与勒索软件团伙谈判的九个技巧

NCC 集团旗下Fox-TT 的网络安全分析师 Pepijn Hack和Zong-Yu Wu 在Black Hat Europe 2021 的会议上提出了这些概念，并在不久之后在 NCC 集团的博客文章中做了详细扩展。这些数据来源于 2019 年至 2020 年间，对超过 700 次勒索者与受害者谈判的研究，以及一篇探索三个主要主题的论文。他们分别是：

• 勒索者如何使用经济模型来实现利益最大化
• 受害者如何在谈判阶段表明立场
• 勒索软件受害者可以使用的策略

研究人员写道：“这项实证研究表明，勒索软件已经发展成为了一项复杂的业务。” “每个勒索软件团伙都制定了自己的谈判和定价策略，旨在实现利益最大化。”

勒索软件团伙处于谈判的主导地位

该数据集主要关注两种不同的勒索软件。提供2019年末至2021年初收集的数据对两个勒索软件进行了比较。第一组是在 2019 年收集的，当时勒索者相对缺乏经验，赎金要求较低。受害者和勒索软件组织进行了 681 次谈判。第二组进行了30次谈判。

分析显示，勒索软件操作层面的成熟度有所提高。勒索软件实施团队根据勒索目标的综合情况计算攻击成本以及赎金定价策略，他们判断的因素包括受感染设备/服务器的数量、员工、预估收入以及媒体曝光的潜在影响等等。通过这样做，勒索者甚至可以在受害者进入谈判之前准确地预判受害者可能支付的金额。一旦他们这样做，受害企业就会处于不利地位。博客中有提到“通常情况下，在谈判中，每个玩家都握着自己的牌。勒索者知道他们的业务成本以及他们需要赚多少钱才能达到收支平衡。同时，受害者也预估了补救成本”。这便造成了这样一种情况，受害者必须通过“不公平的谈判游戏”，在其不知情的情况下，勒索者会先预估出“合理的”赎金范围。“这是一场被操纵的游戏。如果对手牌技高超，那么他将会一直获胜。这也恰恰是勒索软件攻击越来越猖獗的关键原因之一。”

研究结果表明，从每年收入的角度来看，较小的公司通常支付更多的赎金。这意味着他们支付的百分比较高，但绝对赎金金额较少。相比之下，最高赎金(1400 万美元)是由《财富》500 强的企业支付的。“因此可以理解为，攻击者会精心挑选有价值的目标并从几笔大额赎金中获利，而不是选择攻击小公司。这也导致一些勒索软件组织往往只选择针对大型盈利企业实施勒索攻击。”

被勒索企业或个人谈判需要做以下 4 个准备

该研究列出了可以在某种程度上来说对受害者有利的谈判方法，可以取得更好的谈判效果并降低损失。

1. 告诉员工不要打开赎金票据并点击里面的链接。点开后，里面通常会出现倒计时付款的字样。不打开票据就可以争取到一些时间，这样就有时间来确定是哪些基础设施受到了攻击、了解被攻击产生的后果以及成本。

2. 确定谈判目标，准备备选方案以及应对最佳/坏的情况下可能要支付的赎金方案

3. 建立清晰的内外沟通渠道，包括但不限于危机管理团队、董事会、法律顾问和沟通部门。

4. 尽可能多的了解攻击者及他们的策略并尝试解密密钥是否可用。

5个谈判技巧

如果企业决定与勒索者进行谈判的话，除了上述准备，还建议他们掌握以下五种谈判技巧，尽可能的降低损害。

1. 谈判时保持尊重的态度并使用专业词汇，切忌将多余的感情带入到谈判中。

2.受害者应该尽可能多的争取时间，探索所有恢复的可能性。还有一种方法是解释您需要时间来筹集所需的加密货币赎金。

3. 与其拖延时间，不如提前支付少量费用，往往勒索者都会同意降低赎金金额以快速获利，转向下一个目标。

4. 最有效的策略之一是说服勒索者您没有能力支付他最初要求的金额，不过勒索者往往会对勒索对象进行调查。但研究指出，拥有一定的收入与拥有流动资金和加密货币往往是有区别的。

5. 避免告诉勒索者自己有网络保险政策。企业不要将网络保险文件保存在任何可访问的服务器上。这会影响谈判的灵活度，因为大多数保险政策都涵盖了成本。

该研究还给出了一些谈判后的建议。包括：要求解密测试被加密文件、付款后要求勒索者提供文件删除证明，以及让攻击者解释入侵方式。企业也应该做好准备，即使支付赎金也会发生泄露或被出售文件的情况。