本月初,，美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室（OFAC）發(fā)布咨文警告組織不要向勒索軟件支付贖金,，并聲稱此舉存在違反政府對(duì)網(wǎng)絡(luò)犯罪集團(tuán)或國(guó)家黑客施加的經(jīng)濟(jì)制裁的法律風(fēng)險(xiǎn)。

　　該咨文有可能破壞勒索軟件的變現(xiàn)模式,，但同時(shí)也使被攻擊的企業(yè),、其保險(xiǎn)公司和事件響應(yīng)服務(wù)商處境更加艱難,。因?yàn)椴恢Ц囤H金，往往意味著勒索軟件攻擊造成的損失更大,，而且需要更長(zhǎng)的時(shí)間才能恢復(fù),。而且，“支付贖金犯法”也有可能導(dǎo)致網(wǎng)絡(luò)安全保險(xiǎn)將不再覆蓋勒索軟件攻擊,。

　　“OFAC可能會(huì)對(duì)違反制裁的行為處以民事處罰,，這意味著受美國(guó)司法管轄的個(gè)人，即使不知道（或有理由知道）自己在與被制裁或禁止的個(gè)人進(jìn)行交易也可能承擔(dān)民事責(zé)任,?！必?cái)政部在咨文中說(shuō)。

　　支付贖金助長(zhǎng)勒索軟件氣焰

　　勒索軟件起源于針對(duì)消費(fèi)者的恐嚇詐騙軟件,，例如彈窗警告用戶需要立刻下載安裝“殺毒軟件”,，或者支付并不存在的罰款。事實(shí)上,，在早期階段,，勒索軟件程序并不加密用戶計(jì)算機(jī)文件，而只是試圖用瘋狂刷屏或彈窗的的方式鎖定用戶（的計(jì)算機(jī)）,。

　　隨著勒索軟件領(lǐng)域的競(jìng)爭(zhēng)加劇,，一些黑客組織開始同時(shí)攻擊消費(fèi)者和企業(yè)，但直到2017年WannaCry和NotPetya攻擊之后,，網(wǎng)絡(luò)犯罪分子才意識(shí)到企業(yè)網(wǎng)絡(luò)的脆弱性,。

　　在過(guò)去的三年中，成熟的網(wǎng)絡(luò)犯罪集團(tuán)逐漸轉(zhuǎn)向更加復(fù)雜的金融犯罪勒索軟件,。他們使用APT風(fēng)格的技術(shù),，例如精心選擇目標(biāo)，進(jìn)行深度偵察,，橫向移動(dòng),，無(wú)文件執(zhí)行,，按受害者量身定制的有效載荷，取得了巨大“成功”,。

　　勒索軟件從2C轉(zhuǎn)向2B之后,，贖金的價(jià)格也水漲船高，如今,，針對(duì)企業(yè)的勒索贖金要價(jià)動(dòng)輒數(shù)百甚至上千萬(wàn)美元,。勒索軟件贖金的飆漲，部分原因是很多企業(yè)的贖金是通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)支付,。雖然目前關(guān)于私營(yíng)公司支付贖金的信息很少,，但是間接證據(jù)表明支付贖金已經(jīng)是非常普遍的“操作”。

　　事實(shí)上,，無(wú)論是否公開宣傳此類服務(wù),，越來(lái)越多的事件響應(yīng)公司和獨(dú)立顧問(wèn)都以受害者的名義參與勒索軟件的談判。一些組織和金融平臺(tái)會(huì)協(xié)助進(jìn)行贖金付款流程,，例如將資金轉(zhuǎn)換為比特幣或其他加密貨幣并將其發(fā)送給攻擊者,。

　　去年，ProPublica的報(bào)告透露,，很多保險(xiǎn)公司經(jīng)常建議客戶支付贖金,，因?yàn)檫@比重建所有系統(tǒng)并從備份中恢復(fù)要便宜，可以減少停機(jī)時(shí)間有關(guān)的成本,。但這也形成了一個(gè)“四贏”的惡性循環(huán)：攻擊者成功拿到贖金,，保險(xiǎn)公司支付的錢少了，事件響應(yīng)安全服務(wù)商獲得了合同,，受害者更快地恢復(fù)了,。結(jié)果，勒索軟件成了低風(fēng)險(xiǎn)高收益的網(wǎng)絡(luò)犯罪“成功模式”,。

　　OFAC在其咨詢報(bào)告中指出：“支付勒索軟件贖金,，可能會(huì)使被制裁的罪犯和對(duì)手獲利并推進(jìn)其非法目標(biāo)?！薄袄?，向受制裁的實(shí)體或地區(qū)支付的贖金可用于資助不利于美國(guó)國(guó)家安全和外交政策目標(biāo)的活動(dòng)。支付贖金還將鼓勵(lì)攻擊者參與未來(lái)的攻擊,?！?/p>

　　與勒索軟件攻擊有關(guān)且在財(cái)政部制裁名單上的團(tuán)體或個(gè)人的例子包括兩名與SamSam勒索軟件有關(guān)的伊朗國(guó)民，以及朝鮮政府贊助的拉撒路組織（Lazarus）,，后者與WannaCry攻擊有關(guān),，且與網(wǎng)絡(luò)犯罪分子存在聯(lián)系,。還有一個(gè)名為Evil Corp的俄羅斯網(wǎng)絡(luò)犯罪組織,，該組織是Dridex僵尸網(wǎng)絡(luò)以及WastedLocker和BitPaymer勒索軟件的背后黑手,。

　　由于網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)異常復(fù)雜，受害者或其安全咨詢服務(wù)商很難知曉勒索是否會(huì)流向制裁名單上的實(shí)體,，個(gè)人或政府,。但OFAC在其咨詢意見中明確指出，不知道收款人是否受到制裁并不能使企業(yè)免于民事處罰,。

　　網(wǎng)絡(luò)保險(xiǎn)面臨巨震

　　反惡意軟件公司Emsisoft的威脅分析師布雷特·卡洛（Brett Callow）認(rèn)為：“財(cái)政部咨文的真正目的是使事件響應(yīng)行業(yè)擺脫陰影,，并在政府的合作和投入下，以更高的透明度運(yùn)作,，提高政府對(duì)此類事件結(jié)果的控制權(quán),。2018年，勒索軟件的平均贖金要價(jià)約為5,000美元,，大多數(shù)受害者是小型企業(yè)?，F(xiàn)在，平均贖金價(jià)格約為20萬(wàn)美元,，數(shù)百萬(wàn)美元的高額贖金正日益成為常態(tài),。受害者是醫(yī)院、大型跨國(guó)公司甚至國(guó)防工業(yè)基地的公司,。因此,，勒索軟件攻擊比幾年前變得更加嚴(yán)重，政府確實(shí)需要找到一種干預(yù)措施,?！?/p>

　　Emsisoft是公開呼吁政府禁止支付勒索軟件贖金的安全公司之一，稱該行為“對(duì)國(guó)家安全,、選舉安全,、公司知識(shí)產(chǎn)權(quán)和財(cái)務(wù)安全、個(gè)人信息及其健康構(gòu)成威脅,?！苯衲暝缧r(shí)候，德國(guó)報(bào)道了首起與勒索軟件相關(guān)的死亡事件,，一名生命垂危的婦女因就醫(yī)的醫(yī)院被勒索軟件攻擊而不得不被送往20英里外的一家醫(yī)院,，因延誤治療導(dǎo)致死亡。

　　目前來(lái)看,，OFAC的咨文報(bào)告并未完全禁止勒索軟件付款（而且也只是針對(duì)美國(guó)司法管轄范圍內(nèi)的企業(yè)）,，而且那些有迫切需要的美國(guó)企業(yè)還可以申請(qǐng)OFAC許可證以支付勒索軟件贖金，但是這些請(qǐng)求將接受“以拒絕為前提的個(gè)案審查”,，成功率未知,。

　　問(wèn)題是，如果大多數(shù)付款請(qǐng)求都被拒絕，將會(huì)發(fā)生什么,？如果結(jié)果可能導(dǎo)致企業(yè)無(wú)法恢復(fù)甚至倒閉,，企業(yè)還會(huì)冒險(xiǎn)去申請(qǐng)?jiān)S可嗎？

　　目前尚不清楚事件響應(yīng)公司留有哪些操作余地,。威脅情報(bào)公司GroupSense在網(wǎng)絡(luò)犯罪論壇和地下黑市安插很多眼線收集威脅情報(bào),，剛剛在9月份推出勒索軟件協(xié)商服務(wù)，包括評(píng)估和與威脅參與者互動(dòng),，制定協(xié)商策略以降低支付需求,，甚至管理加密貨幣交易。現(xiàn)在,，處理贖金付款的這個(gè)環(huán)節(jié)將使他們面臨違反OFAC規(guī)定的風(fēng)險(xiǎn),。

　　GroupSense首席執(zhí)行官Kurtis Minder認(rèn)為：

　　財(cái)政部沒有為受害者提供其他選擇。如果政府希望公司停止支付贖金,，則應(yīng)提供一項(xiàng)救濟(jì)計(jì)劃,，其中包括對(duì)勒索軟件受害者的補(bǔ)貼，以幫助他們避免因勒索軟件而倒閉,。如果不向受害公司提供幫助,，只會(huì)把贖金支付推向地下?！?/p>

　　獨(dú)立風(fēng)險(xiǎn)管理咨詢公司Betterley Risk Consultants的里克·貝特利（Rick Betterley）表示,，財(cái)政部的咨文可能對(duì)網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)產(chǎn)生重大影響。

　　Betterley同意,，保險(xiǎn)的存在使受害者更容易支付贖金要求,，但他認(rèn)為保險(xiǎn)并不是是否支付贖金的主要原因。這是因?yàn)?，盡管勒索軟件攻擊和重建系統(tǒng)的響應(yīng)成本已由保險(xiǎn)單支付,，但公司因業(yè)務(wù)中斷而蒙受的損失卻通常不會(huì)或幾乎不會(huì)完全消失，而這些損失可能會(huì)使公司退出商業(yè)競(jìng)爭(zhēng),。因此,，盡管支付贖金能夠幫助保險(xiǎn)公司降低賠付成本，但受害者支付贖金的主要原因是希望能夠繼續(xù)經(jīng)營(yíng),。

　　換而言之,，有了保險(xiǎn)可以使受害者更容易付款，但是如果沒有保險(xiǎn),，很多受害者仍然可能會(huì)支付贖金,。Betterley說(shuō)，要想拿出這些資金會(huì)比較困難,，但是要在這筆資金或破產(chǎn)之間進(jìn)行選擇,，企業(yè)自然會(huì)”兩害相權(quán)取其輕“,。”我認(rèn)為最大的問(wèn)題將是,，保險(xiǎn)公司將不能支付違反政府指令的（贖金）索賠,，因此，美國(guó)財(cái)政部的行動(dòng)對(duì)網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)來(lái)說(shuō)是個(gè)大問(wèn)題,?！?/p>

　　如果保險(xiǎn)公司不再承保勒索軟件攻擊,，Betterley說(shuō)他也不會(huì)感到驚訝：”這將是一件大事,，還會(huì)有多少公司會(huì)去購(gòu)買其他網(wǎng)絡(luò)安全保險(xiǎn)？鬼才知道,?！?/p>

　　總之，”曖昧“的財(cái)政部咨文已經(jīng)讓企業(yè),、保險(xiǎn)公司,、安全公司和勒索軟件組織陷入困惑和焦慮，但有一些市場(chǎng)正在成為真正的贏家——例如數(shù)據(jù)備份/數(shù)據(jù)安全和勒索軟件檢測(cè)響應(yīng)服務(wù),。美國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)保險(xiǎn)信息研究所表示：”對(duì)于被勒索的美國(guó)企業(yè)以及可能違反OFAC的企業(yè),，眼下的困境凸顯了網(wǎng)絡(luò)最佳實(shí)踐的重要性，尤其是備份所有關(guān)鍵任務(wù)數(shù)據(jù),。許多保險(xiǎn)公司正在與客戶合作,，以實(shí)施數(shù)據(jù)備份，并采取各種其他措施來(lái)應(yīng)對(duì)勒索軟件攻擊的威脅,?！?/p>