美国财政部禁止企业支付勒索软件赎金施加经济制裁的法律风险。该公告有可能破坏勒索软件的货币化模式,但也会让目标企业、其保险公司和事件响应提供商的日子更难过。因为不支付赎金通常意味着勒索软件攻击会造成更大的损害,并且需要更长的时间才能恢复。此外,“勒索支付罪”还可能导致网络安全保险不再承保勒索软件攻击。“OFAC可能会对违反制裁的行为处以民事处罚,这意味着受美国管辖的个人可能会承担民事责任,即使他们不知道(或有理由知道)他们正在与受制裁或被禁止的个人进行交易。”财政部在一份声明中说。支付赎金助长勒索软件的嚣张气焰勒索软件起源于针对消费者的恐吓和欺诈软件,例如弹出窗口警告用户立即下载并安装“杀毒软件”,否则支付不存在的罚款。事实上,在早期阶段,勒索软件程序并没有对用户电脑文件进行加密,只是试图通过疯狂刷屏或弹窗来锁定用户(电脑)。随着勒索软件领域竞争的加剧,一些黑客组织开始同时针对消费者和企业,但网络犯罪分子直到2017年的WannaCry和NotPetya攻击后才意识到企业网络的脆弱性。在过去三年中,已建立的网络犯罪组织逐渐转向更复杂的金融犯罪勒索软件。他们使用APT风格的技术,例如精心挑选的目标、深度侦察、横向移动、无文件执行和为受害者量身定制的有效载荷,以取得巨大的“成功”。勒索病毒从2C转移到2B之后,勒索的价格也水涨船高。如今,企业的赎金可能高达数百甚至数千万美元。勒索软件赎金激增的部分原因是许多企业是通过网络安全保险支付的。虽然关于私营公司支付赎金的信息很少,但间接证据表明支付赎金是一种非常普遍的做法。事实上,越来越多的事件响应公司和独立顾问正在代表受害者参与勒索软件谈判,无论此类服务是否公开宣传。一些组织和金融平台协助赎金支付过程,例如将资金转换为比特币或其他加密货币并将其发送给攻击者。去年,ProPublica的一份报告显示,保险公司经常建议客户支付赎金,因为这比重建所有系统并从备份中恢复更便宜,减少了与停机相关的成本。但这也造成了“四赢”的恶性循环:攻击者获得赎金,保险公司支付较少,事件响应安全服务提供商获得合同,受害者恢复更快。因此,勒索软件已成为一种低风险、高回报的网络犯罪“成功秘诀”。“支付勒索软件赎金可能会让受制裁的犯罪分子和对手获利并推进他们的非法目标,”OFAC在其公告中指出。“例如,向受制裁的实体或领土支付赎金可用于资助美国国家安全和外交政策针对的不利活动。支付赎金也会鼓励攻击者参与未来的攻击。”与勒索软件攻击有关并在财政部制裁名单上的团体或个人的例子包括与SamSam勒索软件伊朗国民有关的两个人,以及朝鲜政府资助的Lazarus组织,该组织与WannaCry攻击有关并与网络犯罪分子有联系。还有一个名为EvilCorp的俄罗斯网络犯罪集团,它是Dridex僵尸网络以及WastedLocker和BitPaymer勒索软件的幕后黑手。由于网络犯罪生态系统的复杂性,受害者或其安全顾问可能很难知道敲诈勒索的对象是受制裁的实体、个人还是政府。但OFAC在其咨询意见中明确表示,不知道收件人是否受到制裁并不能使企业免受民事处罚。网络保险面临重大冲击反恶意软件公司Emsisoft的威胁分析师BrettCallow认为:“财政部国情咨文的真正目的是让事件响应行业走出阴影,并与合作和政府的投资,以更高的透明度运营,加强政府对此类事件结果的控制。2018年,勒索软件的平均赎金需求在5,000美元左右,大多数受害者是小企业。现在,平均赎金价格约为20万美元,数百万美元的高额赎金越来越成为常态,受害者是医院、大型跨国公司甚至是国防工业基地的公司。因此勒索软件攻击比几年前更加严重,政府确实需要找到干预方法Emsisoft是公开呼吁政府禁止勒索软件勒索支付的安全公司之一,并表示这种做法“对国家安全、选举安全、企业知识产权和财务安全、个人信息及其健康构成威胁”。今年早些时候,德国报告了首例与勒索软件相关的死亡事件,一名垂死的妇女在其所在医院遭到勒索软件攻击后不得不被送往20英里外的医院。死亡。到目前为止,OFAC的国情咨文报告并未完全禁止勒索软件支付(且仅针对美国管辖范围内的企业),那些急需的美国企业可以申请OFAC支付勒索软件赎金的许可,但这些请求将受到“在拒绝的基础上逐案审查”,成功率未知。问题是,如果大多数付款请求被拒绝,会发生什么?如果结果可能导致企业无法恢复甚至破产,企业将如何应对?请求许可的风险?目前尚不清楚事件响应公司还有什么回旋余地。威胁情报公司GroupSense监视网络犯罪论坛和地下黑市以收集威胁情报,该公司在9月刚刚推出了勒索软件咨询服务,其中包括评估和与威胁行为者互动、制定谈判策略以减少支付需求,甚至管理加密货币交易.现在,处理赎金的这一部分将使他们面临违反OFAC规定的风险。GroupSenseCEOKurtisMinder认为:受害者提供替代方案。如果政府希望公司停止支付赎金,它应该提供一个救济方案,其中包括对勒索软件受害者的补贴,以帮助他们避免因勒索软件而倒闭。如果不向受害公司提供帮助,它只会将赎金支付转移到地下。”独立风险管理咨询公司BetterleyRiskConsultants的RickBetterley表示,财政部的讲话可能会对网络保险市场产生重大影响。Betterley同意保险的存在使得受害者更容易支付赎金要求,但他认为保险不是是否支付赎金的主要原因。这是因为虽然应对勒索软件攻击和重建系统的成本由保险政策承担,但损失公司因业务中断而可能停业的损失通常不会或几乎不会完全损失。因此,尽管支付赎金可以帮助保险公司降低赔偿成本,但受害人的主要原因是支付赎金是为了继续经营。换句话说,有保险让受害者更容易支付,但没有保险很多受害者ims仍可能支付赎金。贝特利说,筹集资金将更加困难,但考虑到资金或破产之间的选择,企业自然会“两害相权取其轻”。“我认为最大的问题将是保险公司将无法支付(赎金)违背政府指令的索赔,因此美国财政部的行动对网络安全保险业务来说是一个大问题。”如果保险公司停止承保勒索软件,Betterley表示他不会对这次攻击感到惊讶:“这将是一件大事,还有多少其他公司会购买其他网络安全保险?谁知道呢。”简而言之,“模棱两可”的财政部讲话让公司、保险公司等公司、安全公司和勒索软件组织感到困惑和焦虑,但也有一些市场正在成为真正的赢家——比如数据备份/数据安全和勒索软件检测和响应服务。“当前的困境凸显了网络最佳实践对于受勒索的美国企业和可能违反OFAC的企业的重要性,尤其是备份所有关键任务数据。许多保险公司正在与客户合作实施数据备份并采取各种其他措施来应对勒索软件攻击的威胁。“sectv)获得授权]点击此处阅读作者的更多好文章
