勒索中招怎么辦?高效談判的五個技巧
Fox-IT公司網絡安全和威脅分析師通過對2019~2020年間超過700起勒索談判進行研究,發現勒索軟件的生態系統已經發展成為一項復雜的業務,每個勒索軟件團伙都制定了自己的談判和定價策略,旨在實現利潤最大化。因此,遭遇勒索攻擊時,如果受害者除了支付贖金已別無選擇,那下面這些實際經驗可以幫助受害企業組織將損害降到最低,快速在攻擊事件中恢復。
勒索攻擊市場現狀
Fox-IT公司收集的700多起勒索談判數據集主要分為兩個時間段:第一個為2019年收集的681起談判案,當時勒索軟件團伙相對缺乏經驗,贖金要求也相對較低;第二個數據集由30個談判案組成,主要收集于2020年底和2021年初,此時勒索攻擊已經發展成為全球企業的主流安全威脅,攻擊者已經具備更多的“談判經驗”。
分析顯示,勒索軟件操作的成熟度有所提高。攻擊者正在根據受害組織的多個受害層面(包括受感染設備/服務器的數量、員工、預估收入和媒體曝光的潛在影響)計算攻擊成本并實施贖金定價策略。如此一來,攻擊者甚至可以在受害者進入談判之前準確地預測他們可能支付的金額,可謂完全掌握了談判的主導地位。
通常來說,在談判中,每個玩家都有自己的底牌。勒索軟件攻擊者知道自己的業務成本以及需要賺多少錢才能實現收支平衡。同時,受害者也預估了補救成本。這就造成了一種“不公平”的局面,攻擊者可以在受害者不知情的情況下引導他們達到預設的贖金范圍(一般是受害者能承受的合理范圍)。這就好比是一場被操縱的游戲,攻擊者握有一手好牌,如果打得好的話,可以永遠是獲勝方。這種情況也助長了日益猖獗的勒索軟件生態系統。
調查結果還顯示,支付絕對贖金較高(包括最高贖金1400萬美元在內)的受害企業組織集中來自《財富》500強。雖然對于小規模企業來說贖金占據了其企業組織總收入較高的百分比,但支付出的贖金絕對金額還是較少,因此有經濟動機的攻擊者會精心挑選有價值的目標,這也導致一些勒索軟件組織決定只針對大型盈利企業實施攻擊。
受害者面對談判所需的四項準備
想要實現最佳談判效果,企業必須從談判活動開始前就部署一些必要的準備步驟:
(1) 教導員工不要打開贖金通知并點擊其中的鏈接。這通常會啟動倒計時機制,不打開贖金通知就可以爭取更多時間,來確定攻擊位置、攻擊后果以及可能涉及的成本等信息;
(2) 確立談判目標,考慮到備份和最佳/壞的支付方案;
(3) 制定清晰的內/外部溝通渠道,涉及危機管理團隊、董事會、法律顧問和溝通部門;
(4) 收集攻擊者信息,以了解他們的策略并查看解密密鑰是否可用。
五種談判策略
有了上述種種準備,組織將能更好地參與勒索軟件談判。談判過程中,建議考慮下述5種談判方法,以盡可能地降低損害:
(1) 在談話中保持尊重并使用專業語言,將情緒留在談判之外;
(2) 受害者應該盡可能向攻擊者爭取更多時間,以探索所有恢復的可能性。一種策略是解釋您需要額外的時間來籌集所需的加密貨幣贖金;
(3) 如果拖延不了時間,組織可以提前支付少量費用,眾所周知,攻擊者會接受大幅折扣以快速獲利,并轉向另一個目標;
(4) 最有效的策略之一是說服攻擊者相信您沒有足夠的財務狀況支付最初要求的金額,事實證明,這一點甚至對于非常大型的組織(攻擊者知道他們擁有大量資金可供支配)同樣有效。因為研究指出,擁有大量可支配資金與擁有數百萬美元的加密貨幣是兩回事;
(5) 避免告訴攻擊者自己擁有網絡保險政策。企業不應將網絡保險文件保存在任何可訪問的服務器上。網絡保險的存在會限制談判靈活度。
此外,該研究還提供了一些適用于談判后的簡單實用建議,包括:
- 要求解密測試文件;
- 付款完成后,要求攻擊者提供文件刪除證明;
- 讓攻擊者解釋入侵方式;
- 最后,企業組織要做好即便支付贖金也會發生文件泄露或出售的情況。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
