0条Plus

揭秘一个神秘的小众行业：“敲诈谈判”专家

Adrian Croft 2021-06-04

但愿你的公司永远用不上他们。

图片来源：Guillem Casasús

如何与搞垮公司的计算机系统、盗取数据、动辄敲诈数百万美元的罪犯打交道？柯蒂斯·曼德尔有一个忠告：别叫他们“坏蛋”。

“坏蛋们知道自己是坏蛋，但他们试图把自己装扮成商人。”网络智能专业公司GroupSense的首席执行官曼德尔说，他至少代表过20多个受到所谓勒索软件攻击的组织与对手进行谈判。“只要你在他们面前装出正常谈生意的样子，事情就好办一些。”

想象一下一种噩梦般的场景：你要开始一天的工作，却发现怎么都打不开计算机里的重要客户信息，因为黑客给你的文件加了密，要求你交出一大笔钱来换取解码的密钥。在大多数情况下，黑客还会盗取敏感的公司数据，并且威胁要公布这些数据。

最好的情况是，这种敲诈要求严重影响公司运营数日。最坏的情况是，黑客可能让公司名声扫地，一蹶不振。

遭到侵害的公司往往会求助于敲诈谈判专家，这些人在应对此类攻击方面具有丰富的经验。他们的工作就是与黑客打交道，最好能够设法大幅降低黑客索要的赎金。他们还安排用比特币或其他的加密货币来支付赎金，黑客们喜欢这种支付形式，因为它难以追踪。

勒索软件的攻击者在新冠肺炎疫情期间尤为猖獗。据网络安全公司SonicWall的统计，全球案发量在去年上升了62%，勒索金额高达3.05亿美元。另一家网络安全公司PurpleSec说，2020年全球企业因此蒙受了200亿美元的损失，而2019年的损失为115亿美元。

在新冠肺炎疫情期间兴起的居家工作，让许多员工可以用个人电脑登录公司系统，这给网络犯罪分子提供了大量能够利用的空子。只要员工在无意间打开一封电子邮件的附件、点开一条广告或进入一个链接，就可能下载了恶意软件。

小公司因为没有专职的IT安全人员，过去常常被勒索软件犯罪团伙视为囊中之物。但据专家称，现在黑客觊觎的是规模更大的企业，例如石油、物流和制造公司，还有政府部门、医院和学校等。

在一起迄今为止最严重的勒索软件攻击中，与一伙说俄语的团伙有牵连的黑客在今年5月迫使一家石油管道运输公司关闭了数日之久，因为其供应的石油占美国东海岸日需用量的将近一半，从而引发了恐慌性抢购，甚至导致一些加油站无油可加。受到攻击的就是科洛尼尔管道运输公司（Colonial Pipeline），它说已经决定支付赎金，因为数千万美国人离不开这条运输线。据《华尔街日报》报道，科洛尼尔支付了相当于440万美元的比特币，但该公司并未对此数额表态。

犹他大学称，攻击者切断了该校的计算机入口之后，它在去年7月支付了超过45.7万美元的赎金，以免私人信息在网上被泄露。该大学与网络保险商和司法机构合作，并咨询了一家没有透露名称的专业敲诈谈判公司。这所大学表示：“我们得到的所有信息和指导都表明，若不支付赎金，威胁实施者绝对不会善罢甘休。”

由于许多公司不愿意谈及网络安全漏洞和所付赎金的金额，有一些专家猜测，这类问题的严重性要远远超过公开披露的程度。“我们处理过索要5,000万美元赎金的谈判——这些都属于公开报道的案件，我可以想象究竟还有多少案件未曾报道或披露，纯粹是因为是保险公司支付的赎金。”从事诈骗追讨业务的Gemini Advisory公司的首席执行官安德烈·巴里塞维奇说，他也带队处理过一些勒索软件谈判。

这些攻击往往来自俄罗斯和前苏联国家，比如白俄罗斯、乌克兰、摩尔多瓦，以及土耳其等国。由于这类案件具有国际背景，躲在暗处的骗子使用的工具能够躲避追踪，对勒索团伙成功起诉的案例寥寥无几。

如今，各国针对加强国际合作打击勒索行为的呼声日益高涨。美国、英国和加拿大的一些技术公司和执法机构在今年4月提出，要采取积极的国际行动以打击勒索行为，包括惩罚对此类犯罪听之任之的国家。大约在同一个时间，美国司法部成立了一支特勤队，专门应付勒索软件团伙。

但是，美国联邦调查局反对支付赎金，理由是此举是在鼓励更多的网络窃财行为，而且勒索所得可能被用于资助有组织犯罪和恐怖活动。然而在美国，支付赎金是合法行为，只要不涉及向伊朗和朝鲜等国家输送资金，或是转给在美国财政部的制裁名单榜上有名的网络犯罪分子就行。

公司遭到勒索软件攻击的第一个迹象多半仅仅表现在，员工无法登陆自己的计算机，或者不能使用电子邮箱。这时有一个不加密的文件——仅此一个——传来坏消息，而且往往把受害人引向一个嵌有距离最后时限仅几分钟的倒计时时钟的网站。

“时钟上通常附有一则威胁。”谈判专家曼德尔说，其内容不是说等秒针倒退到零后赎金就会加倍，就是说黑客将把窃取的数据在网上公诸于众。但是他又说，这往往是一个假的时限，目的是制造一种紧张气氛。

如果受到攻击的公司或组织的数据有备份，并且自认为在遭受攻击后很快就可以恢复运营，它可能决定不理睬黑客。至于无准备的公司——这样的公司数量不少——或者公司的敏感数据已经被盗，那么它们就可能无计可施，只能进行讨价还价——通常是通过黑客提供的实时聊天窗口进行。

谈判专家建议受到勒索的公司求助于保险公司或擅长处理数据漏洞的律师事务所。这类律师事务所会判断出，聘请谈判专家是否可以奏效。另外，他们一般也会建议受害者报警。

勒索软件谈判公司Coveware报告说，今年头三个月所交赎金的平均数额达到22万美元，比前一季度猛涨了43%。如此涨幅的原因是，有几个极其活跃的团伙攻击了大型组织，索要高额赎金。

曼德尔的最终目的是设法把赎金压到最初索要金额的10%。他代表客户——那是一家他未提及名称的大型工程公司——支付的最大一笔赎金是275万美元。原因是该公司要求尽可能减少谈判回合，以便尽快恢复运营。

曼德尔的公司按小时收取服务费，并根据客户的规模设定了上限。大多数企业最终支付的账单在2万美元至2.5万美元之间。但曼德尔说，他的公司偶尔也会免费为小企业或非盈利机构服务。在一次免费谈判中，曼德尔试图劝说黑客放弃赎金，因为他们攻击的目标是一家癌症慈善服务机构，但那帮家伙不听。“他们最后还是拿到了赎金。”他说。

勒索软件最近的新动向是“勒索软件服务”的出现，由软件开发者向他人出租自己开发的勒索软件，从勒索所得中提成或收取租赁费作为报酬。这让那些几乎没有技术背景或原本无缘入行的犯罪分子更加容易得手。

“这有些像黑手党与街头帮派之间的关系。黑手党守规矩，有自身的行为方式。”曼德尔说。“而那些次等罪犯只买平台，他们毫无规矩，而且真的不在乎长期后果，所以他们未必总能践约。”

企业组织可以向美国国际集团或Coalition等保险公司投保网络险，以保护自己免受勒索之苦。承保的险项一般能够承担赎金外加恢复计算机系统运行的成本。

作为Coalition公司的应急响应主管，丽安·尼科洛是公司第一个接到受害客户电话的人，虽然公司也聘请外部专家来处理谈判事务。她说，自从她在2015年开始涉足该业务以来，勒索案件增长了10倍，而当时索要5万美元就是高额了。“近年来，索要百万赎金已经屡见不鲜。”她说。

她告诫道，最大的付款风险是“双重勒索”，即网络犯罪分子对受害者背信弃义。尼科洛就事论事地说道：“他们在收到第一笔钱之后，还会回到最初的要求，就像交了两次赎金。”

勒索软件的受害者

黑客们劫持了无数组织的数据。以下是其中几个最著名的案例。