我們應該談判嗎?我們應該支付贖金嗎?當網絡犯罪分子鎖定了企業的數據時，這些都是每個企業所面臨的問題。一旦攻擊者加密了你的系統，重點就會從預防轉向應對，這時不再追究它是如何發生的，而是要考慮你接下來愿意做什么。

勒索軟件團伙正變得更有組織和攻擊性，其中許多團伙現在像企業一樣運營。他們有客戶服務、支付門戶和談判劇本。沒有任何組織能夠幸免，醫院、學校、關鍵基礎設施和全球公司都遭受過攻擊。

Zscaler的一份報告顯示，向“暗黑天使”(Dark Angels)團伙支付的高達7500萬美元的贖金，可能鼓勵了其他勒索軟件運營商尋求更高的贖金。

但好在有一個積極的趨勢，根據Chainalysis的最新報告，越來越多的受害者拒絕支付贖金。

這一轉變可能部分歸因于最近全球執法部門的行動，這些行動對勒索軟件團伙造成了重大打擊，這包括拆解LockBit的基礎設施、起訴“冥界”(Phobos)勒索軟件的管理員、瓦解Radar/Dispossessor團伙，以及關閉ALPHV/BlackCat的泄露網站。

這是一場犯罪分子與執法部門之間不斷上演的貓捉老鼠的游戲。

為什么公司會選擇參與勒索軟件的談判?

這個問題沒有簡單的答案，政府和執法部門通常建議不要支付贖金，他們認為這樣做不僅強化了網絡犯罪的循環，還為有組織犯罪提供了資金，甚至可能支持國家贊助的網絡行動。

但另一些人認為，首要責任是保護組織和其利益相關者。在那一刻，這更多關乎生存，而非道德。

對許多人來說，支付贖金似乎是恢復在線狀態的最快方式，系統停機的時間越長，成本就越高。

在某些情況下，支付贖金可能是唯一的選擇。如果備份數據被破壞或無法使用，公司可能別無選擇，只能通過談判來重新獲得數據的訪問權限。

醫院又該如何?如果它們無法訪問患者記錄，或者公用事業單位無法恢復供電，生命將危在旦夕。在這些情況下，幾乎沒有妥協的余地，然而，正如Change Healthcare數據泄露案所示，支付贖金并不能保證關鍵數據的恢復。

2021年5月，美國主要燃料供應商Colonial Pipeline遭到DarkSide勒索軟件團伙的攻擊。為了恢復運營并最大限度地減少燃料供應中斷，該公司支付了500萬美元的贖金，司法部通過協調調查行動成功追回了230萬美元的贖金。

Tanium的首席安全顧問蒂姆·莫里斯(Tim Morris)說：“如果這只是一個法律和道德考量，從原則上講，你不應該支付贖金，執法部門也會同意這種做法，但話說回來，有時支付勒索軟件贖金關乎商業決策，而非道德問題，講道德可能會付出比支付勒索軟件贖金更高的代價。”

專業人員如何處理這一過程

當公司決定進行談判時，專業人員會介入以管理這種情況。事件響應團隊通常會帶頭，與法律、信息技術和通信團隊一起控制局面。

通常會引進第三方談判人員。他們是知道如何與攻擊者談判的專家，而不會輕易讓步。他們讓談判保持專業水準，并試圖降低贖金要求，同時不增加數據丟失的風險。

“一個第三方高度專業的事件響應團隊可以為企業提供一站式服務的各種專業知識，而這些可能是傳統內部安全團隊所缺乏的，”Sygnia英國和北歐地區董事阿澤姆·阿利姆(Azeem Aleem)說。

攻擊者通常會遵循一個劇本。一些攻擊者一開始表現得很兇悍，然后在談判開始后轉而表現得樂于助人。他們利用壓力和恐懼來快速獲得贖金。他們可能會威脅泄露數據、提高贖金或設定虛假的最后期限。優秀的談判人員知道不要驚慌。

拖延是一種常見的策略，因為時間對你有利。延長對話時間為團隊提供了恢復備份、評估法律風險或聯系執法部門的時間。

第一次的勒索要求絕不是最終要求。熟練的談判人員會提出更低的金額，要求折扣，或要求更多時間，而不會激怒攻擊者。

在支付任何贖金之前，談判人員會要求攻擊者解鎖一個樣本文件。如果攻擊者做不到這一點，整個談判可能會破裂。

在勒索軟件攻擊中涉及執法部門是一個關鍵步驟，但時機至關重要。當局越早得到通知，他們就越有可能調查這次攻擊、識別罪犯并防止未來的攻擊。執法部門通常不與攻擊者談判，但他們可以幫助指導公司完成整個過程。

公司還應檢查其網絡保險政策是否要求通知執法部門。許多保險政策將這一點作為索賠流程的一部分。

構建勒索軟件攻擊響應計劃

準備

組織需要一個勒索軟件應急預案。該計劃應列出處理攻擊的步驟，包括如何決定談判。一個預定義的框架有助于團隊在危機期間快速而自信地行動。

桌面演練

模擬勒索軟件攻擊或桌面演練，可以讓團隊為真實事件做好準備。這些模擬演習有助于識別薄弱環節并改善決策，它們還讓關鍵人員有機會練習處理高壓情況。

“企業應確保其事件響應計劃解決數據盜竊帶來的獨特挑戰。這包括為潛在的雙重勒索場景做好準備，并做好管理與客戶和其他利益相關者之間后果的準備，”WithSecure的威脅情報和宣傳主管蒂姆·韋斯特(Tim West)指出。

當勒索談判失敗時

以下步驟概述了組織在勒索軟件攻擊中可以采取的應對措施，以最大限度地減少其影響：

評估情況：確定哪些系統受到影響，以及是否有可用的備份。

尋求專家協助：讓網絡安全專業人員分析此次泄露并協助恢復工作。

隔離系統：將受損設備從網絡中斷開，以防止攻擊進一步蔓延。

通知當局：按要求向執法部門和相關監管機構報告此次事件。

透明溝通：向利益相關者通報此次泄露以及正在采取的應對措施。

恢復數據：利用干凈的備份來恢復系統和數據，確保清除所有惡意軟件。

加強防御：更新安全措施，修補漏洞，并培訓員工，以防止未來發生類似事件。

回顧與學習：進行事后分析，以確定薄弱環節并改進響應策略。

當每個選擇都有害時

正如我們所見，在這些談判中沒有規則，因為賊之間沒有榮譽可言。這些團伙曾經遵循的模式正在隨著他們改進戰術而發生變化。沒有人想處于首席信息安全官或這些情境中的組織的立場。

心理壓力可能是巨大的，因為你無法預測結果，而且兩種解決方案都不理想。如果你支付贖金，公司會損失金錢。如果你不支付，你不僅會面臨數據丟失的風險，還會失去客戶的信任，這對公司未來的打擊可能更為致命。