嗨，我今天将成为您的勒索软件谈判代表 - 但不要告诉骗子

采访作为勒索软件谈判者的第一条规则是，你不承认自己是勒索软件谈判者——至少对 LockBit 或其他网络犯罪团伙不承认。 

网络安全公司 GuidePoint Security 的专业勒索软件谈判代表兼首席威胁分析师 Drew Schmitt 表示，相反，这些谈判代表将自己描绘成简单的公司代表。

“最大的原因是因为大多数勒索软件组织都明确表示：'我们不想与谈判者合作。如果你确实将谈判者带到谈判桌上，我们无论如何都会发布你的东西，'”施密特告诉登记册。 因此，需要伪装成正式员工。

当然，勒索软件是一种恶意软件，一旦进入网络，它就会扰乱它可以找到的所有有价值的文件，并要求付费才能解密和恢复信息。最近，犯罪团伙还在加密数据之前窃取数据副本，以便在不支付需求时泄露或出售数据。有时他们只是抽取文件而不费心加密它们。有时，骗子会使用窃取的文件来骚扰或利用受害者的客户或用户。一旦敲诈者在您的计算机上并拥有您的数据，他们就可以做各种各样的事情并要求他们做。

施密特说，他每个月谈判一两次赎金，受害组织范围从非常小的企业到大型企业，涵盖所有行业。根据为他公司最新的勒索软件报告所做的研究，制造、技术、建筑、政府和医疗保健在今年第二季度受到的打击最为严重。

我还看到了 2500 万美元的初始需求……到处都是

他说，他曾经看到一个“不太老练的团体”要求赎金，他们只想要 2,000 美元。“但我也看到了 2500 万美元的初始需求，”他补充说。“所以他们到处都是。”

施密特说，他曾两次通过谈判将赎金降至零美元。“在不同类型的医疗保健领域，当我们走到桌前说，‘嘿，我们是一家医疗保健组织。我们有责任拯救生命，’他们基本上说，‘我们很抱歉。我们是会给你一个免费的解密器。'"

当然，这些都是异常值，Hive等一些团体专门针对医疗保健行业，假设因为生命和高度敏感的个人数据处于危险之中，除其他因素外，医院更有可能支付费用以使整个混乱局面离开。 

事实上，今年早些时候 Sophos 的一份报告称，2021 年，66% 的受访医疗保健组织受到勒索软件的攻击——高于前一年的 34%，增幅为 94%。 

随着勒索软件和纯粹的敲诈勒索成为不法分子的坚实收入来源，对网络保险和勒索软件谈判者等东西的需求自然会增加，他们充当勒索软件团伙和受害者之间的中间人。有时你可能想在你和犯罪分子之间放置一个人，一个可以进行加密货币支付的人，或者讨价还价，或者从勒索者那里获得解密器，等等。

根据Palo Alto Networks 事件响应团队 3 月发布的研究，2021 年针对其所知道的攻击的平均赎金需求为 220 万美元，比前一年增加了 144%。与此同时，去年的平均付款跃升至 541,010 美元，比 2020 年增长 78%。 

从电子邮件赎金记录到 Tor 泄漏站点

施密特大约六年前开始从事事件响应 (IR) 和威胁情报工作，并表示他在 2019 年“陷入”勒索软件谈判。

“这是事件响应工作的自然进展，”他说。随着勒索软件感染变得越来越普遍，施密特开始提升 IR 阶梯，并在调查和响应过程中扮演各种角色。“其中一个最终与威胁行为者进行了谈判。”

早在 2019 年左右，这些谈判是通过电子邮件进行的。但从那时起，勒索软件团伙已经成熟并发展了业务运营，包括与受害者进行即时通讯以找出交易、帮助传播恶意软件的附属机构以及具有非技术职权范围的员工，正如更大的地上世界通过Conti了解到的那样今年早些时候 泄漏。

如今，大多数犯罪集团都有自己的网站，通过这些网站开展业务，有些还设有公关和营销部门以及内部服务台。 

施密特说，“现在它通常只是一个 URL”，而不是关心电子邮件，将受害者引导到勒索者的 Tor 隐藏网站，受害者和骗子之间的交流发生在 Tor 浏览器中显示的聊天框中。这是施密特通常被要求帮助事件响应的时候，有时，勒索软件谈判。 

谈判过程本身涉及将所有关键业务部门带到谈判桌前：C-suite 高管、网络安全分析师、律师、人力资源和公关代表。 

“除了技术响应之外，所有将参与行政响应的关键团队，”施密特说。“所有这些参与者都将参与确定谈判策略的样子。”

你应该和罪犯谈判吗？

然而，他们需要回答的第一个问题是是否与犯罪分子进行谈判。 

美国联邦机构表示，组织不应该支付赎金要求 [ PDF ]，一些私人安全公司甚至表示这会使企业面临随后的勒索软件攻击。无论如何，这不是一个容易回答的问题，我们被告知，谈判与否的决定是两方面的。

如果我们暴露在勒索软件泄漏网站上，这将如何影响我们的品牌？

“人们正在从纯粹的技术角度看待它，”施密特说。这包括确定公司是否有能力从被勒索软件加扰的备份中恢复数据，使用免费工具解密文件，或者以其他方式在不支付赎金的情况下使 IT 环境恢复在线。

“然后另一方是有法律依据的，”他说。“这是您开始回答以下问题的地方：如果我们暴露在勒索软件泄漏站点上，这将如何影响我们的品牌？如果我们在勒索软件泄漏站点上暴露某些类型的数据，这将如何潜在地影响合规性? 与此相关的风险是什么，我们有哪些选择？

施密特所说的一个想法通常不会出现在讨论中——除非犯罪团伙已受到美国财政部或类似机构的制裁，在这种情况下向他们支付赎金是非法的——支付赎金的道德规范这反过来又为额外的非法活动和支持或策划勒索软件活动的潜在压迫性政权提供资金。  

“如果我完全诚实的话，关于资金在事后的去向的讨论并不多，”他承认道。

施密特说， LockBit在过去两年中仍然是最多产的帮派，并补充说，在该组织解散形成其他帮派之前，孔蒂还让他的谈判伙伴们忙得不可开交。

这些犯罪组织中的每一个都有自己的怪癖、历史和方法，在谈判过程中了解和利用它们可能很有用。 

“我们详细记录了来自不同威胁团体的所有互动，然后我们利用它来发挥我们的优势——这种技术可能比那种技术效果更好，或者这个团体已知会谈判，或者你不能推动它很长一段时间，他们才会感到无聊并继续前进，”施密特说。“他们都有我们用来确保我们没有按错按钮并为我们提供最大成功机会的特征，以尽可能降低赎金。”

然而，犯罪分子通常也会做功课。例如：研究受害者组织的网络保险政策。 

“通常情况下，我们会将此视为一种谈判策略，”施密特说。“'我们找到了你的保险单，我们知道你的保险金额为 1000 万美元，所以这就是我们开始的地方。'”

支付初始需求并不经常发生。总是有一些讨价还价和狡辩。他说，企业在确定解决问题所需的预算时，还必须考虑恢复成本和与安全漏洞相关的其他费用。 

就像买车一样

“但这是我们开始的地方，”施密特评论说，指的是最初的要求。“从那里开始，你会在许多其他商业应用程序中看到传统的来回谈判过程——或者试图买车。”

也就是说，如果你和汽车销售员连续几天被锁在一个房间里，而他们威胁要在网站上泄露你的私人信息让所有人都能看到，如果你也接受，他们可能会决定提高要价很长时间才能达成协议。

施密特承认这是一份高度焦虑的工作。“赌注真的很高，”他说。“对于一般的事件响应，尤其是勒索软件，压力真的很大。

“对于与你合作的更多客户来说，这是他们职业生涯中最糟糕的时刻，也可能是他们经历过的最糟糕的时刻，而你被迫陷入试图帮助他们摆脱困境的境地他们职业生涯中最糟糕的时期。”