通常情况下,当一家公司遭到勒索软件攻击并导致重要数据被加密时,通常会存在两种选择,其一是尝试解密密钥恢复加密数据,或从备份数据中恢复数据重建业务系统;其二则是考虑支付赎金,以降低在该次攻击事件中受到的业务影响,减少业务恢复的时间成本和其他大量支出。
根据调查网站ProPublica发布的一份报告,很多保险公司习惯建议客户支付赎金,因为这比重建所有系统并从备份中恢复要便宜,同时还可以减少停机时间有关的成本。但这也形成了恶性循环:攻击者成功拿到赎金,保险公司支付的钱少了,协助谈判的安全服务商从中赚取了服务费,受害者被影响的业务也得到了恢复。但这也导致勒索软件攻击却成为了低风险高收益的网络犯罪“成功模式”。
OFAC在报告中指出,“支付勒索软件赎金,可能会使被制裁的罪犯和对手获利并推进其非法目标。”“例如,向受制裁的实体或地区支付的赎金可用于资助不利于美国国家安全和外交政策目标的活动。支付赎金还将鼓励攻击者参与未来的攻击。”
其表示,希望公司停止支付赎金,无论是勒索软件受害者还是处理赎金支付的金融机构,以及网络保险公司和参与数字取证和事件响应的公司等中介机构。但也存在例外情况,如果企业确实有迫切需要还可以向OFAC申请许可。
OFCA发布了一份方便受害者查询的禁止交易列表,其中包含了当前被禁止的恶意网络攻击者的加密货币钱包地址,比如朝鲜背景的勒索软件组织Lazarus(WannaCry攻击幕后黑手)、俄罗斯背景的网络犯罪组织Evil Corp(多个勒索软件背后的操控者)等。
如果受害者收到的勒索邮件中包含列表中的钱包地址,那么就应该充分了解到这笔赎金交易背后的制裁风险,并在第一时间联系OFAC。并向执法部门或其他相关美国政府机构(例如 CISA 或美国财政部网络安全和关键基础设施保护办公室 (OCCIP))提交“勒索软件攻击的完整报告”,尽可能提供“所有相关信息,例如技术细节、赎金支付要求和赎金支付指令”。
OFCA同时也再一次申明,勒索软件受害者在将资金(尤其是加密货币)转移给身份不明的攻击者时,必须展开尽职调查,以了解到攻击者是否已经受到制裁。假设受害者或尤其相关的安全咨询服务商所支付的赎金最终流向了制裁名单上的实体或个人,即使受害人不知情,也难免于民事处罚。
原文链接:https://securityboulevard.com/2021/11/us-treasury-again-threatens-to-sanction-ransomware-victims/
京公网安备 11010802033237号
