美国财政部禁止企业支付勒索软件赎金
本月初,美国财政部外国资产控制办公室(OFAC)发布咨文警告组织不要向勒索软件支付赎金,并声称此举存在违反政府对网络犯罪集团或国家黑客施加的经济制裁的法律风险。
该咨文有可能破坏勒索软件的变现模式,但同时也使被攻击的企业、其保险公司和事件响应服务商处境更加艰难。因为不支付赎金,往往意味着勒索软件攻击造成的损失更大,而且需要更长的时间才能恢复。而且,“支付赎金犯法”也有可能导致网络安全保险将不再覆盖勒索软件攻击。
“OFAC可能会对违反制裁的行为处以民事处罚,这意味着受美国司法管辖的个人,即使不知道(或有理由知道)自己在与被制裁或禁止的个人进行交易也可能承担民事责任。”财政部在咨文中说。
支付赎金助长勒索软件气焰
勒索软件起源于针对消费者的恐吓诈骗软件,例如弹窗警告用户需要立刻下载安装“杀毒软件”,或者支付并不存在的罚款。事实上,在早期阶段,勒索软件程序并不加密用户计算机文件,而只是试图用疯狂刷屏或弹窗的的方式锁定用户(的计算机)。
随着勒索软件领域的竞争加剧,一些黑客组织开始同时攻击消费者和企业,但直到2017年WannaCry和NotPetya攻击之后,网络犯罪分子才意识到企业网络的脆弱性。
在过去的三年中,成熟的网络犯罪集团逐渐转向更加复杂的金融犯罪勒索软件。他们使用APT风格的技术,例如精心选择目标,进行深度侦察,横向移动,无文件执行,按受害者量身定制的有效载荷,取得了巨大“成功”。
勒索软件从2C转向2B之后,赎金的价格也水涨船高,如今,针对企业的勒索赎金要价动辄数百甚至上千万美元。勒索软件赎金的飙涨,部分原因是很多企业的赎金是通过网络安全保险支付。虽然目前关于私营公司支付赎金的信息很少,但是间接证据表明支付赎金已经是非常普遍的“操作”。
事实上,无论是否公开宣传此类服务,越来越多的事件响应公司和独立顾问都以受害者的名义参与勒索软件的谈判。一些组织和金融平台会协助进行赎金付款流程,例如将资金转换为比特币或其他加密货币并将其发送给攻击者。
去年,ProPublica的报告透露,很多保险公司经常建议客户支付赎金,因为这比重建所有系统并从备份中恢复要便宜,可以减少停机时间有关的成本。但这也形成了一个“四赢”的恶性循环:攻击者成功拿到赎金,保险公司支付的钱少了,事件响应安全服务商获得了合同,受害者更快地恢复了。结果,勒索软件成了低风险高收益的网络犯罪“成功模式”。
OFAC在其咨询报告中指出:“支付勒索软件赎金,可能会使被制裁的罪犯和对手获利并推进其非法目标。”“例如,向受制裁的实体或地区支付的赎金可用于资助不利于美国国家安全和外交政策目标的活动。支付赎金还将鼓励攻击者参与未来的攻击。”
与勒索软件攻击有关且在财政部制裁名单上的团体或个人的例子包括两名与SamSam勒索软件有关的伊朗国民,以及朝鲜政府赞助的拉撒路组织(Lazarus),后者与WannaCry攻击有关,且与网络犯罪分子存在联系。还有一个名为Evil Corp的俄罗斯网络犯罪组织,该组织是Dridex僵尸网络以及WastedLocker和BitPaymer勒索软件的背后黑手。
由于网络犯罪生态系统异常复杂,受害者或其安全咨询服务商很难知晓勒索是否会流向制裁名单上的实体、个人或政府。但OFAC在其咨询意见中明确指出,不知道收款人是否受到制裁并不能使企业免于民事处罚。
网络保险面临巨震
反恶意软件公司Emsisoft的威胁分析师布雷特·卡洛(Brett Callow)认为:“财政部咨文的真正目的是使事件响应行业摆脱阴影,并在政府的合作和投入下,以更高的透明度运作,提高政府对此类事件结果的控制权。2018年,勒索软件的平均赎金要价约为5,000美元,大多数受害者是小型企业。现在,平均赎金价格约为20万美元,数百万美元的高额赎金正日益成为常态。受害者是医院、大型跨国公司甚至国防工业基地的公司。因此,勒索软件攻击比几年前变得更加严重,政府确实需要找到一种干预措施。”
Emsisoft是公开呼吁政府禁止支付勒索软件赎金的安全公司之一,称该行为“对国家安全、选举安全、公司知识产权和财务安全、个人信息及其健康构成威胁。”今年早些时候,德国报道了首起与勒索软件相关的死亡事件,一名生命垂危的妇女因就医的医院被勒索软件攻击而不得不被送往20英里外的一家医院,因延误治疗导致死亡。
目前来看,OFAC的咨文报告并未完全禁止勒索软件付款(而且也只是针对美国司法管辖范围内的企业),而且那些有迫切需要的美国企业还可以申请OFAC许可证以支付勒索软件赎金,但是这些请求将接受“以拒绝为前提的个案审查”,成功率未知。
问题是,如果大多数付款请求都被拒绝,将会发生什么?如果结果可能导致企业无法恢复甚至倒闭,企业还会冒险去申请许可吗?
目前尚不清楚事件响应公司留有哪些操作余地。威胁情报公司GroupSense在网络犯罪论坛和地下黑市安插很多眼线收集威胁情报,刚刚在9月份推出勒索软件协商服务,包括评估和与威胁参与者互动,制定协商策略以降低支付需求,甚至管理加密货币交易。现在,处理赎金付款的这个环节将使他们面临违反OFAC规定的风险。
GroupSense首席执行官Kurtis Minder认为:
独立风险管理咨询公司Betterley Risk Consultants的里克·贝特利(Rick Betterley)表示,财政部的咨文可能对网络保险市场产生重大影响。
Betterley同意,保险的存在使受害者更容易支付赎金要求,但他认为保险并不是是否支付赎金的主要原因。这是因为,尽管勒索软件攻击和重建系统的响应成本已由保险单支付,但公司因业务中断而蒙受的损失却通常不会或几乎不会完全消失,而这些损失可能会使公司退出商业竞争。因此,尽管支付赎金能够帮助保险公司降低赔付成本,但受害者支付赎金的主要原因是希望能够继续经营。
换而言之,有了保险可以使受害者更容易付款,但是如果没有保险,很多受害者仍然可能会支付赎金。Betterley说,要想拿出这些资金会比较困难,但是要在这笔资金或破产之间进行选择,企业自然会“两害相权取其轻”。“我认为最大的问题将是,保险公司将不能支付违反政府指令的(赎金)索赔,因此,美国财政部的行动对网络安全保险业务来说是个大问题。”
如果保险公司不再承保勒索软件攻击,Betterley说他也不会感到惊讶:“这将是一件大事,还会有多少公司会去购买其他网络安全保险?鬼才知道。”
总之,“暧昧”的财政部咨文已经让企业、保险公司、安全公司和勒索软件组织陷入困惑和焦虑,但有一些市场正在成为真正的赢家——例如数据备份/数据安全和勒索软件检测响应服务。美国保险行业协会保险信息研究所表示:“对于被勒索的美国企业以及可能违反OFAC的企业,眼下的困境凸显了网络最佳实践的重要性,尤其是备份所有关键任务数据。许多保险公司正在与客户合作,以实施数据备份,并采取各种其他措施来应对勒索软件攻击的威胁。”