1。为什么勒索软件要求这么多受害者?简单地说,付费可能比不付费更划算,或者至少一开始看起来是这样。当WannaCryptor(又名WannaCry)在2017年向世界释放恶意负载时,英国的NHS对其基础设施造成了重大打击。他们受到如此严重打击的原因有据可查,重建的成本也是如此:估计为1.2亿美元。这还没有考虑到19,000多个NHS预约造成的人力成本。然后在2018年,亚特兰大市的智能城市服务器基础设施遭受了SamSam勒索软件攻击,网络犯罪分子索要51,000美元的巨额赎金。几年后,据报道重建系统的成本在1100万到1700万美元之间。在公开记录的事件中,重建成本远高于赎金。由于上述两个例子都是地方或中央政府,这些受害者的道德指南针可能指向他们不会资助下一次网络犯罪事件。可悲的是,仅仅一年后,佛罗里达州的莱克城和里维埃拉比奇市分别交出了50万美元和60万美元来支付勒索软件的要求。事实上,Cyber??eason最近的一项调查发现,几乎一半支付赎金的企业在收到解密密钥后都没有重新获得对所有关键数据的访问权限。那么为什么要为需求付费呢?勒索软件业务在双方都变得更加商业化和复杂:由于公开披露的重建成本,以及勒索软件谈判和网络保险的全新行业,网络犯罪分子知道他们的犯罪涉及什么。数据的价值出现在另一边。一个新的业务部门诞生了:公司和个人开始从促进支付勒索需求中获利。同样重要的是要记住勒索软件可能对可以访问专家资源的小型企业造成的破坏性影响。支付的需要可能是企业生存一天与永久关门之间的区别,就像TheHeritageCompany发生的那样,导致300人失业。在有隐私立法的国家,付费也可以消除通知监管机构的需要;但是,我怀疑应该始终将违规行为通知监管机构,无论付款是否以删除泄露数据为条件。2.支付赎金通常不违法2020年10月,美国财政部外国资产控制办公室(OFAC)宣布,在某些情况下支付勒索软件要求是非法的。为个人、组织、政权以及在某些情况下为整个制裁名单国家提供便利是非法的。重要的是,一些网络犯罪集团在制裁名单上。向制裁名单上的任何人汇款或协助汇款是否已经违法?我想可能是,那么这个公告有什么新内容?选民需要认为他们的政府正在采取措施阻止向网络犯罪分子提供现金的浪潮。欧盟遵循类似的制度,其制裁制度禁止向官方制裁名单上的各方提供资金。除了OFAC的裁决外,美国还没有关于支付勒索软件要求的明确指南,据专家称,它甚至可以免税。这可能会影响企业的决策过程,让他们自己被勒索。网络犯罪背后的地点或人的归属很难证明,技术通常有助于确保其中许多团体保持匿名和游牧,或至少部分匿名。但是,在决定是否付款时,了解您的付款人可能是一项基本要求,因为无意中向受制裁的个人或团体付款可能会使收款人触犯法律。请记住,名单上的某些人可能会趁机隐藏在一个群组中,但仍会分享收益,这可能使付款成为非法行为。ColonialPipeline最近支付了75个比特币(当时为440万美元),虽然FBI收回了63.7个比特币(收回时约为230万美元,但按支付赎金时的汇率计算为370万美元),表明使用了制裁名单禁止付款无效。据说这次袭击背后的坏人Darkside总部设在俄罗斯,他们一直小心翼翼地避免被列入名单,例如确保他们的数据存储不在伊朗,从而将他们的“行动”保留在伊朗不在伊朗,不在伊朗。列入制裁名单。3.勒索软件即服务商业模式由于ColonialPipeline引起的不必要关注,网络犯罪组织Darkside现已解散。它是否在制裁名单上,它的关闭是否意味着它在收入预测中的攻击将停止?我不知道为什么所有已知的网络犯罪组织都不在制裁名单上,但也许这太合乎逻辑了。这些团体通常是服务提供商,而不是创造“商机”的实际攻击者;相反,他们提供基础设施和服务来支持攻击者,然后分享产生的收入。这通常被称为“勒索软件即服务”或RaaS,实际的攻击者是RaaS组织的商业分支机构。攻击者识别目标,以某种方式渗透他们的网络,识别并泄露敏感数据的副本,然后将来自他们的RaaS提供商(例如Darkside)的恶意代码应用到受害者身上。RaaS提供商通过后端服务为攻击提供便利,一旦受害者付款,收益就会平分,通常是75/25。当Darkside退出业务时,其他勒索软件服务提供商可能会从中受益,并获得奖励日,新的附属公司加入正在进行的预先存在的合格交易。这可能会引出一个问题:谁应对攻击负责——附属公司还是服务提供商?媒体报道的归属通常来自网络取证团队,并根据恶意代码的类型、支付细节等将所有权分配给服务提供商。标识,这些都是经过签名的,非常容易识别。我们很少听到的是事件的肇事者,关联方;它很可能是那个看起来很狡猾的人,当然也可能是一个老练的黑客,他正在利用未修补的漏洞或有针对性的鱼叉式网络钓鱼攻击,并正在经营可扩展且足智多谋的网络犯罪业务。当前的趋势是使用加密来窃取数据并拒绝访问;因此,今天的攻击通常还涉及数据泄露的要素。4.为防止数据被发布或出售而支付费用是否违法?可能会在暗网上披露或出售个人或敏感信息的威胁可被视为另一种形式的勒索。在大多数司法管辖区,通过胁迫获得优势属于刑事犯罪。在美国,正在出现勒索软件要求,包括拿走财产并以书面或口头方式向受害者灌输恐惧,让他们知道如果不遵守勒索者的要求将会发生什么。勒索软件案件中的数据加密和系统访问限制是受害者已经遇到的事情,但担心泄露的数据会被出售或发布在暗网上是让受害者感到恐惧的原因。5.网络保险是导致问题还是解决问题?当前为勒索软件需求付费的趋势和“仅与开展业务相关的成本”的态度是不健康的。董事会会议上的问题应侧重于尽可能保持组织的网络安全,采取一切可能的预防措施。有了保险,可能会有自满的成分,最低限度地满足保险公司规定的要求,然后继续“照常营业”,知道如果不幸发生了什么,公司可以采取措施将保险公司推到前面线。这两起事件都影响了RivieraBeach和LakeCity,这两个城市都有保险,犹他大学支付了475,000美元,据报道ColonialPipeline也部分由网络保险承保。虽然网络保险可以资助和协商赎金支付以缓冲影响,但如前所述,当然还涉及许多其他成本。NorskHydro的保险公司在2019年公司遭到攻击时支付了2020万美元,总成本估计在58到7000万美元之间;一些额外的金额也可能由保险承保。如果我是一名网络犯罪分子,我的首要任务是找出谁拥有网络保险,将目标缩小到极有可能支付的人——这不是他们的钱,那么他们为什么不呢?这可能就是为什么CNAFinancial成为目标并据报道支付了4000万美元以重新获得对其系统的访问权,并且我认为还恢复了被盗数据。作为一家提供网络保险的公司,大额赔付可以看作是为了不攻击CNA客户而付出的代价,因为保险公司最终会为每次攻击买单。这假设网络犯罪分子获得了对客户列表的访问权限,但目前尚不清楚。另一方面,如果保险公司赔付,如果他们的一个被保险客户受到攻击,他们很难不赔付——在这种情况下,赔付可能会发出错误的信息。网络保险可能会继续存在,但从网络安全的角度来看,保险应该要求的东西——弹性和恢复计划——应该定义极高的标准,从而降低任何索赔的可能性。保险不应成为后备选择。被攻击了?这很麻烦,但没关系……我们有保险。6.是时候禁止勒索软件支付了吗?爱尔兰卫生服务局(IrishHealthService)的Conti勒索软件组织在5月发起的勒索软件攻击可能凸显了不禁止向网络犯罪分子支付解密器费用以及不为泄露的数据付费的原因。对殖民地管道的攻击也是如此;没有哪个政府希望看到加油站排长队,如果不付钱就意味着不能为公民提供服务或服务有限,这可能会在政治上造成破坏。对基础设施的攻击可能会导致道德困境,而且在知道这些资金被用于为未来的网络攻击提供资源的情况下,可能很难进行支付。支付勒索软件的需要似乎也为网络犯罪分子创造了第二次机会:根据前述Cyber??eason调查,80%支付赎金的企业随后再次遭到攻击,46%的企业认为是同一次攻击。如果数据显示支付需求会导致额外的攻击,那么禁止首次支付可能会显着改变网络犯罪分子赚钱的机会。由于对人类生命的潜在损害或风险,我很欣赏不禁止勒索软件支付的论点;然而,这一论点似乎与现行立法相矛盾。如果下一次针对主要医疗保健服务的攻击背后的组织在制裁名单上,那么付款就已经是非法的;这意味着组织可以支付一些网络罪犯而不是其他人。例如,如果道德困境与保护公民有关,那么无论攻击者是谁,医院为任何勒索软件攻击付费都是合法的。在我看来,政府通过制裁名单来选择哪些网络罪犯得到报酬,哪些不得到报酬,这似乎不是正确的做法。7.加密货币难题大多数金融机构都受到监管并需要满足某些标准,以防止和发现洗钱——通过犯罪活动获得的资金。开设银行账户或投资新的金融机构需要您毫无疑问地证明您的身份,需要护照、水电费账单和大量个人信息。在某些国家/地区,这扩展到聘请律师、房地产交易以及许多其他类型的服务和交易。然后是加密货币,勇敢的投资者的狂野西部和网络犯罪分子的首选货币。加密货币提供了一定程度的匿名性,为网络犯罪分子提出要求和受害者处理付款提供了一种方法,而无需透露收款人。值得注意的是,并不是所有的加密货币在这方面都是平等的,有些加密货币至少提供了接收钱包的一瞥,而不是钱包背后的人,有些甚至隐藏了钱包本身。上个月,政客们对如何监管加密货币感到困惑。萨尔瓦多宣布有意在宣布后三个月内接受比特币作为法定货币;这将与美元一起成为当前的法定货币。然而,世界银行拒绝了该国协助实施的请求,理由是对透明度和环境问题的担忧。加密货币为网络罪犯解决了一个巨大的问题——如何在不透露身份的情况下接收付款。它还产生了对加密货币的需求:对于每个付款的受害者,都需要获得货币才能进行付款。这种需求推高了货币的价值,受到市场的欢迎;当FBI宣布成功查获一个加密钱包并追回63.7BTC(230万美元)的ColonialPipeline付款时,整个加密货币市场都因消息而下跌;由于市场是过山车,这可能只是一个令人毛骨悚然的巧合。奇怪的是,如果你是一个加密货币投资者,并且你承认对货币的需求部分是由网络犯罪分子创造的(这反过来推高了价值),那么你就部分地免受犯罪活动的影响,从而间接获得经济利益。我最近与一群执法人员分享了这个想法,其中一些人承认投资了加密货币。8.结论这种完全无视礼仪和不支付赎金来资助网络犯罪的态度已经形成了一种态度,即资助犯罪活动是可以接受的。正确的做法是将资助网络犯罪分子定为非法,立法者应该加强并阻止支付。对于确实通过了禁止支付立法的国家来说,可能会有先发优势:这些高价值攻击背后的网络犯罪分子是有针对性、有资金、有资源和有动力的。如果一个国家或地区通过立法禁止任何公司或组织为勒索软件需求付费,网络犯罪分子将调整他们的行动并将他们的活动集中在尚未采取行动的国家。如果这种观点有道理,那么现在是采取行动的时候了。值得注意的是,美国司法部最近发布的一份备忘录要求通知涉及勒索软件和/或数字勒索的案件或运营用于通知美国检察官刑事司计算机犯罪和知识产权部门的基础设施的负责人。通过勒索软件和勒索计划。虽然这确实集中了通知,但它只适用于正在调查的案件。至少据我所知,没有强制要求企业报告勒索软件攻击;但是,我建议并敦促所有受害者联系执法部门,本文是一个起点。如果您认为为支付勒索软件需求而产生的收入是来自犯罪活动的非法收入,那么加密货币是否总体上对洗钱负责或为直接归因于网络犯罪的资金提供安全港?尽管有它的名字,但政府并不承认加密货币是货币;如果您有幸投资并赚钱,他们会将其视为需要缴纳资本利得税的投资工具。任何直接从犯罪活动中获取资金的投资公司都一定是犯罪的,那么为什么整个加密货币市场在完全透明和受监管之前不这样做呢?简而言之,将支付赎金定为非法,或至少限制保险市场的作用,迫使公司向网络事件监管机构披露事件,并监管加密货币以消除虚假匿名。所有这些都可以对打击网络犯罪产生重大影响。
