1. 为什么这么多受害者被勒索软件要求赎金?
简单地说,支付可能比不支付更有成本效益,或者至少最初看起来是这样。WannaCryptor(又名 WannaCry)当 2017年 对世界造成恶意负荷时,英国的国家医疗服务体系对其基础设施造成了重大打击。他们受到如此严重打击的原因有据可查,重建成本有据可查:估计是 1.2 1亿美元。这还没有考虑到 19000 多个国家医疗服务体系预约造成的劳动力成本。
然后在 2018 年,亚特兰大市遭受了其智能城市服务器基础设施 SamSam对于 勒索软件的攻击,网络犯罪分子要求支付 51000 美元的巨额赎金。几年后,据报道,重建系统的成本在 1100万美元到 1700万美元之间。
以公开记录的事件为例,重建成本远高于赎金。由于上述两个例子都是地方政府或中央政府,这些受害者的道德指南针可能指出他们没有资助下一次网络犯罪。不幸的是,仅仅一年后,佛罗里达州的湖城和里维埃拉海滩市政府就交出了5万美元和6万美元来支付勒索软件的要求。
事实上,Cybereason最近的一项调查发现,几乎一半的赎金支付企业在收到解密钥后没有重新获得访问所有关键数据的权限。那么,为什么要支付需求呢?勒索软件的业务在双方都变得更加商业化和复杂:由于公开披露的重建成本,以及勒索软件谈判者和网络保险的新行业,网络犯罪分子了解其犯罪所涉及的数据的价值。一个新的业务部门诞生了:公司和个人开始从促进支付勒索要求中获利。
同样重要的是要记住,勒索软件可能对获得专家资源的小企业产生破坏性影响。支付需求可能是企业生存的一天和永久关门的区别,就像 The Heritage Company 发生了这种情况,导致 300 失业。在有隐私立法的国家,付款也可以消除通知监管机构的需要;但我怀疑,无论付款是否删除泄露数据,违规行为都应始终通知监管机构。
2. 赎金付款通常不违法
2020 美国财政部外国资产控制办公室 (OFAC)在某些情况下,支付勒索软件的要求是非法的。在某些情况下,向个人、组织、政权和整个制裁名单上的国家提供便利是非法的。重要的是,一些网络犯罪集团在制裁名单上。向制裁名单上的任何人发送或协助发送资金是非法的吗?我认为可能是这样,那么这个公告中的新内容是什么呢?选民需要认为,他们的政府正在采取措施阻止向网络犯罪分子提供现金的浪潮。欧盟遵循类似的制度,禁止向官方制裁名单上的各方提供资金。
除了 OFAC 除了裁决外,美国对支付勒索软件的要求仍然没有明确的指导。据专家介绍,它甚至可以免税。这可能会影响企业是否允许自己被勒索。
网络犯罪背后的位置或人员所有权难以证明,技术通常有助于确保许多团体保持匿名和游牧,或。然而,在决定是否付款时,了解你的付款人可能是一个基本要求,因为无意中向制裁名单上的个人或团体付款可能会导致收款人违法。请记住,名单上的一些人可能会抓住机会躲在一个小组里,但仍然分享收入,这可能会使付款非法。
Colonial Pipeline最近支付了 75 比特币(当时是 440万美元),尽管 FBI收回了 63.7 个比特币(收回时约230 1万美元,但按赎金汇率计算为 370 1万美元) 表明禁止使用制裁清单无效。Darkside 是袭击背后的坏人。据说这个组织位于俄罗斯。他们一直小心翼翼地避免列入名单,比如确保他们的数据不存储在伊朗,以便他们“业务”如果保留在不在伊朗的地区,就不会成为制裁名单。
3.勒索软件是服务商业模式
由于Colonial Pipeline网络犯罪组织 Darkside 现在已经解散了。它是否在制裁名单上,它的关闭是否意味着它在收入预测中的攻击将停止?我不知道为什么所有已知的网络犯罪组织都不在制裁名单上,但这可能太合乎逻辑了。这些群体通常是服务提供商,而不是创建“商机”实际攻击者;相反,他们提供基础设施和服务来支持攻击者,然后分享收入。这通常被称为“服务是勒索软件”或 RaaS,实际攻击者是 RaaS 组织的商业附属机构。
攻击者识别目标,以某种方式渗透他们的网络,识别和泄露敏感数据的副本,然后来自他们的 RaaS 提供商(例如 Darkside)对受害者施加恶意代码。RaaS 提供商通过后端服务促进攻击。一旦受害者付款,收入将被分割,通常是 75/25。Darkside 退出业务时,其他勒索软件服务提供商可能会从中受益,并在获奖日加入新的附属公司正在进行的预先合格交易 。
这可能会导致谁对攻击负责的问题——附属机构还是服务提供商?媒体报道的归因通常来自在线证据收集团队,并通过恶意代码的类型和支付细节将所有权授予服务提供商。这些都是签名的,很容易识别。我们很少听到的是事件的发起者,即附属公司;这可能是一个狡猾的人,当然也可能是一个复杂的黑客,他使用未修复的漏洞或有针对性的鱼叉网络钓鱼攻击,并经营可扩展和丰富的网络犯罪业务。
目前的趋势是通过加密窃取数据并拒绝访问数据;因此,目前的攻击通常涉及数据泄露的因素。
4.为防止数据发布或出售而付费是否违法?
个人或敏感信息可能在暗网上被披露或出售的威胁可被视为另一种形式的勒索。通过胁迫获取利益,这在大多数司法管辖区是刑事犯罪。在美国,勒索软件要求不断涌现,勒索包括夺取财产和以书面或口头方式向受害者灌输恐惧,如果他们不遵守勒索者的要求,就会发生什么事。勒索软件案件中的数据加密和系统访问限制是受害者已经发生的事情,但对泄露的数据将被出售或发布在暗网上的恐惧是向受害者灌输恐惧。
5.网络保险是导致还是解决问题?
当前支付勒索软件需求的趋势及“只是与业务发展相关的成本”态度是不健康的。董事会会议上的问题应注重使组织尽可能保持网络安全,并采取一切可能的预防措施。对于保险,可能存在自满因素,满足保险公司的要求,然后继续“照常营业”,知道如果发生不幸事件,公司可以采取措施将保险公司推到前线。这两起事件影响了里维埃拉海滩和莱克城。据报道,犹他大学支付了4.75万美元,Colonial Pipeline 也部分由网络保险承保。
虽然网络保险可以为赎金支付提供资金,并进行谈判,以产生缓冲影响,但当然还有许多其他成本。Norsk Hydro 的保险公司在2019年 遭受攻击时支付了 2020万美元,总成本估计在 58美元至 7000万美元之间;一些额外金额也可能由保险承保。
如果我是网络犯罪分子,我的首要任务是找出谁拥有网络保险,并将目标范围缩小到极有可能支付的人——这不是他们的钱,那他们为什么不呢?这可能就是为什么CNA Financial成为攻击目标并支付了4000 1万美元,以重新获得系统的访问权,我认为被盗数据可以恢复。作为一家提供在线保险的公司,大量支付可以被视为无攻击 CNA 客户支付,因为保险公司最终会为每次攻击付费。假设网络犯罪分子获得了客户列表的访问权,但尚不清楚。另一方面,如果保险公司赔偿,如果他们的一个被保险客户攻击,他们很难不赔偿——在这种情况下,赔偿可能会发送错误的信息。
网络保险可能会继续存在,但从网络安全的角度来看,保险应该要求的条件——弹性及恢复计划——为了减少任何索赔的可能性,赔的可能性。不要让保险成为后备选项。被攻击很麻烦,但没关系……我们有保险。
6.是时候禁止勒索软件支付了吗?
爱尔兰卫生服务机构 Conti 5 5月份发起的勒索软件攻击可能突出了不禁止向网络犯罪分子支付解密器费用的原因,并禁止支付不发布泄露数据的费用。
对殖民地管道的攻击也是如此;没有政府希望看到加油站排起长队。如果不付费,就意味着不向公民提供服务或有限的服务,这可能会造成政治破坏。攻击基础设施将导致道德困难。很难知道资金用于为未来的网络攻击提供资源。
支付勒索软件的需求似乎也为网络犯罪分子创造了第二个机会:根据上述 Cybereason 调查显示,80%的支付赎金的企业随后再次遭到攻击,46% 公司认为这是同一个攻击者。如果数据显示支付需求会导致额外攻击,禁止第一次支付将显著改变网络犯罪分子赚钱的机会。
由于对人类生命的潜在损害或风险,我欣赏不禁止勒索软件支付的论点;然而,这一观点似乎与当前的立法相矛盾。对主要医疗服务发起下一次攻击的组织在制裁名单上支付是非法的;这意味着组织可以支付一些网络犯罪分子,但不能支付其他费用。例如,如果道德困难是关于保护公民的,无论攻击者是谁,医院支付任何勒索软件攻击都是合法的。
在我看来,政府选择哪些网络犯罪分子可以通过制裁名单获得报酬,哪些不能获得报酬,这似乎不是正确的行动计划。
7. 加密货币问题
大多数金融机构都受到监督,并被要求满足某些标准,以防止和测试洗钱活动——通过犯罪活动获得的资金。开立银行账户或投资新的金融机构无疑需要你证明你的身份、护照、水电费和大量的个人信息。在一些国家,这扩展到聘请律师、房地产交易和许多其他类型的服务和交易。然后是加密货币,勇敢的投资者的野生西部和网络罪犯的首选货币。
加密货币提供了一定程度的匿名性,为网络犯罪分子提出的要求和受害者处理付款建立了一种方式,而无需披露谁收到付款。值得注意的是,并非所有的加密货币在这方面都是平等的。一些加密货币至少提供了一瞥钱包,但不提供钱包背后的人甚至隐藏了钱包本身。
上个月,政客们对如何监管加密货币感到困惑。萨尔瓦多宣布计划在宣布后三个月内接受比特币作为法定货币;这将与美元是目前的法定货币。然而,世界银行以担心透明度和环境问题为由拒绝了协助实施的请求。
加密货币解决了网络犯罪分子的巨大问题——如何在不透露自己身份的情况下接收付款。它还创造了对加密货币的需求:对于每个付款的受害者,都会产生获取货币以进行付款的需求。这种需求推高了货币的价值,市场对此表示赞赏;当 FBI 已成功扣留加密钱包并收回 63.7 比特币(230万美元) Colonial Pipeline 付款时,整个加密货币市场因新闻而下跌;因为市场是过山车,这可能只是一个令人毛骨悚然的巧合。
奇怪的是,如果你是一个加密货币投资者,你接受网络犯罪分子创造的货币需求(这反过来又提高了价值),那么你在一定程度上间接从犯罪活动中获得了经济效益。我最近在一个执法专业人士的房间里分享了这个想法,其中一些人承认投资于加密货币。
8. 结论
这种完全无视体面行为,不支付赎金为网络犯罪提供资金的做法,即为犯罪活动提供资金是可以接受的。
正确的做法是将资助网络犯罪分子定为非法,立法者应该站起来阻止支付。对于确实禁止支付的立法国家来说,可能有先发优势:这些高价值攻击背后的网络犯罪分子有重点、有资金、有资源、有驱动力。如果一个国家或地区通过了禁止任何公司或组织支付勒索软件需求的立法,网络犯罪分子将调整业务,重点关注尚未采取行动的国家/地区。如果这种观点是合乎逻辑的,是时候采取行动了。
值得注意的是,美国司法部最近发布的一份备忘录要求通知美国检察官刑事司计算机犯罪和知识产权部门涉及勒索软件和/或数字勒索或运行基础设施的主体的案件。通过勒索软件和勒索计划。虽然这确实集中了通知,但它只适用于正在调查的案件。至少据我所知,没有强制企业报告勒索软件攻击;然而,建议我敦促所有受害者联系执法部门。本文是一个起点。
如果你认为支付勒索软件所需的收入来自犯罪活动的非法收入,加密货币是否应对洗钱或提供直接归因于网络犯罪的资本安全港负责?虽然它的名字,但政府不承认加密货币是一种货币;如果你有幸投资和赚钱,他们认为它是一种需要缴纳资本利得税的投资工具。任何直接从犯罪活动中获得资金的投资公司都必须犯罪,那么为什么整个加密货币市场在完全透明和监管之前不这样做呢?
简而言之,支付赎金是非法的,或者至少限制保险市场,迫使公司向网络事件监管机构披露事件,规范加密货币以消除伪匿名权。所有这些都可能对打击网络犯罪产生重大影响。