俄烏戰(zhàn)爭使勒索軟件支付變得更加困難

來源:企業(yè)網(wǎng)D1Net
作者:Deb Radcliff
時間:2022-06-10
2697
去年,在俄烏戰(zhàn)爭爆發(fā)之前,近75%用于勒索軟件支付的加密貨幣流向了俄羅斯。試想一下,既然現(xiàn)在俄羅斯已經(jīng)成為一個受制裁的國家,那么支付這些贖金勢必會面臨法律后果。

pexels-photo-8511930.webp.jpg

俄烏戰(zhàn)爭爆發(fā)后,針對俄羅斯網(wǎng)絡(luò)犯罪活動的制裁層出不窮。去年7月,歐盟首次針對俄羅斯企業(yè)實施網(wǎng)絡(luò)犯罪相關(guān)制裁;今年4月份,來自“五眼聯(lián)盟”的8個網(wǎng)絡(luò)安全當(dāng)局聯(lián)合發(fā)布安全公告,要求制裁俄羅斯網(wǎng)絡(luò)犯罪活動,并敦促各組織為潛在的網(wǎng)絡(luò)威脅做好準(zhǔn)備;同月,美國財務(wù)部宣布對俄羅斯(包括國家黑客在內(nèi)的)惡意活動、暗網(wǎng)市場以及加密貨幣交易平臺實施制裁,并發(fā)布了具體的制裁名單。

另一方面,根據(jù)Chainanalysis進(jìn)行的一項研究顯示,去年,在俄烏戰(zhàn)爭爆發(fā)之前,近75%用于勒索軟件支付的加密貨幣流向了俄羅斯。試想一下,既然現(xiàn)在俄羅斯已經(jīng)成為一個受制裁的國家,那么支付這些贖金勢必會面臨法律后果。

對于數(shù)字風(fēng)險保護(hù)公司GroupSense的首席執(zhí)行官Kurtis Minder來說,這些新的制裁措施意味著他將被迫拒絕更多尋求響應(yīng)和談判服務(wù)的勒索軟件受害者,否則有可能與財政部外國資產(chǎn)控制辦公室(OFAC)發(fā)布的越來越長的制裁清單發(fā)生沖突。

在過去兩年領(lǐng)導(dǎo)過數(shù)百場勒索軟件談判的Minder表示,與具體而清晰的OFAC制裁清單相反,針對俄羅斯的制裁范圍廣泛且模棱兩可,如果沒有適當(dāng)?shù)那閳蠛捅尘爸С?,通常很難遵守。

他解釋稱,“美國政府正以越來越快的速度制裁俄羅斯境內(nèi)的實體。因此,即便有了OFAC名單,我們?nèi)匀恍枰柚镜耐獠壳閳蠛惋L(fēng)險數(shù)據(jù)(除了制裁名單之外)來了解受害者是直接向受制裁實體付款,還是通過與受制裁的團(tuán)體或地區(qū)有關(guān)的聯(lián)盟計劃(Affiliateprogram)。”

這些制裁中的大部分是白宮打擊勒索軟件舉措——通過破壞勒索軟件團(tuán)伙、增強(qiáng)彈性、增加通過加密貨幣進(jìn)行洗錢的困難度,以及解決像俄羅斯這樣的網(wǎng)絡(luò)犯罪安全港——的延伸。

政策收緊對勒索軟件支付的制裁

自從俄羅斯對烏克蘭發(fā)動戰(zhàn)爭以來,向俄羅斯實體支付贖金已成為一個政治熱點(diǎn),美國財政部長Janet Yellen也不禁感嘆勒索軟件犯罪分子如何在俄羅斯逍遙法外。財政部的新聞稿還宣布,向制裁關(guān)系中的實體支付勒索軟件費(fèi)用是對美國國家安全的威脅。

負(fù)責(zé)領(lǐng)導(dǎo)網(wǎng)絡(luò)犯罪調(diào)查數(shù)十年的前FBI官員Scott Augenbaum表示,“14年前,也就是2008年,在俄羅斯的FBI特工偵察到普京政府是俄羅斯大多數(shù)網(wǎng)絡(luò)攻擊的幕后支持者?,F(xiàn)在,由于這成了個政治問題,我們就宣布制裁,我們懲罰的實際上是受害者!這太荒謬了,支付贖金不應(yīng)該作為一個政治問題,因為當(dāng)它進(jìn)入到贖金談判階段時,受害企業(yè)早已處于下風(fēng),除了支付贖金,幾乎沒有其他出路?!?/p>

在最近的一篇博文中,Benesch律師事務(wù)所數(shù)據(jù)保護(hù)小組合伙人Luke Schaetzel描述了在支付贖金時如何故意違反這些制裁措施,每次違規(guī)會導(dǎo)致最高100萬美元的罰款和/或最高20年的監(jiān)禁。加重處罰的因素包括故意或魯莽違法、隱瞞付款、管理層參與以及未事先通知并與OFAC合作等。

Schaetzel補(bǔ)充道,雖然尚未有任何企業(yè)因違反這些制裁措施支付贖金而遭受指控,但一旦企業(yè)違反這些制裁措施,即便自身并不知情,也可能會受到嚴(yán)重的民事和刑事處罰。

OFAC的制裁列表非常具體,包括勒索軟件名稱、相關(guān)URL和暗網(wǎng)地址、個人、服務(wù)器IP地址以及電子郵件地址等。Schaetzel認(rèn)為,對國家的制裁(特別是在戰(zhàn)爭時期)影響范圍更廣,支付贖金也會變得更加復(fù)雜。他解釋稱,“這些戰(zhàn)時制裁適用于俄羅斯的大批官員、銀行和國有實體。向或通過俄羅斯銀行及其他官員資助的任何團(tuán)體支付贖金也可能違反制裁法。因此,如果你懷疑受制裁的俄羅斯實體參與或可能參與,請不要支付贖金?!?/p>

制裁名單過時

Schaetzel指出,以俄羅斯頂級勒索軟件組織之一Conti為例,它在戰(zhàn)爭開始時曾威脅要攻擊任何試圖入侵俄羅斯資產(chǎn)的行為者的關(guān)鍵基礎(chǔ)設(shè)施。Conti就是可能不直接在制裁名單上但仍因隸屬關(guān)系而受到制裁的附屬組織。Conti是由俄羅斯犯罪集團(tuán)Wizard Spider創(chuàng)建的Ryuk勒索軟件的產(chǎn)物,該犯罪集團(tuán)也受到制裁并支持TrickBot僵尸網(wǎng)絡(luò)。因此,向這些實體中的任何一個或通過這些實體付款都將違反制裁。

這就出現(xiàn)了問題。OFAC名單上列出的許多俄羅斯犯罪組織已經(jīng)關(guān)閉并改頭換面重新運(yùn)營,這意味著該名單本身已經(jīng)過時。正因為如此,攻擊者根本不關(guān)心這些制裁措施,制裁本身對受害者的傷害可能遠(yuǎn)比對罪犯的傷害更大。

Mott補(bǔ)充道,“OFAC根本沒有足夠的人力來跟蹤所有比特幣交易,以查看它們是否被支付給受制裁的實體或國家。而且,制裁名單上的那些比特幣地址現(xiàn)在已經(jīng)過時了。勒索軟件運(yùn)營商可以在一夜之間關(guān)閉并以新名稱重新運(yùn)營,但一個實體需要大約一年的時間才能進(jìn)入OFAC制裁名單。”

一個例子是REvil,在FBI引渡和逮捕其關(guān)鍵運(yùn)營人員后,它在1月份關(guān)閉了業(yè)務(wù)?,F(xiàn)在,REvil似乎以RuTOR的名字重新出現(xiàn)在俄羅斯暗網(wǎng)市場中;另一個例子是Conti,在其運(yùn)營商威脅要通過反擊保衛(wèi)俄羅斯后,該組織開始更名并多元化為多個衍生組織。

在勒索軟件攻擊之前做好準(zhǔn)備

Mott認(rèn)為,在處理勒索軟件感染時,通過與當(dāng)?shù)谾BI網(wǎng)絡(luò)現(xiàn)場辦公室建立預(yù)先關(guān)系來了解向誰報告是至關(guān)重要的。

他回憶稱,在2019年擔(dān)任FBI反間諜小組負(fù)責(zé)人的一次任務(wù)中,他辦公室的一名特工致電當(dāng)?shù)匾患移髽I(yè)的CIO,并告知其網(wǎng)絡(luò)上存在未激活的俄羅斯勒索軟件。為了驗證這一說法,該CIO打電話給Mott進(jìn)行確認(rèn)。做出肯定答復(fù)后,Mott又告訴其應(yīng)該采取的補(bǔ)救措施。不過,該CIO仍然不相信他們。在時間過去兩天仍未得到CIO的回應(yīng)后,F(xiàn)BI網(wǎng)絡(luò)小組主管與CIO分享了他們系統(tǒng)上的文件名、位置以及刪除方式。然后該CIO向負(fù)責(zé)外地辦事處的特工發(fā)送電子郵件以獲取額外的驗證,結(jié)果,勒索軟件運(yùn)營者看到了那封電子郵件并立即加密了其公司的數(shù)據(jù)。此事說明了預(yù)先了解FBI機(jī)構(gòu)的重要性。

CyberCurb公司管理合伙人Bob Seeman表示,如果受害者在不知情的情況下向或通過受制裁的實體和聯(lián)盟組織支付贖金,基于他們與當(dāng)局的關(guān)系也將減少責(zé)罰。如果在勒索軟件攻擊的重壓下,受害組織已與FBI取得聯(lián)系,則表明他們樂意與執(zhí)法部門合作。

他建議道,“提前制定可證明的合規(guī)計劃。如需幫助,你可以求助于網(wǎng)絡(luò)保險公司,它們將幫助你聘請合適的風(fēng)險緩解人員、勒索軟件談判人員、律師事務(wù)所和取證調(diào)查員。一個合格的團(tuán)隊將檢查制裁名單并尋找該網(wǎng)絡(luò)攻擊者與受制裁實體有關(guān)聯(lián)的指標(biāo)。此外,一定要立即通知執(zhí)法部門有關(guān)任何勒索軟件攻擊行為,尤其是FBI,它是處理勒索軟件的最高機(jī)構(gòu)?!?/p>

總之,受害者和執(zhí)法部門需要共同努力,共享情報。例如,Mott建議與FBI共享受影響設(shè)備的策略、技術(shù)和程序(TTP)以及內(nèi)存捕獲,他們可以使用這些信息來構(gòu)建配置文件。如果支付了贖金,那么用于解鎖勒索軟件的數(shù)字密鑰也是可以提供給FBI的關(guān)鍵情報。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的“停止勒索軟件計劃”網(wǎng)站提醒稱,在準(zhǔn)備上報時,受害者要謹(jǐn)慎保存具有高度易失性或備份有限的證據(jù),以防止丟失或篡改(例如系統(tǒng)內(nèi)存、Windows安全日志或防火墻日志緩沖區(qū)中的數(shù)據(jù))。FBI還建議受害者在支付贖金前,先檢查該局是否有解密密鑰,以解鎖特定的勒索軟件家族。

FBI發(fā)言人表示,“FBI將繼續(xù)與政府和行業(yè)合作伙伴共同努力,以阻止、識別和遏制此類惡意活動。我們強(qiáng)烈鼓勵公司的網(wǎng)絡(luò)防御者查看我們最近發(fā)布的幾項網(wǎng)絡(luò)安全公告(CSA)。這些CSA是FBI與合作伙伴快速共享的新型攻擊信息——例如特定的俄羅斯惡意軟件簽名、妥協(xié)指標(biāo)以及他們的戰(zhàn)術(shù)變化——的方式之一?!?/p>

專注于勒索軟件防御

考慮到向俄羅斯和其他受制裁實體支付贖金所產(chǎn)生的法律責(zé)任,防御勒索軟件攻擊對于企業(yè)CISO來說變得更加重要。Augenbaum表示,研究表明,脆弱的RDP憑證(保護(hù)起來并不復(fù)雜)是主要的感染媒介,其他因素還包括過度許可/共享管理員權(quán)限、缺乏應(yīng)用程序白名單以及缺乏對系統(tǒng)和網(wǎng)絡(luò)的可見性。企業(yè)組織可以從這些基礎(chǔ)開始部署防護(hù)措施。

Augenbaum補(bǔ)充道,“沒有人期望成為受害者,僥幸心理是企業(yè)在準(zhǔn)備方面犯的最大錯誤。另一個錯誤是期望FBI使用加密密鑰和解決方案來幫助他們解鎖數(shù)據(jù)。企業(yè)可以控制的只是他們自己的漏洞,并利用工具和最佳實踐來防止勒索軟件感染。”

立即登錄,閱讀全文
原文鏈接:點(diǎn)擊前往 >
文章來源:企業(yè)網(wǎng)D1Net
版權(quán)說明:本文內(nèi)容來自于企業(yè)網(wǎng)D1Net,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
掃碼關(guān)注
獲取更多出海資訊的相關(guān)信息
優(yōu)質(zhì)服務(wù)商推薦
更多