拒绝向勒索软件攻击者付款的六大理由

2022年3月17日，据日本共同网报道，近日从美国企业的调查结果获悉，全球范围内被勒索软件攻击的企业和团体在2021年向黑客支付的加密货币至少达到约6.02亿美元。不少企业和团体因数据无法使用，为维持业务所需而不得不选择支付赎金。
 

但是一项关于勒索软件受害者经历的全球调查强调，勒索软件组织普遍缺乏可信度，在大多数已经支付赎金的情况下，勒索攻击仍在继续。这不是多么令人惊讶的结果，但当看到它反映在实际统计数据中时，人们可以更充分地了解问题的严重性。
 

 

该调查由网络安全专家Venafi进行，根据受访者的回答得出的最重要发现如下：
 

1、83%已支付赎金的受害者被再次勒索，达到两次甚至三次。

2、18%已支付赎金的受害者的数据仍然被暴露在暗网上。

3、8%的受害者拒绝支付赎金，攻击者便试图敲诈他们的客户。

4、35%的受害者支付了赎金，但仍然无法检索他们的数据。
 

多年来，美国联邦调查局（FBI）一直建议，企业遭遇勒索袭击的时候不要付钱，不要支持这种犯罪市场的扩张。以下是拒绝向勒索软件攻击者付款的 6 个理由：
 

一、支付赎金后，并不能保证能重新获得数据访问权
 

Cybereason在去年进行的一项研究显示，在支付了赎金的受害者中，只有51%的人能够在不丢失任何加密数据的情况下成功找回自己的数据。约46%的人在付款后重新获得数据访问权，却发现他们的部分或全部数据已被损坏。3%的人甚至在付款后也没有重新获得任何加密数据。

 

Sophos的另一项研究发现了更令人不安的数字。这家安全供应商发现，只有8%支付了赎金的企业拿回了所有数据。29%的人恢复访问的数据不超过一半。平均而言，支付了赎金的企业只能重新获得65%的加密数据。

 

Blumira首席技术官兼联合创始人Matthew Warner表示:“支付赎金并不总能让公司恢复运营。”

 

二、支付赎金只会鼓励更多的攻击
 

如果一家公司的数据在勒索攻击中被加密，攻击者会认为，该公司一旦支付了一次费用，就有可能再次支付。cyberseason去年的一项研究显示，在支付赎金的组织中，有多达80%的组织经历了第二次攻击，而这通常是由第一次攻击它的组织发起的。

 

“一旦支付了赎金，你会认为攻击者不会在未来继续攻击，” Delinea 首席安全科学家 Joseph Carson如是说， “而往往发生的是，你不会只成为一次受害者。”在某些情况下，安全供应商报告说，他们观察到那些收了钱的攻击者以另一个威胁行动者的名义再次攻击受害者。

安全专家表示，不管是什么原因，花钱请攻击者让你摆脱困境并不是一个好主意，因为它只会吸引更多的攻击。

 

三、赎金为更复杂的攻击提供了支持
 

大多数威胁行为者使用的勒索软件工具多年来一直保持基本不变。但有些人已经开始在他们的勒索活动中使用非常复杂的恶意软件。一个例子是名为BlackCat的团伙于今年早些时候使用了一个同名的勒索软件工具，一些人称该工具极其复杂。
 

BlackCat被认为是第一个用Rust软件编写的勒索软件，它允许恶意软件的作者快速编译它，以适应多种操作系统环境。该恶意软件是高度可配置的，可以针对单个攻击即时定制，使用多个加密例程，并实现了多种功能的混淆和回避检测机制。

 

Blumira首席技术官Warner表示，支付赎金可以促进恶意软件行业的创新。“勒索软件集团将这些利润投入到研发等项目中——换句话说，就是改进技术，使勒索软件更不易被发现，更具破坏性。”此外，赎金还可能用于资助其他犯罪活动。“这可能包括毒品或武器贸易，人口贩卖等，”他说。

 

四、攻击者仍然可能泄露或出售被盗的数据
 

在过去的两年中，双重勒索攻击变得相对普遍。攻击者先从组织窃取数据，然后对其进行加密，接着威胁受害者如果不支付赎金就将公布他们的数据。这种做法始于Maze勒索组织，现已经成为大多数勒索软件攻击的既定套路。
 

像Coveware这样的供应商报告说，包括Maze, Sodinokibi, Netwalker和Conti等在内的勒索组织，即使他们已经收到了赎金，还是会故意或无意地泄露受害者的数据。Blumira的Warner 说:“随着双重勒索变得越来越普遍，勒索软件的经营者很容易就违背他们最初的承诺。”

 

五、支付赎金可能违反美国制裁
 

2020年10月，美国财政部外国资产控制办公室(OFAC)警告各组织要意识到与支付勒索软件相关的制裁风险。OFAC的建议指出，美国对来自伊朗、俄罗斯、朝鲜和叙利亚等国的Cryptolocker、SamSam、WannaCry和Dridex等勒索软件操作背后的个人和组织实施了制裁。OFAC警告称，支付勒索软件款项的实体组织和企业将违反OFAC的制裁措施，并增加勒索者利用这些款项资助开展针对美国的其他攻击。
 

而且，于2021年9月更新的OFAC备忘录强调了一项名为《与敌人交易法》(TWEA)的美国法律，该法律禁止美国公民与OFAC“特别指定国民和被封锁人员名单”(SDN名单)上的个人进行交易。

 

六、支付赎金可能会违反美国汇款规定
 

为赎金支付勒索提供便利的金融机构和其他中介机构，如果未能遵守美国财政部金融犯罪执法网络(FinCEN)的规定，可能汇违反美国有关资金转移的规定。
 

FinCEN在2020年10月的一份咨询报告中指出，在某些情况下，协助支付勒索软件赎金的实体可能属于货币服务企业(MSB)的范畴，这种认定将要求该组织在FinCEN登记，并遵守《银行保密法》(BSA)的具体要求。

 

综上所述，遭遇勒索攻击后选择支付赎金从来都不是上乘之选，面对难以承担的高昂恢复成本，企业必须采取行动抵御勒索攻击。安全419在近期推出了《勒索攻击解决方案》系列访谈选题，针对诸多安全厂商提供的勒索攻击防护解决方案进行了详细的了解与应用调研，以帮助企业用户针对不同业务属性和行业特点来不断提高其自身防范勒索攻击的安全能力，欢迎阅读。