Fox-IT的网络安全和威胁分析师研究了2019年至2020年的700多次勒索谈判,发现勒索软件生态系统已经发展成为一项复杂的业务。勒索软件团伙制定了自己的谈判和定价策略,旨在实现利润最大化。因此,当遇到勒索攻击时,如果受害者不得不支付赎金,下面的实践经验可以帮助受害组织将损失降到最低,并迅速从攻击中恢复过来。勒索软件攻击市场现状Fox-IT收集到的700多个勒索软件谈判数据集主要分为两个时间段:第一个是2019年收集到的681个谈判案例,当时勒索软件团伙经验相对不足,赎金要求相对较高低的。降低;第二个数据集由30个谈判案例组成,主要收集于2020年底和2021年初。此时,勒索攻击已经发展成为全球企业的主流安全威胁,攻击者拥有更多的“谈判经验”。分析显示勒索软件操作的成熟度有所提高。攻击者正在计算攻击成本并根据受害组织的多个妥协维度实施赎金定价策略,包括受害设备/服务器的数量、员工、估计收入和媒体曝光的潜在影响。这样一来,攻击者甚至可以在受害者进入谈判之前就准确预测出受害者可能支付的金额,可以说完全掌握了谈判的主导权。一般来说,在谈判中,每个球员都有自己的底牌。勒索软件攻击者知道他们的业务成本是多少,以及他们需要赚多少钱才能达到收支平衡。同时,受害人也估算了补救的成本。这就造成了一种“不公平”的情况,即攻击者可以在受害者不知情的情况下,将受害者引导至预先设定的赎金范围(一般是受害者能够承受的合理范围)。这就像一场被操纵的游戏,攻击者有一手好牌,如果打得好,总能赢。这种情况也助长了勒索软件生态系统的发展。调查结果还显示,支付相对高额赎金(包括最高1400万美元赎金)的受害者主要来自《财富》500强企业。虽然赎金占小型企业总收入的比例相对较高,但支付的赎金绝对数额仍然很小,因此出于经济动机的攻击者会谨慎选择有价值的目标,这也导致一些勒索软件团伙决定只针对大型企业,有利可图的企业。受害者需要为谈判准备的四件事为了取得最佳结果,公司必须在谈判活动开始前部署一些必要的准备步骤:(1)教育员工不要打开赎金票据并点击其中的链接。这通常会启动一个倒计时机制,在不打开赎金条的情况下争取更多的时间来确定攻击的位置、攻击的后果以及可能涉及的成本;(2)制定谈判目标,同时考虑备份和最佳/不良支付场景;(3)建立清晰的内部/外部沟通渠道,涉及危机管理团队、董事会、法律顾问和沟通;(4)收集有关攻击者的信息以了解他们的策略并查看是否有可用的解密密钥。五种谈判策略具备以上所有条件后,组织将更有能力谈判勒索软件。在谈判过程中,建议考虑以下5种谈判方式,将损害降到最低:(1)保持尊重,在谈话中使用专业语言,谈判时不要情绪化;攻击者争取更多时间来探索所有恢复可能性。一种策略是解释你需要额外的时间来筹集所需的加密货币赎金;(3)如果时间不够,组织可以预先支付少量费用,已知攻击者接受大幅折扣以快速获利并转向另一个目标;(4)最有效的策略之一是让攻击者相信您没有财务状况来支付最初要求的金额,事实证明,对于非常大的组织(攻击者知道他们有很多钱花控制)也是有效的。因为研究指出,拥有大量资金与拥有数百万美元的加密货币不同;(5)避免告诉攻击者您有网络保险单。企业不应将网络保险文件保存在任何可访问的服务器上。网络保险的存在限制了谈判的灵活性。此外,该研究还提供了一些在谈判后适用的简单实用的建议,包括:要求解密测试文件;支付完成后,要求攻击者提供文件删除证明;要求攻击者解释入侵是如何完成的;即使支付了赎金,也可能发生文件泄露或出售的情况。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
