0條Plus

這種談判專家，你絕對不希望聘用

Adrian Croft 2021-07-14

勒索軟件攻擊案件的驚人增加孕育了一個由專家組成的小型行業，他們專門從事一種艱難的工作：代表企業客戶與黑客討價還價。

柯蒂斯·曼德爾（Kurtis Minder）有一個忠告，是關于如何與依靠癱瘓公司的計算機系統和盜取數據、動輒敲詐數百萬美元的罪犯打交道的：別叫他們“壞蛋”。

“壞蛋們知道自己是壞蛋。他們試圖把自己裝扮成商人。”網絡智能專業公司GroupSense的首席執行官曼德爾說，他至少代表過20多個受到所謂勒索軟件攻擊的組織與對手進行談判。“只要你在他們面前裝出正常談生意的樣子，事情就好辦一些。”

想象一下一種噩夢般的場景：你要開始一天的工作，卻發現怎么都打不開計算機里的重要客戶信息，因為黑客給你的文件加了密，要求你交出一大筆錢來換取解碼的密鑰。在大多數情況下，黑客還會盜取敏感的公司數據，并且威脅要公布這些數據。

最好的情況是，這種敲詐要求嚴重影響公司運營數日。最壞的情況是，黑客可能讓公司名聲掃地，一蹶不振。

遭到侵害的公司往往會求助于一個由敲詐談判專家組成的小型行業，這些人在應對此類攻擊方面具有豐富的經驗。他們的工作就是與黑客打交道，最好能夠設法大幅降低黑客索要的贖金。他們還安排用比特幣（Bitcoin）或其他的加密貨幣來支付贖金，黑客們喜歡這種支付形式，因為它難以追蹤。

勒索軟件的攻擊者在新冠肺炎疫情期間尤為猖獗。據網絡安全公司SonicWall的統計，全球案發量在去年上升了62%，勒索金額高達3.05億美元。另一家網絡安全公司PurpleSec說，2020年全球企業因此蒙受了200億美元的損失，而2019年的損失為115億美元。

在新冠肺炎疫情期間興起的居家工作，讓許多員工可以用個人電腦登錄公司系統，這給網絡犯罪分子提供了大量能夠利用的空子。只要員工在無意間打開一封電子郵件的附件、點開一條廣告或進入一個鏈接，就可能下載了惡意軟件。

圖片插圖來源：Guillem Casasús

小公司因為沒有專職的IT安全人員，過去常常被勒索軟件犯罪團伙視為囊中之物。但據專家稱，現在黑客覬覦的是規模更大的企業，例如石油、物流和制造公司，還有政府部門、醫院和學校等。

在一起迄今為止最嚴重的勒索軟件攻擊中，與一伙說俄語的團伙有牽連的黑客在今年5月迫使一家石油管道運輸公司關閉了數日之久，因為其供應的石油占美國東海岸日需用量的將近一半，從而引發了恐慌性搶購，甚至導致一些加油站無油可加。受到攻擊的就是科洛尼爾管道運輸公司（Colonial Pipeline），它說已經決定支付贖金，因為數千萬美國人離不開這條運輸線。據《華爾街日報》（Wall Street Journal）報道，科洛尼爾支付了相當于440萬美元的比特幣，但該公司并未對此數額表態。

猶他大學（University of Utah）稱，攻擊者切斷了該校的計算機入口之后，它在去年7月支付了超過45.7萬美元的贖金，以免私人信息在網上被泄露。該大學與網絡保險商和司法機構合作，并咨詢了一家沒有透露名稱的專業敲詐談判公司。這所大學表示：“我們得到的所有信息和指導都表明，若不支付贖金，威脅實施者絕對不會善罷甘休。”

由于許多公司不愿意談及網絡安全漏洞和所付贖金的金額，有一些專家猜測，這類問題的嚴重性要遠遠超過公開披露的程度。“我們處理過索要5,000萬美元贖金的談判——這些都屬于公開報道的案件，我可以想象究竟還有多少案件未曾報道或披露，純粹是因為是保險公司支付的贖金。”從事詐騙追討業務的Gemini Advisory公司的首席執行官安德烈·巴里塞維奇（Andrei Barysevich）說，他也帶隊處理過一些勒索軟件談判。

這些攻擊往往來自俄羅斯和前蘇聯地區的國家，比如白俄羅斯、烏克蘭、摩爾多瓦，另外還有土耳其等國。由于這類案件具有國際背景，躲在暗處的騙子使用的工具能夠躲避追蹤，對勒索團伙成功起訴的案例寥寥無幾。

如今，各國針對加強國際合作打擊勒索行為的呼聲日益高漲。美國、英國和加拿大的一些技術公司和執法機構在今年4月提出，要采取積極的國際行動以打擊勒索行為，包括懲罰對此類犯罪聽之任之的國家。大約在同一個時間，美國司法部（Justice Department）成立了一支特勤隊，專門應付勒索軟件團伙。

但是，美國聯邦調查局（FBI）反對支付贖金，理由是此舉是在鼓勵更多的網絡竊財行為，而且勒索所得可能被用于資助有組織犯罪和恐怖活動。然而在美國，支付贖金是合法行為，只要不涉及向伊朗和朝鮮等國家輸送資金，或是轉給在美國財政部（U.S. Treasury Department）的制裁名單榜上有名的網絡犯罪分子就行。

公司遭到勒索軟件攻擊的第一個跡象多半僅僅表現在，員工無法登陸自己的計算機，或者不能使用電子郵箱。這時有一個不加密的文件——僅此一個——傳來壞消息，而且往往把受害人引向一個嵌有距離最后時限僅幾分鐘的倒計時時鐘的網站。

“時鐘上通常附有一則威脅。”談判專家曼德爾說，其內容不是說等秒針倒退到零后贖金就會加倍，就是說黑客將把竊取的數據在網上公諸于眾。但是他又說，這往往是一個假的時限，目的是制造一種緊張氣氛。

如果受到攻擊的公司或組織的數據有備份，并且自認為在遭受攻擊后很快就可以恢復運營，它可能決定不理睬黑客。至于無準備的公司——這樣的公司數量不少—或者公司的敏感數據已經被盜，那么它們就可能無計可施，只能進行討價還價——通常是通過黑客提供的實時聊天窗口進行。

談判專家建議受到勒索的公司求助于保險公司或擅長處理數據漏洞的律師事務所。這類律師事務所會判斷出，聘請談判專家是否可以奏效。另外，他們一般也會建議受害者報警。

勒索軟件談判公司Coveware報告說，今年頭三個月所交贖金的平均數額達到22萬美元，比前一季度猛漲了43%。如此漲幅的原因是，有幾個極其活躍的團伙攻擊了大型組織，索要高額贖金。

曼德爾的最終目的是設法把贖金壓到最初索要金額的10%。他代表客戶——那是一家他未提及名稱的大型工程公司——支付的最大一筆贖金是275萬美元。原因是該公司要求盡可能減少談判回合，以便盡快恢復運營。

曼德爾的公司按小時收取服務費，并根據客戶的規模設定了上限。大多數企業最終支付的賬單在2萬美元至2.5萬美元之間。但曼德爾說，他的公司偶爾也會免費為小企業或非盈利機構服務。在一次免費談判中，曼德爾試圖勸說黑客放棄贖金，因為他們攻擊的目標是一家癌癥慈善服務機構，但那幫家伙不聽。“他們最后還是拿到了贖金。”他說。

勒索軟件最近的新動向是“勒索軟件服務”的出現，由軟件開發者向他人出租自己開發的勒索軟件，從勒索所得中提成或收取租賃費作為報酬。這讓那些幾乎沒有技術背景或原本無緣入行的犯罪分子更加容易得手。

“這有些像黑手黨與街頭幫派之間的關系。黑手黨守規矩，有自身的行為方式。”曼德爾說。“而那些次等罪犯只買平臺，他們毫無規矩，而且真的不在乎長期后果，所以他們未必總能踐約。”

企業組織可以向美國國際集團（AIG）或Coalition等保險公司投保網絡險，以保護自己免受勒索之苦。承保的險項一般能夠承擔贖金外加恢復計算機系統運行的成本。

作為Coalition公司的應急響應主管，麗安·尼科洛（Leeann Nicolo）是公司第一個接到受害客戶電話的人，雖然公司也聘請外部專家來處理談判事務。她說，自從她在2015年開始涉足該業務以來，勒索案件增長了10倍，而當時索要5萬美元就是高額了。“近年來，索要百萬贖金已經屢見不鮮。”她說。

她告誡道，最大的付款風險是“雙重勒索”，即網絡犯罪分子對受害者背信棄義。尼科洛就事論事地說道：“他們在收到第一筆錢之后，還會回到最初的要求，就像交了兩次贖金。”

*****

勒索軟件的受害者

黑客們劫持了無數組織的數據。以下是其中幾個最著名的案例。

科洛尼爾管道運輸公司 (2021年)

據報道，這家公司在受到攻擊、被迫關閉其輸油管道后，繳納了440萬美元。該公司的輸油管道向美國東海岸提供將近一半的汽油。

加利福尼亞大學舊金山分校 (University of California, San Francisco，2020年)

這所學校一直在忙于重要的新冠病毒研究。在黑客解密了該校重要的學術數據后，它支付了114萬美元。