NCC 集團(tuán)旗下Fox-TT 的網(wǎng)絡(luò)安全分析師 Pepijn Hack和Zong-Yu Wu 在Black Hat Europe 2021 的會(huì)議上提出了這些概念，并在不久之后在 NCC 集團(tuán)的博客文章中做了詳細(xì)擴(kuò)展。這些數(shù)據(jù)來源于 2019 年至 2020 年間，對超過 700 次勒索者與受害者談判的研究，以及一篇探索三個(gè)主要主題的論文。他們分別是：

• 勒索者如何使用經(jīng)濟(jì)模型來實(shí)現(xiàn)利益最大化
• 受害者如何在談判階段表明立場
• 勒索軟件受害者可以使用的策略

研究人員寫道：“這項(xiàng)實(shí)證研究表明，勒索軟件已經(jīng)發(fā)展成為了一項(xiàng)復(fù)雜的業(yè)務(wù)。” “每個(gè)勒索軟件團(tuán)伙都制定了自己的談判和定價(jià)策略，旨在實(shí)現(xiàn)利益最大化。”

勒索軟件團(tuán)伙處于談判的主導(dǎo)地位

該數(shù)據(jù)集主要關(guān)注兩種不同的勒索軟件。提供2019年末至2021年初收集的數(shù)據(jù)對兩個(gè)勒索軟件進(jìn)行了比較。第一組是在 2019 年收集的，當(dāng)時(shí)勒索者相對缺乏經(jīng)驗(yàn)，贖金要求較低。受害者和勒索軟件組織進(jìn)行了 681 次談判。第二組進(jìn)行了30次談判。

分析顯示，勒索軟件操作層面的成熟度有所提高。勒索軟件實(shí)施團(tuán)隊(duì)根據(jù)勒索目標(biāo)的綜合情況計(jì)算攻擊成本以及贖金定價(jià)策略，他們判斷的因素包括受感染設(shè)備/服務(wù)器的數(shù)量、員工、預(yù)估收入以及媒體曝光的潛在影響等等。通過這樣做，勒索者甚至可以在受害者進(jìn)入談判之前準(zhǔn)確地預(yù)判受害者可能支付的金額。一旦他們這樣做，受害企業(yè)就會(huì)處于不利地位。博客中有提到“通常情況下，在談判中，每個(gè)玩家都握著自己的牌。勒索者知道他們的業(yè)務(wù)成本以及他們需要賺多少錢才能達(dá)到收支平衡。同時(shí)，受害者也預(yù)估了補(bǔ)救成本”。這便造成了這樣一種情況，受害者必須通過“不公平的談判游戲”，在其不知情的情況下，勒索者會(huì)先預(yù)估出“合理的”贖金范圍。“這是一場被操縱的游戲。如果對手牌技高超，那么他將會(huì)一直獲勝。這也恰恰是勒索軟件攻擊越來越猖獗的關(guān)鍵原因之一。”

研究結(jié)果表明，從每年收入的角度來看，較小的公司通常支付更多的贖金。這意味著他們支付的百分比較高，但絕對贖金金額較少。相比之下，最高贖金(1400 萬美元)是由《財(cái)富》500 強(qiáng)的企業(yè)支付的。“因此可以理解為，攻擊者會(huì)精心挑選有價(jià)值的目標(biāo)并從幾筆大額贖金中獲利，而不是選擇攻擊小公司。這也導(dǎo)致一些勒索軟件組織往往只選擇針對大型盈利企業(yè)實(shí)施勒索攻擊。”

被勒索企業(yè)或個(gè)人談判需要做以下 4 個(gè)準(zhǔn)備

該研究列出了可以在某種程度上來說對受害者有利的談判方法，可以取得更好的談判效果并降低損失。

1. 告訴員工不要打開贖金票據(jù)并點(diǎn)擊里面的鏈接。點(diǎn)開后，里面通常會(huì)出現(xiàn)倒計(jì)時(shí)付款的字樣。不打開票據(jù)就可以爭取到一些時(shí)間，這樣就有時(shí)間來確定是哪些基礎(chǔ)設(shè)施受到了攻擊、了解被攻擊產(chǎn)生的后果以及成本。

2. 確定談判目標(biāo)，準(zhǔn)備備選方案以及應(yīng)對最佳/壞的情況下可能要支付的贖金方案

3. 建立清晰的內(nèi)外溝通渠道，包括但不限于危機(jī)管理團(tuán)隊(duì)、董事會(huì)、法律顧問和溝通部門。

4. 盡可能多的了解攻擊者及他們的策略并嘗試解密密鑰是否可用。

5個(gè)談判技巧

如果企業(yè)決定與勒索者進(jìn)行談判的話，除了上述準(zhǔn)備，還建議他們掌握以下五種談判技巧，盡可能的降低損害。

1. 談判時(shí)保持尊重的態(tài)度并使用專業(yè)詞匯，切忌將多余的感情帶入到談判中。

2.受害者應(yīng)該盡可能多的爭取時(shí)間，探索所有恢復(fù)的可能性。還有一種方法是解釋您需要時(shí)間來籌集所需的加密貨幣贖金。

3. 與其拖延時(shí)間，不如提前支付少量費(fèi)用，往往勒索者都會(huì)同意降低贖金金額以快速獲利，轉(zhuǎn)向下一個(gè)目標(biāo)。

4. 最有效的策略之一是說服勒索者您沒有能力支付他最初要求的金額，不過勒索者往往會(huì)對勒索對象進(jìn)行調(diào)查。但研究指出，擁有一定的收入與擁有流動(dòng)資金和加密貨幣往往是有區(qū)別的。

5. 避免告訴勒索者自己有網(wǎng)絡(luò)保險(xiǎn)政策。企業(yè)不要將網(wǎng)絡(luò)保險(xiǎn)文件保存在任何可訪問的服務(wù)器上。這會(huì)影響談判的靈活度，因?yàn)榇蠖鄶?shù)保險(xiǎn)政策都涵蓋了成本。

該研究還給出了一些談判后的建議。包括：要求解密測試被加密文件、付款后要求勒索者提供文件刪除證明，以及讓攻擊者解釋入侵方式。企業(yè)也應(yīng)該做好準(zhǔn)備，即使支付贖金也會(huì)發(fā)生泄露或被出售文件的情況。