大家對于勒索軟件付贖金的態(tài)度正在發(fā)生改變，但不一定是變得更好。

在上周舉行的2020年RSA大會中，勒索軟件攻擊和防御是大家討論的主要話題。大部分討論集中在不斷變化的威脅，特別是攻擊者威脅要泄漏受害者的數(shù)據(jù)，以此迫使他們支付贖金。而其他討論涉及勒索軟件的經(jīng)濟學(xué)問題，包括圍繞支付贖金的道德問題，并且多名專家表示，近年來，企業(yè)對支付贖金的態(tài)度已經(jīng)發(fā)生了巨大變化。

[[317957]]

Deloitte公司網(wǎng)絡(luò)戰(zhàn)略、防御和響應(yīng)部門負責(zé)人Andrew Morrison說：“支付贖金的意愿已經(jīng)上升。在兩年前甚至18個月前，人們普遍的看法是‘我們不與恐怖分子進行談判，我們不支付贖金。’這是聯(lián)邦調(diào)查局的建議，也是我們的建議-每個人的建議都是不要支付贖金，因為這只會使情況變得更糟，并且你不能保證恢復(fù)數(shù)據(jù)。”

Morrison認為，這種觀念發(fā)生了巨大變化。

他說：“現(xiàn)在，幾乎每個企業(yè)都將其視為業(yè)務(wù)決策，他們像權(quán)衡其他財務(wù)決定一樣權(quán)衡支付贖金的決定。這筆支出是否值得?”

Malwarebytes Labs主管Adam Kujawa說，這種態(tài)度的改變是勒索軟件攻擊演變的直接結(jié)果，攻擊者將目光投向更大的企業(yè)目標(biāo)，勒索軟件攻擊變得越來越具有破壞性。

Kujawa說，在最初的幾年里，勒索軟件主要針對消費者，而行業(yè)標(biāo)準(zhǔn)建議是不要支付贖金。

他說：“不要給這些人付錢，不要鼓勵他們，支付贖金只會使情況變得更糟。美國聯(lián)邦調(diào)查局也這么建議。但是現(xiàn)在情況已經(jīng)有所不同，勒索軟件比以往任何時候都更具針對性。現(xiàn)在勒索軟件專門針對更大的網(wǎng)絡(luò)，當(dāng)感染整個網(wǎng)絡(luò)時制造盡可能大的破壞，正如我們看到的Emotet和TrickBot這樣的特洛​​伊木馬，它們會橫向移動并能夠破壞整個網(wǎng)絡(luò)，然后在每個端點都被感染后啟動勒索軟件。”

支付贖金的風(fēng)險

對于拒絕支付贖金，甚至執(zhí)法機構(gòu)和政府官員似乎也軟化了立場。在RSA大會期間，F(xiàn)BI監(jiān)管特工Joel DeCapua強調(diào)了支付勒索軟件贖金的風(fēng)險，并建議不要這樣做，但他也承認某些企業(yè)可能別無選擇。

DeCapua說：“我們不主張支付贖金。我們看到有的人支付了贖金，然后又沒有取回他們的數(shù)據(jù)。”

DeCapua說：“很多時候，當(dāng)你支付贖金時，攻擊者實際上在系統(tǒng)上還有很多其他后門程序。你不會得到想要的東西;結(jié)果也不是很好。我們鼓勵人們不要支付贖金，但是我們確實理解，當(dāng)人們處于這種可怕的境況中時，他們必須做出艱難的選擇。”

在RSA大會的另一場針對勒索軟件的會議上，司美國法部計算機犯罪和知識產(chǎn)權(quán)科的高級律師William Hall談到SamSam勒索軟件，在會議期間，Hall猶豫是否參加有關(guān)是否支付贖金的辯論，但他指出雙方的積極態(tài)度。

Hall說：“很多執(zhí)法人員相信，如果受害者停止支付贖金，則最低限度的勒索軟件對犯罪分子來說不是非常有效的手段，并且他們可能會停止。我今天在這里并不會談?wù)撨@個非常困難的問題領(lǐng)域。”

他說，但是，受害者為SamSam勒索軟件支付贖金是“重要的證據(jù)”，有助于執(zhí)法機構(gòu)識別攻擊者。

信息安全社區(qū)中的一些人表示擔(dān)心，對勒索軟件支付贖金的態(tài)度轉(zhuǎn)變導(dǎo)致更多企業(yè)向攻擊者支付贖金付款，他們擔(dān)心這會導(dǎo)致更多攻擊。Risk Based Security首席執(zhí)行官兼首席信息安全官Jake Kouns同意，支付贖金的趨勢有所增加，尤其是在安全預(yù)算較小且可能沒有足夠攻擊準(zhǔn)備的中小型企業(yè)中。

他說：“這是一個艱難的局面，因為你不想為更多的攻擊做出貢獻。但同時，如果不支付贖金，企業(yè)可能面臨倒閉的風(fēng)險，他們真的愿意為了更大的利益而選擇倒閉嗎?”

Morrison說，Deloitte對遭受嚴重勒索軟件攻擊的制藥客戶進行了事件響應(yīng)(IR)，攻擊者對該公司即將上市的藥物研究進行了加密，而該藥物可能挽救生命。

他說：“對于他們來說，他們肯定要支付贖金，因為這不僅是收入的損失，而且涉及生命。”

Morrison稱，有些攻擊并未到這個程度，但客戶仍然選擇支付贖金。

他說：“有時他們會選擇支付贖金，他們說，如果我激活我的[IR]固定器，花費將比贖金還多。這是最初的心態(tài)。他們不一定理解的是這一決策充滿風(fēng)險。你并不是得到一個神奇的鑰匙，然后將其插入，一切都會恢復(fù)。”

勒索軟件攻擊呈上升趨勢

勒索軟件支付贖金增加的另一個因素是攻擊數(shù)量的增加。思科Talos情報小組的外聯(lián)負責(zé)人Matt Valites表示，由于攻擊在受害者的IT環(huán)境使攻擊變得更加嚴重和普遍，因此，支付贖金的決定不只是單純的財務(wù)權(quán)衡。

他說：“現(xiàn)在有很多勒索軟件，我們的IR團隊不斷看到勒索軟件。是否支付贖金是企業(yè)自身但決定，這取決于很多事情，例如你的預(yù)算是多少。并且，即使你付錢，你也無法擺脫這一情況，攻擊者可以馬上再重來一次。”

盡管事件響應(yīng)專家發(fā)出警告，但專家表示，勒索軟件的趨勢正在朝錯誤的方向發(fā)展。Morrison說，最大的問題是勒索軟件攻擊很成功，企業(yè)正在努力阻止感染以及對其環(huán)境的破壞。

Morrison說：“網(wǎng)絡(luò)安全一直是貓鼠游戲，比的是誰有更好的武器、更好的防御。這一直處于平衡狀態(tài)，但現(xiàn)在我認為我們正在失去這一平衡。在恢復(fù)平衡之前，以及在有更好的防御來應(yīng)對勒索軟件之前，這一趨勢繼續(xù)發(fā)展。”