柯蒂斯·曼德爾（Kurtis Minder）有一個忠告，是關(guān)于如何與依靠癱瘓公司的計算機(jī)系統(tǒng)和盜取數(shù)據(jù)、動輒敲詐數(shù)百萬美元的罪犯打交道的：別叫他們“壞蛋”。

“壞蛋們知道自己是壞蛋。他們試圖把自己裝扮成商人?！本W(wǎng)絡(luò)智能專業(yè)公司GroupSense的首席執(zhí)行官曼德爾說，他至少代表過20多個受到所謂勒索軟件攻擊的組織與對手進(jìn)行談判?！爸灰阍谒麄兠媲把b出正常談生意的樣子，事情就好辦一些?！?/p>

想象一下一種噩夢般的場景：你要開始一天的工作，卻發(fā)現(xiàn)怎么都打不開計算機(jī)里的重要客戶信息，因為黑客給你的文件加了密，要求你交出一大筆錢來換取解碼的密鑰。在大多數(shù)情況下，黑客還會盜取敏感的公司數(shù)據(jù)，并且威脅要公布這些數(shù)據(jù)。

最好的情況是，這種敲詐要求嚴(yán)重影響公司運(yùn)營數(shù)日。最壞的情況是，黑客可能讓公司名聲掃地，一蹶不振。

遭到侵害的公司往往會求助于一個由敲詐談判專家組成的小型行業(yè)，這些人在應(yīng)對此類攻擊方面具有豐富的經(jīng)驗。他們的工作就是與黑客打交道，最好能夠設(shè)法大幅降低黑客索要的贖金。他們還安排用比特幣（Bitcoin）或其他的加密貨幣來支付贖金，黑客們喜歡這種支付形式，因為它難以追蹤。

勒索軟件的攻擊者在新冠肺炎疫情期間尤為猖獗。據(jù)網(wǎng)絡(luò)安全公司SonicWall的統(tǒng)計，全球案發(fā)量在去年上升了62%，勒索金額高達(dá)3.05億美元。另一家網(wǎng)絡(luò)安全公司PurpleSec說，2020年全球企業(yè)因此蒙受了200億美元的損失，而2019年的損失為115億美元。

在新冠肺炎疫情期間興起的居家工作，讓許多員工可以用個人電腦登錄公司系統(tǒng)，這給網(wǎng)絡(luò)犯罪分子提供了大量能夠利用的空子。只要員工在無意間打開一封電子郵件的附件、點開一條廣告或進(jìn)入一個鏈接，就可能下載了惡意軟件。

圖片插圖來源：Guillem Casasús

小公司因為沒有專職的IT安全人員，過去常常被勒索軟件犯罪團(tuán)伙視為囊中之物。但據(jù)專家稱，現(xiàn)在黑客覬覦的是規(guī)模更大的企業(yè)，例如石油、物流和制造公司，還有政府部門、醫(yī)院和學(xué)校等。

在一起迄今為止最嚴(yán)重的勒索軟件攻擊中，與一伙說俄語的團(tuán)伙有牽連的黑客在今年5月迫使一家石油管道運(yùn)輸公司關(guān)閉了數(shù)日之久，因為其供應(yīng)的石油占美國東海岸日需用量的將近一半，從而引發(fā)了恐慌性搶購，甚至導(dǎo)致一些加油站無油可加。受到攻擊的就是科洛尼爾管道運(yùn)輸公司（Colonial Pipeline），它說已經(jīng)決定支付贖金，因為數(shù)千萬美國人離不開這條運(yùn)輸線。據(jù)《華爾街日報》（Wall Street Journal）報道，科洛尼爾支付了相當(dāng)于440萬美元的比特幣，但該公司并未對此數(shù)額表態(tài)。

猶他大學(xué)（University of Utah）稱，攻擊者切斷了該校的計算機(jī)入口之后，它在去年7月支付了超過45.7萬美元的贖金，以免私人信息在網(wǎng)上被泄露。該大學(xué)與網(wǎng)絡(luò)保險商和司法機(jī)構(gòu)合作，并咨詢了一家沒有透露名稱的專業(yè)敲詐談判公司。這所大學(xué)表示：“我們得到的所有信息和指導(dǎo)都表明，若不支付贖金，威脅實施者絕對不會善罷甘休?！?/p>

由于許多公司不愿意談及網(wǎng)絡(luò)安全漏洞和所付贖金的金額，有一些專家猜測，這類問題的嚴(yán)重性要遠(yuǎn)遠(yuǎn)超過公開披露的程度?！拔覀兲幚磉^索要5,000萬美元贖金的談判——這些都屬于公開報道的案件，我可以想象究竟還有多少案件未曾報道或披露，純粹是因為是保險公司支付的贖金。”從事詐騙追討業(yè)務(wù)的Gemini Advisory公司的首席執(zhí)行官安德烈·巴里塞維奇（Andrei Barysevich）說，他也帶隊處理過一些勒索軟件談判。

這些攻擊往往來自俄羅斯和前蘇聯(lián)地區(qū)的國家，比如白俄羅斯、烏克蘭、摩爾多瓦，另外還有土耳其等國。由于這類案件具有國際背景，躲在暗處的騙子使用的工具能夠躲避追蹤，對勒索團(tuán)伙成功起訴的案例寥寥無幾。

如今，各國針對加強(qiáng)國際合作打擊勒索行為的呼聲日益高漲。美國、英國和加拿大的一些技術(shù)公司和執(zhí)法機(jī)構(gòu)在今年4月提出，要采取積極的國際行動以打擊勒索行為，包括懲罰對此類犯罪聽之任之的國家。大約在同一個時間，美國司法部（Justice Department）成立了一支特勤隊，專門應(yīng)付勒索軟件團(tuán)伙。

但是，美國聯(lián)邦調(diào)查局（FBI）反對支付贖金，理由是此舉是在鼓勵更多的網(wǎng)絡(luò)竊財行為，而且勒索所得可能被用于資助有組織犯罪和恐怖活動。然而在美國，支付贖金是合法行為，只要不涉及向伊朗和朝鮮等國家輸送資金，或是轉(zhuǎn)給在美國財政部（U.S. Treasury Department）的制裁名單榜上有名的網(wǎng)絡(luò)犯罪分子就行。

公司遭到勒索軟件攻擊的第一個跡象多半僅僅表現(xiàn)在，員工無法登陸自己的計算機(jī)，或者不能使用電子郵箱。這時有一個不加密的文件——僅此一個——傳來壞消息，而且往往把受害人引向一個嵌有距離最后時限僅幾分鐘的倒計時時鐘的網(wǎng)站。

“時鐘上通常附有一則威脅。”談判專家曼德爾說，其內(nèi)容不是說等秒針倒退到零后贖金就會加倍，就是說黑客將把竊取的數(shù)據(jù)在網(wǎng)上公諸于眾。但是他又說，這往往是一個假的時限，目的是制造一種緊張氣氛。

如果受到攻擊的公司或組織的數(shù)據(jù)有備份，并且自認(rèn)為在遭受攻擊后很快就可以恢復(fù)運(yùn)營，它可能決定不理睬黑客。至于無準(zhǔn)備的公司——這樣的公司數(shù)量不少—或者公司的敏感數(shù)據(jù)已經(jīng)被盜，那么它們就可能無計可施，只能進(jìn)行討價還價——通常是通過黑客提供的實時聊天窗口進(jìn)行。

談判專家建議受到勒索的公司求助于保險公司或擅長處理數(shù)據(jù)漏洞的律師事務(wù)所。這類律師事務(wù)所會判斷出，聘請談判專家是否可以奏效。另外，他們一般也會建議受害者報警。

勒索軟件談判公司Coveware報告說，今年頭三個月所交贖金的平均數(shù)額達(dá)到22萬美元，比前一季度猛漲了43%。如此漲幅的原因是，有幾個極其活躍的團(tuán)伙攻擊了大型組織，索要高額贖金。

曼德爾的最終目的是設(shè)法把贖金壓到最初索要金額的10%。他代表客戶——那是一家他未提及名稱的大型工程公司——支付的最大一筆贖金是275萬美元。原因是該公司要求盡可能減少談判回合，以便盡快恢復(fù)運(yùn)營。

曼德爾的公司按小時收取服務(wù)費，并根據(jù)客戶的規(guī)模設(shè)定了上限。大多數(shù)企業(yè)最終支付的賬單在2萬美元至2.5萬美元之間。但曼德爾說，他的公司偶爾也會免費為小企業(yè)或非盈利機(jī)構(gòu)服務(wù)。在一次免費談判中，曼德爾試圖勸說黑客放棄贖金，因為他們攻擊的目標(biāo)是一家癌癥慈善服務(wù)機(jī)構(gòu)，但那幫家伙不聽。“他們最后還是拿到了贖金。”他說。

勒索軟件最近的新動向是“勒索軟件服務(wù)”的出現(xiàn)，由軟件開發(fā)者向他人出租自己開發(fā)的勒索軟件，從勒索所得中提成或收取租賃費作為報酬。這讓那些幾乎沒有技術(shù)背景或原本無緣入行的犯罪分子更加容易得手。

“這有些像黑手黨與街頭幫派之間的關(guān)系。黑手黨守規(guī)矩，有自身的行為方式?！甭聽栒f?！岸切┐蔚茸锓钢毁I平臺，他們毫無規(guī)矩，而且真的不在乎長期后果，所以他們未必總能踐約?！?/p>

企業(yè)組織可以向美國國際集團(tuán)（AIG）或Coalition等保險公司投保網(wǎng)絡(luò)險，以保護(hù)自己免受勒索之苦。承保的險項一般能夠承擔(dān)贖金外加恢復(fù)計算機(jī)系統(tǒng)運(yùn)行的成本。

作為Coalition公司的應(yīng)急響應(yīng)主管，麗安·尼科洛（Leeann Nicolo）是公司第一個接到受害客戶電話的人，雖然公司也聘請外部專家來處理談判事務(wù)。她說，自從她在2015年開始涉足該業(yè)務(wù)以來，勒索案件增長了10倍，而當(dāng)時索要5萬美元就是高額了?！敖陙?，索要百萬贖金已經(jīng)屢見不鮮?！彼f。

她告誡道，最大的付款風(fēng)險是“雙重勒索”，即網(wǎng)絡(luò)犯罪分子對受害者背信棄義。尼科洛就事論事地說道：“他們在收到第一筆錢之后，還會回到最初的要求，就像交了兩次贖金。”

*****

勒索軟件的受害者

黑客們劫持了無數(shù)組織的數(shù)據(jù)。以下是其中幾個最著名的案例。

科洛尼爾管道運(yùn)輸公司 (2021年)

據(jù)報道，這家公司在受到攻擊、被迫關(guān)閉其輸油管道后，繳納了440萬美元。該公司的輸油管道向美國東海岸提供將近一半的汽油。

加利福尼亞大學(xué)舊金山分校 (University of California, San Francisco，2020年)

這所學(xué)校一直在忙于重要的新冠病毒研究。在黑客解密了該校重要的學(xué)術(shù)數(shù)據(jù)后，它支付了114萬美元。

挪威海德魯公司 (Norsk Hydro，2019年)

這家挪威的鋁制品生產(chǎn)商在遭到攻擊并拒絕支付贖金后，用了好幾周的時間來恢復(fù)受到入侵的系統(tǒng)，最終的損失在5,000萬美元左右。

WannaCry病毒 (2017年)

這次被美國甩鍋給朝鮮的重大網(wǎng)絡(luò)攻擊波及了150個國家中的超過30萬臺計算機(jī)，破壞了許多大型組織的運(yùn)營，其中包括英國的國家醫(yī)療服務(wù)體系（National Health Service）和中國石油天然氣集團(tuán)有限公司。

索尼影業(yè)公司 (Sony Pictures，2014年)

黑客們要求這家制片公司下架一部即將上映的喜劇片，因為該片講的是密謀暗殺朝鮮領(lǐng)導(dǎo)人金正恩（Kim Jong-un）。他們竊取了大量的電影和電子郵件，然后清空了這家公司的電腦。

*****

防黑客高招

企業(yè)應(yīng)該采取以下步驟，防止受到勒索軟件的攻擊。

?

培訓(xùn)員工識別經(jīng)常被用來傳遞勒索軟件的釣魚電子郵件。

不要打開陌生電子郵件里的附件或點擊URL地址。

使用唯一的密碼登錄企業(yè)系統(tǒng)并且進(jìn)行雙重驗證。

監(jiān)視遠(yuǎn)程登錄狀況，以便發(fā)現(xiàn)未授權(quán)者登錄企業(yè)網(wǎng)絡(luò)。

定期備份數(shù)據(jù)。線下單獨存放備份，脫離正常的運(yùn)行。

確保公司網(wǎng)絡(luò)上的所有設(shè)備均使用最先進(jìn)的操作系統(tǒng)和應(yīng)用。

確保殺毒軟件能夠自動升級并定期進(jìn)行掃描。

若是受到勒索軟件攻擊，事先做好應(yīng)對方案。

SOURCES: FBI, CYBERSECURITY EXPERTS

?

譯者：王恩冕