2025年黑帽欧洲大会以Virtual Rotes的Max Smeets为题为《勒索软件机器内部》的演讲拉开帷幕。演讲重点介绍了LockBit勒索软件即服务(RaaS)帮派以及Max对其实践和运营的研究。在2022年至2024年间的鼎盛时期,该集团拥有194个分支机构,其中110个成功将网络攻击推向谈判阶段,其中80个分支成功获得了勒索软件组织的付款。(提醒一下,勒索软件的商业模式是分层的:“联盟”指的是研究受害者网络并识别并将敏感数据泄露给勒索软件团伙(如LockBit)的团队。)
声誉就是一切
Max传达的一个关键信息是关于受害者和勒索软件组织的声誉。受害公司需要维护客户的声誉,任何数据泄露的迹象都可能严重损害其声誉。有趣的是,研究显示,支付勒索费用的公司获得的媒体报道更多,而那些不支付敲诈勒索费用且面临更长时间干扰的公司。主持人的观点是,新闻报道变成了关于付款的事,可能暗示受害者公司已经失去控制权,需要支付,从而制造不信任和对其品牌的损害。
作为一个多年来一直关注该主题的人,我不同意这种观点,至少在某些情况下是这样。从纯粹的财务角度看,支付需求实际上可能是更具成本效益的解决方案,许多例子显示,未支付者在网络事件中产生的最终成本远高于支付者——回想凯撒宫和米高梅的袭击事件就知道。公司对股东负有责任,在某些情况下,恢复业务并实现全面运营的最简单快速方法可能是支付勒索软件勒索费用。
与此同时,系统恢复可能很复杂,需要采购新硬件,并需要恢复和分析备份以确保其清洁。勒索软件解密密钥能在数小时内而非数天内解锁业务,从而最大限度地减少业务中断和收入损失。此外,还要考虑保险承保人的影响,他们同样希望降低成本,并采取尽量减少受害方索赔的途径。
当然,短期和长期的负面影响同样显而易见。支付可能争取时间并降低账单——直到不再如此。首先,解密密钥无法保证能真正解锁数据。此外,同意赎金要求的受害者可能会再次被攻击者视为值得针对的对象,最终他们也可能无意中验证并强化勒索软件作为一种可行的“商业模式”。
勒索软件作者还关心声誉——他们需要被视为值得信赖,并且被认可会履行任何协议。当大量敏感数据被窃取并勒索,以及内部系统被加密并购买到停机时,任何解锁系统和确保数据安全的谈判都必须从信任的角度出发。
如果谈判者听到勒索软件组织不提供解密器或不保留数据的负面评价,可能会建议受害者不要付款。在交出勒索款项时,勒索软件组织必须按预期交付,以专业的方式提供他们所获得的服务。任何勒索软件组织面临的真正挑战不是网络访问或数据泄露,而是受害者是否足够信任他们,愿意支付勒索费用。
有趣的是,执法部门在2024年打击LockBit的行动中,还包括一场破坏该帮派信任的行动,公开表示该团伙不会删除被盗数据,而是保留这些数据。这种不信任活动可能足以让联盟成员将机会和业务转移到其他群体。
定价的是什么
我从这次演讲中得到的结论并不是演讲者直接说出来的——而是关于联盟对公司进行的数据和侦察。简要提到了调研和在公司网络中寻找敏感数据,包括可能表明愿意支付或可接受金额的财务数据。
这让我顿悟:对网络犯罪分子来说,最有价值的文件可能是公司网络保险的详细说明。了解公司是否有包含支付敲诈勒索要求的保险,以及保障范围,可以让网络犯罪分子了解敲诈勒索要求的设定范围,从而使风险成为财务问题,而非公司,而是保险公司。
结论是,网络保险政策及其所有与保单相关的沟通应通过额外的安全措施分段,或者完全与公司网络隔离。