Fox-IT(NCC集团的子公司)的网络安全和威胁分析师对勒索软件谈判的机制进行了阐述,以帮助企业在遭受网络攻击之后进行改进。PepijnHack和Zong-YuWu在BlackHatEurope2021会议上提出了产教学法概念,并在不久之后在NCC集团网站的一篇博客文章中进行了详细阐述。
这些数据来自对2019年至2020年期间对700多次攻击者与受害者谈判进行的研究,以及一篇探讨三个主要主题的论文。这些是:
- 网络攻击者如何使用经济模型来最大化他们的利润
- 表明受害者在谈判阶段的立场
- 勒索软件受害者可以利用的策略甚至是竞争环境
研究人员写道:“这项研究表明,勒索软件的生态系统已经发展成为一项复杂的业务。每个勒索软件团伙都制定了自己的谈判和定价策略,以实现利润最大化。”
勒索软件企业处于谈判的主导地位
这一数据集主要关注两种不同的勒索软件。第一次是在2019年收集的,当时的勒索攻击者经验相对缺乏,赎金要求较低。它包括受害者和勒索集团之间681次谈判。第二个是在2020年底和2021年初收集的,有30个谈判组成,网络攻击当时已经成为全球公司的主要威胁。
分析表明,勒索软件操作的成熟度有所提高。网络攻击企业正在根据受害者的多个变量(包括受感染设备/服务器的数量、员工、估计收入和媒体曝光的潜在影响)计算攻击成本,并实施赎金定价策略。通过这样做,网络攻击者甚至可以在受害者进行谈判之前准确地预测他们可能支付的金额。一旦他们这样做,受害方就会很被动。博客文章写道,“在通常情况下,在谈判中,每个玩家都拿着自己的底牌。勒索软件攻击者知道他们的业务成本以及他们需要获得多少收入才能收支平衡。与同时,受害者会估算补救成本。”
但这造成了一种情况,受害者必须开展这样的“不公平谈判游戏”,在受害者不知情的情况下引导他们达到预设但合理的赎金范围。这是一场被操纵的游戏,由于勒索软件企业获得主动地位,这最终助长了勒索软件生态系统快速发展。”
研究中一个有趣的观察结果是,从每年收入的角度来看,规模较小的公司通常支付更多的赎金。这意味着他们支付的金额较少,但占其收入的百分比较高。相比之下,在数据集中的最高赎金(1400万美元)是由财富500强公司支付的。因此可以理解,具有经济动机的勒索软件攻击者可以精心挑选有价值的目标,并从大笔赎金中获利,而不是攻击中小公司。这种情况导致一些勒索软件企业确实决定只针对大型盈利企业进行攻击。
勒索软件攻击前需要采取的四个准备步骤
该研究列出了可以帮助受害者有利的谈判平衡的最佳实践和方法,从谈判开始之前的准备开始。企业必须:
(1) 教导的员工不要打开赎金通知单,并点击其中的链接。这通常会在需要付款时开始倒计时。不打开赎金通知单可以争取时间来确定基础设施的哪些部分受到攻击,遭遇的攻击会产生什么后果,以及可能涉及的成本。
(2) 确定谈判目标,考虑备份和最佳和最坏的支付赎金方案。
(3) 建立清晰的内部和外部沟通渠道,涉及危机管理团队、董事会、法律顾问和沟通部门。
(4) 了解勒方向盘攻击者以了解他们的策略,并查看是否有可用的解密密钥。
勒索软件谈判的五种方法
有了这种准备,如果企业决定这样做的话,它们将更好地参与勒索软件谈判。从这一点来看,建议他们采用五种旨在减轻损害的方法。
(1) 在谈判中保持尊重并使用专业语言,不要将情绪带到谈判中。
(2) 受害者应该愿意向勒索软件攻击者要求更多的时间,这可以让他们探索所有恢复的可能性。一种策略是解释需要额外的时间来筹集所需的加密货币资金。
(3) 企业可以提议提前支付少量费用,而不是在以后支付大量费用,众所周知,勒索软件攻击者会接受大幅折扣以支持快速获利,并转向另一个目标。
(4) 最有效的策略之一是企业说服勒索软件攻击者相信其没有能力支付最初要求的金额,这甚至可以证明对于勒索软件攻击者知道拥有巨额资金的大型企业是有效的。研究指出,并不是每个企业都拥有数百万美元的加密货币。
(5) 避免告诉勒索软件攻击者有网络保险政策。他们不应将网络保险文件保存在任何可访问的服务器上。网络保险的存在可能使攻击者不太可能灵活地进行谈判,因为大多数网络保险都涵盖了成本。
该研究还引用了一些简单实用的建议来补充上述谈判过程。这些包括要求解密测试文件、如果企业最终支付赎金,要证明文件是如何被删除的,以及对勒索软件攻击者如何入侵的解释。企业还应该做好更坏的准备,因为即使支付赎金也会其数据泄露或对外出售的情况。