NCCGroupFox-TT网络安全分析师PepijnHack和Zong-YuWu在BlackHatEurope2021上以及不久之后在NCCGroup的博文中详细展开了这些概念。这些数据来自对2019年至2020年间700多起勒索者与受害者谈判的研究,以及一篇探讨三个主要主题的论文。它们是:勒索者如何利用经济模型实现利润最大化受害者如何在谈判阶段表态勒索软件受害者可用的策略:“这项实证研究表明,勒索软件已经发展成为一项复杂的业务。”“每个勒索软件团伙都制定了自己的谈判和定价策略,旨在实现利润最大化。”勒索软件团伙主导谈判该数据集侧重于两种不同的勒索软件类型。提供2019年底至2021年初收集的数据,以比较这两种勒索软件。第一组是在2019年收集的,当时勒索者相对缺乏经验,赎金要求也很低。受害者与勒索软件团体之间进行了681次谈判。第二组进行了30次谈判。分析表明勒索软件在操作层面的成熟度有所提高。勒索软件实施团队根据勒索目标的综合情况计算攻击成本和赎金定价策略。他们判断的因素包括受感染设备/服务器的数量、员工、预计收入以及媒体曝光的潜在影响。通过这样做,敲诈者甚至可以在受害者进入谈判之前准确预测受害者可能支付的金额。一旦他们这样做,受害企业将处于不利地位。“通常,在谈判中,每个参与者都持有自己的底牌。勒索者知道他们的业务成本以及他们需要赚多少钱才能达到收支平衡。同时,受害人估计补救成本”。这就造成了受害者必须玩“不公平谈判游戏”的情况,勒索者在他们不知情的情况下估计了“合理”的赎金。“这是一个被操纵的游戏。如果对手擅长他的牌,他就会一直赢。这就是勒索软件攻击越来越猖獗的关键原因之一。”从事实来看,较小的公司通常支付更多的赎金。这意味着他们支付的赎金百分比更高,但绝对赎金金额更少。相比之下,赎金最高的(1400万美元)由《财富》500家公司支付。”因此可以理解,攻击者会谨慎选择有价值的目标,从少数大额赎金中获利,而不是选择攻击小公司。这也导致一些勒索软件组织往往只选择对大额获利的公司进行勒索攻击如下被勒索的公司或个人进行谈判需要4个准备,本研究列出了在一定程度上对受害人有利的谈判方式,可以取得更好的谈判结果,减少损失。1.告诉员工不要打开勒索单并点击里面的链接。点击之后,里面通常会出现付款倒计时的字样。不开票争取时间来确定哪些基础设施受到损害,了解后果和成本。2.确定谈判目标,准备备选方案,以及最好/最坏情况下的赎金计划3.建立清晰的内部和外部沟通渠道,包括包括但不限于危机管理团队、董事会、法律顾问和通讯人员。4.尽可能多地了解攻击者及其策略,并尝试查看解密密钥是否可用。5谈判技巧如果企业决定与敲诈者谈判,除了上述准备工作外,还建议掌握以下五项谈判技巧,将损失降到最低。1、谈判时保持尊重的态度,使用专业词汇,避免将不必要的情绪带入谈判。2.受害人应该争取尽可能多的时间去探索所有恢复的可能性。另一种方式是解释您需要时间来筹集所需的加密货币赎金。3.与其拖延,不如提前支付少量费用,勒索者往往会同意减少赎金数额,以快速获利并转移到下一个目标。4.最有效的策略之一是让勒索者相信您无力支付他最初要求的金额,尽管勒索者通常会调查目标。但研究指出,拥有一定收入与拥有流动资金和加密货币之间往往存在差异。5.避免告诉勒索者你有网络保险。企业不会将网络保险文件存储在任何可访问的服务器上。这可能会影响谈判的灵活性,因为大多数保险单都会支付费用。该研究还给出了一些谈判后的建议。包括:要求解密测试加密文件,要求勒索者提供付款后删除文件的证明,要求攻击者说明入侵方式。企业还应该做好准备,即使支付了赎金,文件也会被泄露或出售。
