(cái)政部咨文的真正目的是使事件響應(yīng)行業(yè)擺脫陰影，并在政府的合作和投入下，以更高的透明度運(yùn)作，提高政府對此類事件結(jié)果的控制權(quán)。2018年，勒索軟件的平均贖金要價(jià)約為5,000美元，大多數(shù)受害者是小型企業(yè)。現(xiàn)在，平均贖金價(jià)格約為20萬美元，數(shù)百萬美元的高額贖金正日益成為常態(tài)。受害者是醫(yī)院、大型跨國公司甚至國防工業(yè)基地的公司。因此，勒索軟件攻擊比幾年前變得更加嚴(yán)重，政府確實(shí)需要找到一種干預(yù)措施。”

　　Emsisoft是公開呼吁政府禁止支付勒索軟件贖金的安全公司之一，稱該行為“對國家安全、選舉安全、公司知識產(chǎn)權(quán)和財(cái)務(wù)安全、個(gè)人信息及其健康構(gòu)成威脅。”今年早些時(shí)候，德國報(bào)道了首起與勒索軟件相關(guān)的死亡事件，一名生命垂危的婦女因就醫(yī)的醫(yī)院被勒索軟件攻擊而不得不被送往20英里外的一家醫(yī)院，因延誤治療導(dǎo)致死亡。

　　目前來看，OFAC的咨文報(bào)告并未完全禁止勒索軟件付款（而且也只是針對美國司法管轄范圍內(nèi)的企業(yè)），而且那些有迫切需要的美國企業(yè)還可以申請OFAC許可證以支付勒索軟件贖金，但是這些請求將接受“以拒絕為前提的個(gè)案審查”，成功率未知。

　　問題是，如果大多數(shù)付款請求都被拒絕，將會(huì)發(fā)生什么？如果結(jié)果可能導(dǎo)致企業(yè)無法恢復(fù)甚至倒閉，企業(yè)還會(huì)冒險(xiǎn)去申請?jiān)S可嗎？

　　目前尚不清楚事件響應(yīng)公司留有哪些操作余地。威脅情報(bào)公司GroupSense在網(wǎng)絡(luò)犯罪論壇和地下黑市安插很多眼線收集威脅情報(bào)，剛剛在9月份推出勒索軟件協(xié)商服務(wù)，包括評估和與威脅參與者互動(dòng)，制定協(xié)商策略以降低支付需求，甚至管理加密貨幣交易。現(xiàn)在，處理贖金付款的這個(gè)環(huán)節(jié)將使他們面臨違反OFAC規(guī)定的風(fēng)險(xiǎn)。

　　GroupSense首席執(zhí)行官Kurtis Minder認(rèn)為：

　　財(cái)政部沒有為受害者提供其他選擇。如果政府希望公司停止支付贖金，則應(yīng)提供一項(xiàng)救濟(jì)計(jì)劃，其中包括對勒索軟件受害者的補(bǔ)貼，以幫助他們避免因勒索軟件而倒閉。如果不向受害公司提供幫助，只會(huì)把贖金支付推向地下。“

　　獨(dú)立風(fēng)險(xiǎn)管理咨詢公司Betterley Risk Consultants的里克·貝特利（Rick Betterley）表示，財(cái)政部的咨文可能對網(wǎng)絡(luò)保險(xiǎn)市場產(chǎn)生重大影響。

　　Betterley同意，保險(xiǎn)的存在使受害者更容易支付贖金要求，但他認(rèn)為保險(xiǎn)并不是是否支付贖金的主要原因。這是因?yàn)椋M管勒索軟件攻擊和重建系統(tǒng)的響應(yīng)成本已由保險(xiǎn)單支付，但公司因業(yè)務(wù)中斷而蒙受的損失卻通常不會(huì)或幾乎不會(huì)完全消失，而這些損失可能會(huì)使公司退出商業(yè)競爭。因此，盡管支付贖金能夠幫助保險(xiǎn)公司降低賠付成本，但受害者支付贖金的主要原因是希望能夠繼續(xù)經(jīng)營。

　　換而言之，有了保險(xiǎn)可以使受害者更容易付款，但是如果沒有保險(xiǎn)，很多受害者仍然可能會(huì)支付贖金。Betterley說，要想拿出這些資金會(huì)比較困難，但是要在這筆資金或破產(chǎn)之間進(jìn)行選擇，企業(yè)自然會(huì)”兩害相權(quán)取其輕“。”我認(rèn)為最大的問題將是，保險(xiǎn)公司將不能支付違反政府指令的（贖金）索賠，因此，美國財(cái)政部的行動(dòng)對網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)來說是個(gè)大問題。“

　　如果保險(xiǎn)公司不再承保勒索軟件攻擊，Betterley說他也不會(huì)感到驚訝：”這將是一件大事，還會(huì)有多少公司會(huì)去購買其他網(wǎng)絡(luò)安全保險(xiǎn)？鬼才知道。“

　　總之，”曖昧“的財(cái)政部咨文已經(jīng)讓企業(yè)、保險(xiǎn)公司、安全公司和勒索軟件組織陷入困惑和焦慮，但有一些市場正在成為真正的贏家——例如數(shù)據(jù)備份/數(shù)據(jù)安全和勒索軟件檢測響應(yīng)服務(wù)。美國保險(xiǎn)行業(yè)協(xié)會(huì)保險(xiǎn)信息研究所表示：”對于被勒索的美國企業(yè)以及可能違反OFAC的企業(yè)，眼下的困境凸顯了網(wǎng)絡(luò)最佳實(shí)踐的重要性，尤其是備份所有關(guān)鍵任務(wù)數(shù)據(jù)。許多保險(xiǎn)公司正在與客戶合作，以實(shí)施數(shù)據(jù)備份，并采取各種其他措施來應(yīng)對勒索軟件攻擊的威脅。“