本月初,美國財政部外國資產控制辦公室(OFAC)發布咨文警告組織不要向勒索軟件支付贖金,并聲稱此舉存在違反政府對網絡犯罪集團或國家黑客施加的經濟制裁的法律風險。
該咨文有可能破壞勒索軟件的變現模式,但同時也使被攻擊的企業、其保險公司和事件響應服務商處境更加艱難。因為不支付贖金,往往意味著勒索軟件攻擊造成的損失更大,而且需要更長的時間才能恢復。而且,“支付贖金犯法”也有可能導致網絡安全保險將不再覆蓋勒索軟件攻擊。
“OFAC可能會對違反制裁的行為處以民事處罰,這意味著受美國司法管轄的個人,即使不知道(或有理由知道)自己在與被制裁或禁止的個人進行交易也可能承擔民事責任。”財政部在咨文中說。
支付贖金助長勒索軟件氣焰
勒索軟件起源于針對消費者的恐嚇詐騙軟件,例如彈窗警告用戶需要立刻下載安裝“殺毒軟件”,或者支付并不存在的罰款。事實上,在早期階段,勒索軟件程序并不加密用戶計算機文件,而只是試圖用瘋狂刷屏或彈窗的的方式鎖定用戶(的計算機)。
隨著勒索軟件領域的競爭加劇,一些黑客組織開始同時攻擊消費者和企業,但直到2017年WannaCry和NotPetya攻擊之后,網絡犯罪分子才意識到企業網絡的脆弱性。
在過去的三年中,成熟的網絡犯罪集團逐漸轉向更加復雜的金融犯罪勒索軟件。他們使用APT風格的技術,例如精心選擇目標,進行深度偵察,橫向移動,無文件執行,按受害者量身定制的有效載荷,取得了巨大“成功”。
勒索軟件從2C轉向2B之后,贖金的價格也水漲船高,如今,針對企業的勒索贖金要價動輒數百甚至上千萬美元。勒索軟件贖金的飆漲,部分原因是很多企業的贖金是通過網絡安全保險支付。雖然目前關于私營公司支付贖金的信息很少,但是間接證據表明支付贖金已經是非常普遍的“操作”。
事實上,無論是否公開宣傳此類服務,越來越多的事件響應公司和獨立顧問都以受害者的名義參與勒索軟件的談判。一些組織和金融平臺會協助進行贖金付款流程,例如將資金轉換為比特幣或其他加密貨幣并將其發送給攻擊者。
去年,ProPublica的報告透露,很多保險公司經常建議客戶支付贖金,因為這比重建所有系統并從備份中恢復要便宜,可以減少停機時間有關的成本。但這也形成了一個“四贏”的惡性循環:攻擊者成功拿到贖金,保險公司支付的錢少了,事件響應安全服務商獲得了合同,受害者更快地恢復了。結果,勒索軟件成了低風險高收益的網絡犯罪“成功模式”。
OFAC在其咨詢報告中指出:“支付勒索軟件贖金,可能會使被制裁的罪犯和對手獲利并推進其非法目標。”“例如,向受制裁的實體或地區支付的贖金可用于資助不利于美國國家安全和外交政策目標的活動。支付贖金還將鼓勵攻擊者參與未來的攻擊。”
與勒索軟件攻擊有關且在財政部制裁名單上的團體或個人的例子包括兩名與SamSam勒索軟件有關的伊朗國民,以及朝鮮政府贊助的拉撒路組織(Lazarus),后者與WannaCry攻擊有關,且與網絡犯罪分子存在聯系。還有一個名為Evil Corp的俄羅斯網絡犯罪組織,該組織是Dridex僵尸網絡以及WastedLocker和BitPaymer勒索軟件的背后黑手。
由于網絡犯罪生態系統異常復雜,受害者或其安全咨詢服務商很難知曉勒索是否會流向制裁名單上的實體,個人或政府。但OFAC在其咨詢意見中明確指出,不知道收款人是否受到制裁并不能使企業免于民事處罰。
網絡保險面臨巨震
反惡意軟件公司Emsisoft的威脅分析師布雷特·卡洛(Brett Callow)認為:“財政部咨文的真正目的是使事件響應行業擺脫陰影,并在政府的合作和投入下,以更高的透明度運作,提高政府對此類事件結果的控制權。2018年,勒索軟件的平均贖金要價約為5,000美元,大多數受害者是小型企業。現在,平均贖金價格約為20萬美元,數百萬美元的高額贖金正日益成為常態。受害者是醫院、大型跨國公司甚至國防工業基地的公司。因此,勒索軟件攻擊比幾年前變得更加嚴重,政府確實需要找到一種干預措施。”
Emsisoft是公開呼吁政府禁止支付勒索軟件贖金的安全公司之一,稱該行為“對國家安全、選舉安全、公司知識產權和財務安全、個人信息及其健康構成威脅。”今年早些時候,德國報道了首起與勒索軟件相關的死亡事件,一名生命垂危的婦女因就醫的醫院被勒索軟件攻擊而不得不被送往20英里外的一家醫院,因延誤治療導致死亡。
目前來看,OFAC的咨文報告并未完全禁止勒索軟件付款(而且也只是針對美國司法管轄范圍內的企業),而且那些有迫切需要的美國企業還可以申請OFAC許可證以支付勒索軟件贖金,但是這些請求將接受“以拒絕為前提的個案審查”,成功率未知。
問題是,如果大多數付款請求都被拒絕,將會發生什么?如果結果可能導致企業無法恢復甚至倒閉,企業還會冒險去申請許可嗎?
目前尚不清楚事件響應公司留有哪些操作余地。威脅情報公司GroupSense在網絡犯罪論壇和地下黑市安插很多眼線收集威脅情報,剛剛在9月份推出勒索軟件協商服務,包括評估和與威脅參與者互動,制定協商策略以降低支付需求,甚至管理加密貨幣交易。現在,處理贖金付款的這個環節將使他們面臨違反OFAC規定的風險。
GroupSense首席執行官Kurtis Minder認為:
財政部沒有為受害者提供其他選擇。如果政府希望公司停止支付贖金,則應提供一項救濟計劃,其中包括對勒索軟件受害者的補貼,以幫助他們避免因勒索軟件而倒閉。如果不向受害公司提供幫助,只會把贖金支付推向地下。“
獨立風險管理咨詢公司Betterley Risk Consultants的里克·貝特利(Rick Betterley)表示,財政部的咨文可能對網絡保險市場產生重大影響。
Betterley同意,保險的存在使受害者更容易支付贖金要求,但他認為保險并不是是否支付贖金的主要原因。這是因為,盡管勒索軟件攻擊和重建系統的響應成本已由保險單支付,但公司因業務中斷而蒙受的損失卻通常不會或幾乎不會完全消失,而這些損失可能會使公司退出商業競爭。因此,盡管支付贖金能夠幫助保險公司降低賠付成本,但受害者支付贖金的主要原因是希望能夠繼續經營。
換而言之,有了保險可以使受害者更容易付款,但是如果沒有保險,很多受害者仍然可能會支付贖金。Betterley說,要想拿出這些資金會比較困難,但是要在這筆資金或破產之間進行選擇,企業自然會”兩害相權取其輕“。”我認為最大的問題將是,保險公司將不能支付違反政府指令的(贖金)索賠,因此,美國財政部的行動對網絡安全保險業務來說是個大問題。“
如果保險公司不再承保勒索軟件攻擊,Betterley說他也不會感到驚訝:”這將是一件大事,還會有多少公司會去購買其他網絡安全保險?鬼才知道。“
總之,”曖昧“的財政部咨文已經讓企業、保險公司、安全公司和勒索軟件組織陷入困惑和焦慮,但有一些市場正在成為真正的贏家——例如數據備份/數據安全和勒索軟件檢測響應服務。美國保險行業協會保險信息研究所表示:”對于被勒索的美國企業以及可能違反OFAC的企業,眼下的困境凸顯了網絡最佳實踐的重要性,尤其是備份所有關鍵任務數據。許多保險公司正在與客戶合作,以實施數據備份,并采取各種其他措施來應對勒索軟件攻擊的威脅。“