廣場 端 x 華爾街日報

勒索軟件猖獗催生贖金談判生意

Kurtis Minder創辦GroupSense Inc.監視暗網論壇,了解黑客何時出售對企業計算機網絡的訪問權限。


2019年5月14日德國,一名男子操作電腦。 攝:Karl-Josef Hildenbrand/picture alliance via Getty Images
2019年5月14日德國,一名男子操作電腦。 攝:Karl-Josef Hildenbrand/picture alliance via Getty Images

本文原刊於《華爾街日報》,端傳媒獲授權轉載。目前,《華爾街日報》中文版全部內容僅向付費會員開放,我們強烈推薦您購買/升級成為「端傳媒尊享會員」,以低於原價 70% 的價格,暢讀端傳媒和《華爾街日報》全部內容。

去年年初,Kurtis Minder 陰差陽錯地做起了與勒索軟件黑客談判的生意。

他與人聯合創辦的創業公司 GroupSense Inc.監測暗網論壇和聊天群,以了解黑客何時出售對企業計算機網絡的訪問權限。在 GroupSense 告訴一家軟件公司黑客犯罪分子似乎已將其作為目標後,該軟件公司要求 GroupSense 說服黑客,將解鎖勒索軟件加密數據的贖金從最初的逾100萬美元降低。他說,雙方以大約20萬美元的金額成交。

很快, GroupSense 接到更多來自受害者律師事務所和保險公司的此類請求,到去年底這類請求達到每週10次。該公司根據客戶的收入收取1.2萬至2.5萬美元的固定費用。

「我們不是主動做這個生意的,」Minder談到贖金談判市場時表示,他說這是為公司的其他業務賠本賺吆喝。「基本上,我們是極不情願地被拖進來的。」

贖金勒索軟件的日益氾濫和日趨複雜,已經催生出一個由響應人員組成的小規模零散化產業來對抗勒索行為。初創公司已推出可與黑客溝通或使用加密貨幣支付贖金的業務,與此同時,大型網絡公司則通過僱用人員或收購專業公司來幫助客戶應對此類勒索攻擊以及在遭攻擊後恢復正常運作。

本月黑客組織 DarkSide 針對 Colonial Pipeline Co. 發動網絡攻擊,導致東海岸最大規模的輸油管道被迫關閉六天,此事件令勒索軟件問題受到新的高度關注。

Colonial Pipeline 首席執行官 Joseph Blount 週三對《華爾街日報》(The Wall Street Journal)表示,在收到勒索贖金通知的幾個小時後,他決定向黑客支付價值約440萬美元的比特幣。

Colonial Pipeline 的一位代表對該公司是否通過談判來降低贖金不予置評。他在一份聲明中稱:「我們需要竭盡所能,以便迅速且安全地重啟系統。」

是花錢消災?還是着手應對潛在的破壞性電腦故障、或黑客威脅泄露內部資料的敲詐勒索?受害者必須迅速作出權衡。在最糟糕的情況下,談判人員會幫助受害者達成他們從來不想達成的交易。

網絡公司 LMG Security 的首席運營官兼勒索軟件首席談判代表 Karen Sprenger 表示:「我確實把它當作一筆商業交易來對待。」雖然受害者在這樣的談判中通常會感到憤怒,這是可以理解的,但 Sprenger 試圖保持超然客觀。

她說:「你不能帶着情緒去談。」

一些網絡專家警告稱,這支新興力量仍難以與日益專業化的黑客組織相抗衡。黑客組織發起了越來越多的勒索軟件攻擊,美國官員已將此列為國家安全威脅。一些安全公司也擔心與犯罪分子接觸或為可能違反制裁的付款提供便利會帶來風險。

保險公司怡安(Aon PLC, AON)旗下的事件應對諮詢公司 Stroz Friedberg 的聯席總裁 Eric Friedberg 說:「在某些方面,這個行業正在達到能力極限。」

Friedberg 說,Stroz Friedberg 為企業高管的權衡取捨提供建議,同時該公司與專業談判人員合作,這些人員對勒索軟件組織的策略和可信度有細緻的了解,而這是受害者決定如何應對的關鍵因素。

Friedberg 說:「對企業來說,重要的是解決問題的速度還是降低給勒索軟件組織的贖金?」他說:「這些目標往往互斥,而且通常要由董事會層面做出決定。」

諮詢公司博思艾倫諮詢有限公司(Booz Allen Hamilton Inc.)網絡事件應對項目高級副總裁 Jerry Bessette 說,在高管們討論策略的時候,博思艾倫等公司的談判人員通過電子郵件或在線聊天與黑客玩起貓鼠遊戲。目的是了解黑客可能竊取了哪些數據,在受害者探究影響並試圖利用備份恢復系統時拖延時間。

Bessette 說:「時間就是金錢,對雙方來說都是如此。」他估計,他的團隊有80%以上的調查涉及勒索軟件,而幾年前比例只有約一半。

支付贖金並不一定意味着公司能夠解鎖他們的數據。據《華爾街日報》報導,黑客提供給 Colonial Pipeline 的解密工具未能讓該公司完全恢復其系統。

網絡安全公司 FireEye Inc. 旗下諮詢公司 Mandiant 的首席技術官 Charles Carmakal 稱,對於可信的黑客組織來說,這種混亂局面並不常見。但他稱,他的團隊有時能夠從不可用的解密器中提取信息,並設計自己的解密器。

最近的黑客襲擊事件發生後,FireEye 為 Colonial Pipeline 提供了諮詢,但 Carmakal 不願就此置評。他說,這家上市公司沒有直接與黑客談判或付款。

總部位於弗吉尼亞州阿靈頓的 GroupSense 為此類交易提供便利,該公司與第三方中間人合作將受害企業的現金轉換成加密貨幣,並轉移給黑客。

該公司首席執行官 Minder 稱,銀行對七位數的交易審查得越來越嚴格。但他的許多客戶包括印刷店和花店等小企業,談判的贖金在數萬美元。

「這與為大公司服務非常不同,大公司有整個委員會處理這件事,」他稱。但是對於小公司來說,「只有10年前創業的那個人,而他可能會失去一切。」

英文原文:Ransomware Boom Forces More Companies to Cut Deals With Criminals

WSJ 端傳媒尊享會員 端 x 華爾街日報