俄乌战争使勒索软件支付更加困难去年7月,欧盟首次对俄罗斯企业实施网络犯罪相关制裁;今年4月,“五眼联盟”8家网络安全机构联合发布安全公告,要求制裁俄罗斯的网络犯罪活动,并敦促所有组织为潜在的网络犯罪分子提供保护。为网络威胁做好准备;同月,美国财政部宣布对俄罗斯(包括国家黑客)、暗网市场和加密货币交易平台的恶意活动实施制裁,并发布具体制裁名单。另一方面,根据Chainanalysis进行的一项研究,在去年俄乌战争爆发之前,近75%用于支付勒索软件的加密货币流向了俄罗斯。试想一下,如今俄罗斯已经成为了被制裁的国家,支付这些赎金必然会面临法律后果。对于数字风险保护公司GroupSense的首席执行官KurtisMinder来说,这些新制裁意味着他将被迫拒绝更多寻求响应和谈判服务的勒索软件受害者,或者冒着与财政部外国资产控制办公室达成协议的风险。(OFAC)就发布的越来越长的制裁清单发生了冲突。明德在过去两年领导了数百起勒索软件谈判,他表示,与具体而明确的OFAC制裁清单相比,对俄罗斯的制裁范围广泛且模棱两可,如果没有适当的情报和背景支持,往往难以遵守。他解释说,“美国政府正在以越来越快的速度制裁俄罗斯的实体。因此,即使有了OFAC名单,我们仍然需要来自公司的外部情报和风险数据(除了制裁名单),以了解付款是直接支付给受制裁实体,还是通过与受制裁集团或地区相关的附属计划。”这些制裁中的大部分是白宫打击勒索软件的举措——通过破坏勒索软件团伙、建立弹性、增加通过加密货币洗钱的难度,以及解决像俄罗斯这样的网络犯罪避风港——的延伸。政策收紧对勒索软件付款的制裁自俄罗斯对乌克兰发动战争以来,向俄罗斯实体支付赎金已成为政治热点,美国财政部长珍妮特耶伦对勒索软件犯罪分子如何在俄罗斯逍遥法外表示遗憾。财政部新闻稿还宣布,向处于受制裁关系中的实体支付勒索软件是对美国国家安全的威胁。领导网络犯罪调查数十年的前联邦调查局官员斯科特·奥根鲍姆(ScottAugenbaum)说:“俄罗斯的联邦调查局特工在14年前,也就是2008年发现,普京政府是俄罗斯大部分网络攻击的幕后黑手。现在,既然是政治问题,我们宣布制裁,实际上是在惩罚受害者!这太荒谬了,支付赎金不应该是一个政治问题,因为到了赎金谈判阶段,受害商家已经处于劣势,除了支付赎金,几乎没有别的出路。在最近的一篇博客文章中,Benesch律师事务所数据保护小组的合伙人LukeSchaetzel描述了在支付赎金时如何故意违反这些制裁,每次违规都会导致高达100万美元和/或高达20美元的罚款加重因素包括蓄意或鲁莽的违规行为、隐瞒付款、管理层参与以及未通知OFAC或未与OFAC合作。Schaetzel补充说,虽然还没有公司因违反这些制裁而被指控支付赎金,但违反这些制裁可能会导致公司受到严厉的民事和刑事处罚,即使他们不知情。OFAC的制裁名单非常具体,包括勒索软件名称、相关URL和暗网地址、个人、服务器IP地址和电子邮件地址。电子邮件地址等。Schaetzel认为,对国家的制裁(尤其是在战时)的影响范围更广,并使支付赎金变得更加复杂。他解释说,“这些战时制裁适用于大量俄罗斯官员、银行和国有实体。向或通过由俄罗斯银行和其他官员资助的任何团体支付赎金也可能违反制裁法。因此,如果您怀疑涉及或可能涉及受制裁的俄罗斯实体,请不要支付赎金。“过时的制裁名单”Schaetzel以俄罗斯顶级勒索软件集团之一Conti为例,该集团在战争开始时威胁要攻击任何试图侵入俄罗斯资产的行为者的关键基础设施。孔蒂只是可能不会直接在制裁名单上附属组织仍因其隶属关系而受到制裁。Conti是俄罗斯犯罪集团WizardSpider创建的Ryuk勒索软件的产物,同样受到制裁,支持TrickBot僵尸网??络。因此,向任何这些实体或通过任何这些实体付款都将违反制裁。问题就出在这里。OFAC名单上列出的许多俄罗斯犯罪组织已经关闭并重新开放,这意味着该名单本身已经过时。正因为如此,攻击者根本不关心这些制裁,制裁本身对受害者的伤害可能远大于对犯罪分子的伤害。Mott补充说,“OFAC根本没有人力来跟踪所有比特币交易,看看它们是否被支付给了受制裁的实体。”或国家。此外,制裁名单上的那些比特币地址现在已经过时了。勒索软件运营商可以在一夜之间关闭并以新名称重新开放,但实体进入OFAC制裁名单大约需要一年时间。一个例子是REvil,它在FBI引渡并逮捕了其主要运营人员后于1月关闭了运营。现在,REvil似乎以RuTOR的名义重新出现在俄罗斯的暗网市场上;另一个例子是康帝,在其运营商威胁要反击保卫俄罗斯后,该集团开始重塑品牌并多元化发展为多个分拆集团。为勒索软件攻击做准备Mott认为,在处理勒索软件感染时,通过与当地FBI网络现场办公室建立先发制人的方法,了解向谁报告是至关重要的。他回忆说,在2019年担任FBI反情报小组负责人的一次任务中,他办公室的一名特工给当地一家企业的CIO打电话,告知他存在InactiveRussian勒索软件。为验证这一说法,CIO致电莫特进行了确认。在得到肯定的答复后,莫特将应该采取的补救措施告诉了他。然而,CIO仍然不相信他们。随着时间的推移,在CIO两天仍未得到回应后,FBI网络团队负责人与CIO分享了他们系统中文件的名称、位置以及删除方式。然后,首席信息官通过电子邮件向负责外地办事处的代理人发送电子邮件,以进行进一步验证。之后,勒索软件运营商看到了该电子邮件并立即加密了他们公司的数据。这件事说明了提前了解FBI机构的重要性。Cyber??Curb的执行合伙人BobSeeman表示,如果受害者在不知情的情况下向或通过受制裁的实体和附属组织支付赎金,也会根据他们与当局的关系减轻处罚。如果在勒索软件攻击的压力下,受害组织联系了FBI,这表明他们愿意与执法部门合作“提前制定可证明的合规计划,”他建议道。如需帮助,您可以求助于网络保险公司,他们将帮助您聘请合适的风险缓解人员、勒索软件谈判代表、律师事务所和取证调查员。合格的团队将检查制裁名单并寻找网络攻击者与受制裁实体相关联的迹象。此外,请务必立即通知执法部门任何勒索软件攻击,尤其是FBI,它是处理勒索软件的最高机构。总之,受害者和执法部门需要共同努力并分享情报。例如,Mott建议与FBI共享策略、技术和程序(TTP)以及受影响设备的内存捕获,他们可以使用这些信息来构建配置文件。如果支付了赎金,用于解锁勒索软件的数字密钥也是可以提供给FBI的关键情报。美国网络安全和基础设施安全局(CISA)的StopRansomwareInitiative网站警告说,在准备报告时,受害者应小心保存高度易变或备份有限的证据,以防止丢失或篡改(例如系统内存中的数据,Windows安全日志或防火墙日志缓冲区)。FBI还建议受害者在支付赎金之前检查该局是否有解密密钥来解锁特定的勒索软件系列。FBI发言人表示,“FBI继续与政府和行业合作伙伴合作,以阻止、识别和遏制此类恶意活动。我们强烈鼓励企业网络防御者审查我们最近发布的几项网络安全公告(CSA)”.这些CSA是FBI和合作伙伴快速共享有关新型攻击信息的方式之一——例如特定的俄罗斯恶意软件签名、妥协指标和策略变化。”由于受制裁实体支付赎金会产生法律责任,因此防御勒索软件攻击对于企业CISO来说变得更加重要。根据Augenbaum的说法,研究表明,弱RDP凭据(保护起来并不复杂)是主要的感染媒介,此外还有过度许可/共享管理员权限、缺乏应用程序白名单以及缺乏对系统和网络的可见性。从这些基础上,组织可以开始部署防御。Augenbaum补充道,“没有人期望成为受害者,侥幸是企业在准备方面可能犯的最大错误。另一个错误是期望FBI使用加密密钥和解决方案来帮助他们解锁数据。企业只能控制自己漏洞并利用工具和最佳实践来防止勒索软件感染。”
