论文部分内容阅读
去年感恩节过后几天
库蒂斯·明德(KurtisMinder)收到了一条信息,发信人在纽约州北部运营的小型建筑工程公司遭到了黑客攻击。明德和他的安全公司GroupSense现在经常收到这类电话和电子邮件,其中不少都带着恐慌。某家酿酒厂、印刷厂或网页设计公司的员工早上上班后发现所有的电脑文档都被锁住,还会有一则通知要求他们用加密货币形式支付赎金以解锁这些文件。
有些通知写得咄咄逼人:“不要把我们当傻子,我们对你的了解比你对自己的了解还多。”有些则漫不经心:“哎呀,你的重要文件被加密了!”有些假装歉意:“我们很遗憾,你所有的文件均已被加密。”一些通知的措辞把勒索行为描述成合法的商业交易,就好像黑客帮助他们进行了一次安全审计:“先生们!你们的业务面临严重风险,贵公司的安全系统中有一个重大漏洞。”
这些通知中通常会包括一个链接,指向暗网的某个网站——所谓暗网,就是在互联网中需要特殊软件才能访问的区域,人们会在那里从事一些不可告人的事情。受害者打开该网站时,会有一个时钟跳出来,标明他们交赎金的时限。时钟开始滴答作响,就像动作片中连接炸弹的计时器,令人有种不祥的预感。网站上还有一个聊天窗口,可以与黑客对话。
过去一年中,勒索软件攻击的激增让这段时间的焦虑状况雪上加霜。12月,美国联邦网络安全和基础设施安全局的代理局长称,勒索软件“正在迅速上升为一种国家紧急状态”。黑客们攻击了疫苗制造商和研究实验室,医院无法得到化疗方案,学区取消了课程。那些还在匆忙适应全远程办公方式的公司又发现他们在黑客面前不堪一击。5月,勒索软件组织“黑暗面(DarkSide)”攻击了向东海岸大部分地区供应燃料的科洛尼尔管道(Colonial Pipeline)公司,迫使该公司关闭了网络。这次断网事件促使汽油价格升高并引发了一连串的恐慌性购买,也让人们关注到勒索软件令关键基础设施瘫痪的潜在可能。攻击发生一周后,科洛尼尔公司支付了440万美元的赎金并让系统重新上线,但是华盛顿特区80%的加油站仍然没有燃油供应。
联邦调查局(F.B.I.)劝告受害者不要与黑客谈判,理由是支付赎金会激励犯罪,这让受害者处于两难境地。“仅仅告诉一家医院不要支付赎金,这种做法让我感到难以置信,”非营利组织安全与技术研究所(Institute forSecurity and Technology )的首席执行官菲利普·莱纳(Philip Reiner)告诉我,“那你希望他们怎么做呢,干脆关门大吉让病人死掉吗?”不支付赎金的机构或许要花几个月的时间重建他们的系统;如果黑客袭击过程中盗取并泄露了客户数据,受害机构可能会被监管机构罚款。2018年,亚特兰大市政府没有支付约5万美元的赎金,结果,为了从攻击中恢复,他们在危机公关、数字取证和咨询等方面花了200多万美元。网络安全公司卡巴斯基(Kaspersky)的数据显示,在新闻报道过的每桩勒索软件案的背后,都有更多的中小型公司倾向于隐瞒遭到攻击的事实,而其中一多半的公司会付钱给黑客。
在过去的一年里,44岁的明德作为一名勒索软件谈判专家,一直在处理着受害公司与黑客之间的沟通工作,這是一个几年前还不存在的职业。如今共6位勒索软件谈判专家和他们常合作的保险公司一起,帮助受害者们在网络勒索的世界中找到方向。但也有人指责他们为付款给黑客提供了便利,是在教唆犯罪。不过,由于勒索软件越来越多,他们并不缺客户。温和而朴实、说着话经常自嘲地笑起来的明德意外成了专家。“跟你说话这会儿工夫,我又接到了两个电话。”3月份有一次我们视频聊天的时候他告诉我。
11月份跟他联系的那个男人解释说,这次攻击是一个名叫“REvil(邪恶)”的软件勒索黑客集团所为,公司的合同和建筑图纸都被锁上打不开了;这些文档一天不解锁,员工就一天无法工作。“他们竟然连一名负责IT的员工都没有。”明德说,“公司也没有购买网络安全保险。”那个人还说,他曾经联系过佛罗里达州的一家保证能帮他解开文档的公司,但对方已经不再回复他的电子邮件。他希望明德能跟黑客进行谈判,并拿到解密的密钥。“联系我的人都心烦意乱,”明德告诉我,“他们非常、非常不安。”
小时候,明德曾经去过父亲工作的地方
那是在伊利诺伊州中部的一家磨坊,他看着父亲扛起50磅重的面粉袋。在州政府工作的母亲则坐在有空调的办公室里喝咖啡。他不太明白她具体是做什么的,只知道看起来好像要经常打字。“我当时就想,不管那个打字的工作是什么,那就是我想干的。”明德告诉我。
90年代初大学毕业后,他在当地一家互联网服务公司找到了一份技术支持的工作。一年之内,他就被提升为助理系统管理员,密切关注服务器日志是他的职责之一。他开始注意到某个奇怪的模式,并最终意识到那是黑客入侵的证据。“他们会利用我们的路由器作为一个我们现在所谓的‘枢转点’,就是说他们攻击别人之前会先在我们这里跳转一下,让攻击看起来像是我们发出的,”他说,“那些攻击者通常都是些业余爱好者,他们的兴趣更多在于炫耀自己的技术而非造成真正的破坏。”明德发现,和他们斗智斗勇并且用技能打败他们能获得深深的满足感。
到那时,黑客们已经证明他们能够造成严重的破坏。1989年,世界各地的两万名公共卫生研究人员都收到了一张据称包括一个艾滋病资讯程序的软盘,但是那张软盘中还包含一个被视为首个勒索软件的恶意程序。用户重新启动电脑90次后,屏幕上出现了一个文本框,通知他们电脑里的文档已经被锁住,然后他们的打印机吐出一张赎金纸条,要求他们给巴拿马的一个邮政信箱寄去189美元。这个后来被称为“艾滋病木马”的恶意软件是由哈佛大学出身的进化生物学家约瑟夫·波普(Joseph Popp)制造的。波普被捕后行为变得越来越古怪,被判定为不宜出庭受审;后来,他在纽约州北部设立了一个蝴蝶保护区。 波普的策略——用私人密钥将文档加密并索要解锁费用——经常被现在的勒索软件团伙所应用。但黑客们最初更倾向于采用一种名为“恐吓软件(Scareware)”的方法,他们会用一种病毒感染计算机,中毒表现是屏幕上会不断弹出带有可怕信息的窗口:“安全警告,你的隐私和安全正处于危险之中!”这些弹窗会让用户购买某种杀毒软件来保护他们的系统。冒充软件公司的黑客随后就可以收到信用卡付款,但使用勒索软件的黑客不能接受信用卡交易。在2000年初期,勒索软件的黑客通常会要求受害者以礼品卡或预付借记卡的形式支付几百美元,拿到这些钱需要有中间商,而且大部分利润都被中间商抽走了。
随着2009年比特币的推出,这种情况也发生了变化。现在人们可以在不暴露身份的情况下接受数字付款,勒索软件也变得更加有利可图。2014年,明德在弗吉尼亚州的阿灵顿(Arlington)创立GroupSense时,每个人认知里的网络安全威胁就是数据泄露,也就是盗取诸如银行账户信息或社会安全号码等消费者数据的行为。明德雇用了会说俄语、乌克兰语和乌尔都语的分析师,他们冒充网络犯罪分子,潜伏在暗网的交易市场上,观察着有谁在出售从企业网络中窃取的信息。但是,随着安全系统的不断升级,数据泄露也变得更加困难,转而使用勒索软件的网络犯罪分子越来越多。据联邦调查局估计,到2015年,美国境内每天会发生1000起勒索软件黑客攻击,次年,这个数字翻了4倍。网络安全保险公司Resilience的理赔负责人迈克· 菲利普斯(Mike Phillips)告诉我:“现在首当其冲的只有勒索软件,其他类型的攻击都差得很远。”
大多数勒索软件攻击的背后都有犯罪集团操纵。线上互动时,他们兼具青少年的姿态与专业人员的特质:他们对视频游戏里的词语和“邪恶”一词情有独钟,但也采用了一种日益复杂的商业结构。规模较大的团伙建立了客服中心以帮助受害者一步步完成支付加密货币的复杂流程,并承诺给及时付款的人打折。包括REvil在内的一些勒索软件集团采用加盟模式,他们为黑客提供部署攻击的工具,并收取利润抽成。(REvil还代表其加盟机构进行赎金谈判。)“这种模式实施起来太容易了,”安全与技术研究所的莱纳告诉我,“你或者我都能做——就是业务出租,整个过程已经商品化到了不可思议的程度。”
为了侵入一家公司的计算机,黑客们会使出各种技术手段,比如在电子邮件的附件中嵌入恶意程序,或者用偷来的密码登入员工用于连接公司网络的远程桌面。许多黑客集团的总部都设在俄罗斯或其它前苏联共和国,有时他们的恶意软件中会包含代码,可以停止攻击语言被设置为俄语、白俄罗斯语或乌克兰语的计算机。一些黑客集团雇用了现任或退伍军人,但他们似乎更关心金钱,而不是地缘政治阴谋。“我们对政治不感兴趣,”一名自称是REvil集团代表的男子在接受一位俄罗斯视频博主采访时说道,“完全不碰政治。我们不关心谁当总统。我们以前干活,现在干活,以后还是干活。”
菲利普斯告诉我:“支付赎金的时候,你会担心这笔钱会成为世界另一端暗网硅谷的风险投资。”这些勒索软件集团像正版硅谷一样,正在快速行动,打破陈规。2017年5月,黑客集团“想要哭(WannaCry)”通过未打补丁的旧版本微软视窗(Windows)操作系统攻击了30万台电脑。在英国,救护车只能绕开那些电脑系统受到影响的医院,一家雷诺汽车工厂甚至被迫暂时停产。不过,就在那次攻击发生3年后,REvil的代表认为这种漫无目标的方法是“一次非常愚蠢的试验”。“想要哭”的黑客们索要的赎金只有300到600美元,最后净赚了大约14万美元。
“想要哭”之后的勒索软件集团把目标集中在一些安全措施不力同时又无法容忍业务中断的行业,这样更有可能勒索成功,也更加有利可图——比如产业化农业、中等规模制造业、油田服务业和市级政府。犯罪集团还将实施破坏行为的时间定在最容易受害的时段:在8月学生即将返校前夕攻击学校;在报税期攻击会计师事务所。某些集团专门瞄准“大型猎物”,对财力雄厚的公司发动有针对性的攻击。利用哈迪斯(Hades)勒索软件进行攻击的黑客集团把目标限定在报告收入10亿美元之上的企业。另一个组织则为每一次攻击行动专门定制恶意软件。2019年,在欧洲执法机构“欧洲刑警组织(Europol)”举办的一次网络研讨会上,一位安全专家提到:加密货币门罗币(Monero)基本上是无法追踪的。不久之后,REvil开始要求使用门罗币取代比特币支付赎金。
如果有公司不太愿意谈判,高管们就会收到威胁的电话和领英(LinkedIn)私信。去年,金巴利集團(Campari Group)发布了一份新闻稿,淡化了近期遭到勒索软件攻击的严重性。作为回应,黑客们在Facebook上发起了广告活动,利用他们也曾攻击过的某个芝加哥流行音乐节目主持人的个人资料羞辱了金巴利集团这一饮品业巨头。“这很荒唐,而且看起来像是一个巨大的谎言,”他们写道,“我们可以确认有机密数据被盗,而且我们说的是海量数据。”去年,南美某个家庭用品连锁店的打印机突然打不出收据,而是打出了索要赎金的通知。
最近,黑客集团在他们的操作手册中加入了敲诈一项。他们在给系统加密之前先抽取机密文件,如果他们的赎金要求得不到满足,他们会威胁向媒体公布敏感数据或在黑市上拍卖。黑客们曾威胁要公布一位高管的色情收藏品并把拒不付款的受害者的信息分享给卖空投资者。“我见过一些社会工作机构被勒索软件的黑客威胁要曝光弱势儿童的信息。”菲利普斯说。
在勒索软件占据明德的生活之前
他已经习惯了按部就班地过日子。他步行上班,通常是最早到最晚走。回家路上他会找一家咖啡店进去喝杯酒,吃点沙拉。回到独自居住的公寓后,他会在书桌前工作,直到睡着。他的主要社交活动是当地的摩托车俱乐部,即华盛顿大都会宝马摩托车手俱乐部。
去年年初,GroupSense发现了黑客入侵一家大公司系统的迹象。明德向该公司发出了警告,但一台服务器已经被攻破。黑客向该公司发出了一份索要赎金的通知,威胁要把文件公之于众。那家公司问明德是否能够负责赎金谈判。起初,他并没有同意——“我从来没觉得自己有这个本事。”他说——但最终他还是被说服了。 为了争取时间,明德建议那家公司先确认收到了赎金通知。他开始学习谈判技巧,观看“大师开课(MasterClass)”的网络教程并阅读前人质谈判专家的书籍。他学到了还价时应该避免使用整数,因为会显得太随便,而且他不应该在没有给出正当理由的情况下妥协。在接下来的几周里,与那个黑客的对话逐渐展开之后,明德发现自己有谈判的天赋。那个黑客似乎和主要的勒索软件集团都没有关联,明德尽最大努力和他搭话,当黑客抱怨他为了侵入那个公司的系统投入了多少时间和精力时,明德称赞了他的技术:“我告诉他:‘你是个非常有才的黑客,所以我们愿意为此付给你钱,但我们给不出你要的数目。’”
这场谈判开始变得耗时耗力,和女友骑摩托车露营的途中,明德还在篝火旁抱着笔记本电脑用3G热点继续跟黑客对话,最终,那个黑客同意了一个那家公司的保险公司可以接受的价格。“如果你们再给我一点时间,我想我可以跟他把价钱谈到更低。”明德回忆自己当时是这么说的,但网络安全保险公司说:“这样已经足够好了。”
明德很快遇到了更多这类工作。有时是某家面临数百万美元勒索的著名公司,谈判耗时数周;有时是某个小企业,或者某个非营利组织,这种情况下他会义务帮忙并试图在周末搞定。但GroupSense很少通过谈判赚钱。有些勒索软件的谈判者会收取赎金折扣额的一部分作为酬劳。“但那些真正能赚到钱的方法很容易遭到欺诈,或者被指控为欺诈,”明德说。相反,他按小时收费,并希望他帮助的一些机构能够注册使用GroupSense的核心产品——安全监控软件。
去年三月,GroupSense的办公室关闭后,明德在他475平方英尺的公寓里踱着步子转圈。“我当时想,我需要去徒步。”他说。他把两辆摩托车拖到科罗拉多州大章克申(GreatJunction)一个租来的房子那里。世界分崩离析之时,勒索软件案件源源不断。明德自己处理谈判事宜,他不想让员工分心,而且他发现这项工作需要一定的情感技巧。“我们的大多数员工都非常偏技术型,但这不是一种技术技能,而是一种软技能,”他告诉我,“很难通过培训获得。”
最初的信息沟通至关重要。代表自己谈判的人倾向于斥责黑客,但那样做只会激怒对方。明德的目标是传达一种温暖而傲慢的态度——“就好像,我们是朋友,但其实你根本不知道你在做什么。”他解釋道。他的女朋友会说罗马尼亚语、俄语、乌克兰语和一些立陶宛语,并帮助他找到了能设定正确基调的口语说法。他喜欢把黑客们叫做kuznechik,这个俄语词汇的意思是“蚂蚱”。
偶尔,明德也会被叫去尝试挽救那些已经快要崩盘的谈判。如果黑客觉得谈判的进度太慢,或者感觉到对方跟自己撒了谎,他们可能会完全中断沟通。遵照曾在联邦调查局担任人质谈判专家,如今担任谈判顾问的克里斯·沃斯(Chris Voss )的建议,明德尝试通过模仿黑客的语言模式来建立一种“战术共鸣”。
大多数时候,明德会发现自己是在跟一个黑客集团的代表打交道。“第一个跟你对话的人相当于那种初级技术支持,”他说,“他们会说一些‘我很想和你合作,但我必须得到我经理的批准才能给你这个折扣’之类的话。”
GroupSense与区块链分析公司Cipher-Trace是合作伙伴,所以某个特定的数字货币钱包被创建之后明德可以看到,并能够追踪其交易。测定流入一个钱包的平均付款额可以让他了解现行汇率以避免支付过高的费用。他开始明白,那些勒索集团都是按照固定的话术流程操作。“很多时候,在谈判开始之前我们就能去告诉客户接着会发生什么。”他告诉我。
客户本身有时也不是省油的灯。明德与黑客进行所有通讯前都会先通过一个安全的门户网站询问客户的意见:有些人想要编辑发给黑客的每一条信息,“对他们来说,这就像一场间谍游戏。”明德说;其他人则在愤怒或挫败中爆发,“有时候你是同时在跟双方谈判——黑客方和受害者方,”他说。“你必须拥有一种既能与对方感同身受,又能用不对抗的方式给出指示的性格特征。”
明德已经看到,高压战术和赎金金额正在一发不可收拾。根据勒索软件救援服务商Coveware的数据显示,2018年,平均支付的赎金数额约为7000美元。在2019年,这个数字增长到4.1万美元。那一年,一个大型勒索软件集团宣布解散,他们在不到两年的时间里获得了20亿美元的赎金。“我们就是做了坏事也能逍遥法外的实证。”这个集团在告别信中写道。到2020年,支付的赎金平均已超过20万美元,一些网络安全保险公司开始退出市场。“我觉得那些保险公司并不真正了解他们所承担的风险,”莱纳告诉我,“2020年的数字真的很糟糕,但是到了2020年底,大家四下看了看之后都说,2021年会更糟糕。”
1971年,阿根廷某肉类加工厂的一名英国籍经理被一个游击小队抓走了
过了几周,他的雇主支付了2.5万美元的赎金之后,他被放了回来。第二年,一家电子公司为赎回一位被绑架的高管支付了两倍的赎金。1973年,中美洲的商人不断遭到绑架,他们的赎金也以惊人的速度增长。可口可乐(Coca-Cola)付了100万美元;柯达(Kodak)付了150万美元;英美烟草(British American Tobacco)付了170万美元;费尔斯通(Firestone )付了300万美元。一位首席执行官以230万美元的价格被赎回,两年后他再次遭到绑架时,赎金价格已经上升到1000万美元。随后,一家跨国食品加工集团的两位继承人胡安和豪尔赫·博恩(Juan and Jorge Born)被一群假扮成电话工和警察并用假路牌设套的匪徒抓走,最后把他们赎回花了6000万美元,外加分给穷人的价值100万美元的衣服和食物。在哥伦比亚工作的一位美国经理人古斯塔沃·柯蒂斯(Gustavo Curtis )在1976年被绑架前不久刚听他的雇主说过:“身为高管,一定程度上就意味着要承担被绑架的风险。” 在人类历史的大部分时间里,绑架大多属于地方性事件,在一定程度上都会遵循某种礼节并以互惠为前提。全球化、政局混乱与日益加剧的不平等颠覆了这些规范。在意大利,犯罪团伙既绑架有钱的外国人,也绑架农民的孩子,某一年有80个人被绑架以勒索赎金。约翰·保罗·盖蒂(John Paul Getty)拒绝为他遭绑架的孙子支付超出可扣税额度的赎金——据说这个额度是300万美元。
1932年林德伯格(Lindbergh)婴儿绑架谋杀案之后出现的“绑架勒索保险”业务量激增。1970年,该领域的市场规模约为15万美元,到1976年,已经达到7000万美元。大多数保单都是在世界主流的专业保险市场“伦敦劳合社(Lloyd’s of London)”签署的。很快,出现了向投保人提供防范绑架建议的风险分析师,提供现场保护的私人保安公司以及真的出了事之后接手处理的专业谈判人员。
1975年,英国特种部队的一些退役人员创建了“控制风险(Control Risks)”公司,旨在帮助保险业处理绑架问题。该公司的管理者以一种贵族式的谨慎态度开展工作。1977年,公司的两名创始人在哥伦比亚被捕——当时没人能确定这个新生的谈判行业是否合法——在10周的拘留期内,他们给自己的公司撰写了一份行为准则。(这两人后来被证明无罪。)
约有四分之三的财富500强公司最终会花钱购买绑架勒索保险,但对于这个给黑手党、恐怖组织和犯罪团伙输送资金并从中获利的行业,人们总是感到有些不舒服。“大家都觉得你们不应该赚太多钱。”1979年,控制风险公司的一位联合创始人告诉《泰晤士报》,“意大利、哥伦比亚和英国都已经禁止了绑架勒索保险。”
不过,伦敦国王学院(King ’s CollegeLondon )的政治经济学教授安雅· 肖特兰(Anja Shortland )告诉我,私有化的绑架中介机构正是建立它所谓的“赎金纪律”的关键。控制风险公司不仅进行赎金谈判,它还提供安全审计,先一步向公司提供防止员工被绑架的建议。保险公司给那些加强安全措施从而降低了绑架总体发生率的公司削减了保费数额,如果绑架确实发生了,熟练的谈判人员会防止赎金要求走向失控。如今,大约90%的绑架案都能得到解决,并且通常是通过支付赎金的方式解决,如果有专家参与,成功率会上升到97%。在那些禁止绑架保险的国家,谈判会秘密进行。
肖特兰的主要研究方向是犯罪经济学。“经济学中有很多情况是:让我们假设排除掉所有的复杂情况,这样我们就可以得到一个易处理的问题,”她告诉我,“而我只是直面了那些復杂情况。”为了更好地理解绑架勒索行业,她仔细研究了索马里的海盗和绑架市场,在那里她看到了私人保险公司、顾问和谈判者如何在这个通常被描述为毫无规矩的行业中培养出某种可预测性。就像一位谈判者告诉她的那样:“这些事都是有节奏、有规律的。”
肖特兰告诉我,这种基于相互信任的假设而形成的秩序性对各方都有利:绑架者得到了预期的回报率;被绑架者可以合理地期望他们能被完好无损地释放;危险地区的公司可以假设他们的员工不会遭到绑架,但如果他们真的被绑架了,也几乎肯定不会被杀害;而保险公司和顾问也可以收取各自的费用。
Coveware公司的联合创始人比尔·西格尔(Bill Siegel)告诉我,勒索软件的“冲击力”比绑架小,意思是说,不会有人给你寄来一只切掉的耳朵。但是,对一个经济学家来说,这些差异微乎其微。“他们正在创建的机构与当年绑架勒索群体创建的机构非常类似,”肖特兰说,“只不过他们晚了大约80年。”
由于勒索软件案明显没有放缓态势
明德培训了他手下的两名员工来处理谈判事宜,其中一位是迈克· 福勒(Mike Fowler),他曾是北卡罗来纳州的一名缉毒警。卧底工作教会了福勒如何扮演不同角色,他告诉我:“这是成为一名有效谈判者的重要能力。”
去年11月,福勒被指派担任那家建筑工程公司的谈判代表。当他登入暗网时注意到计时器显示谈判已经进行了3天。聊天框中一场对话正在进行。“这让我很震惊,”福勒说,“我看到的是一场完整的谈判,虽然谈得很差,但是很完整。”
代表工程公司聊天的一方持对抗且激进的态度,当黑客要求拿到20万美元来解锁公司的文件时,谈判者起初还价1万美元,然后迅速提高到1.4万美元,然后是2.5万美元。“这种沟通方式给勒索者传递的信息是:他们还有更多钱。”福勒说道。黑客们越来越不耐烦,“你们公布的年收入是400万美元,”他们写道,“我们不只想要这点小钱。”聊天的最后一条信息是两天前黑客们发来的:“你们准备好以6.5万美元的价格成交了吗?”
福勒和明德试图拼凑出到底发生了什么,客户坚持说他们从来没登入过暗网,更没有与黑客互动过。然后,福勒提醒明德,REvil集团的博客最近有一篇文章警告大家提防骗子中介,这些中介号称可以解密文件,但实际上他们会和黑客秘密谈判拿到解密文件,然后加价提供给受害方。当时明德还觉得,一个网络犯罪集团居然还发布防骗警告,这件事太逗了,但是现在客户承认他们联系过一家位于佛罗里达的公司“怪物云(MonsterCloud)”,该公司宣传自己是“世界领先的网络恐怖主义与勒索软件恢复专家”。“怪物云”在官网上鼓励受害者使用其清除勒索软件的服务,而不是支付赎金。这个推销理由对于工程公司的负责人来说或许很有说服力,“他们非常、非常爱国,”明德告诉我,“他们宁愿付钱给佛罗里达的一家软件公司”,也不愿向外国犯罪集团支付赎金,“这一点我毫不惊讶”。
明德很快了解到,REvil的黑客索要6.5万美元之后不久,“怪物云”的一名代表告诉该工程公司,他们能够以14.5万美元的价格恢复这些文件。(“怪物云”拒绝对本文发表评论。)
据独立调查机构ProPublica的一项调查显示:“怪物云”长期以来都在与黑客集团进行秘密谈判。ProPublica采访了一些过往的客户,这些客户都相信他们的文件是在没有支付赎金的情况下被解密的,尽管从相关勒索软件的情况来看这种结果是极不可能发生的;这些软件绝大多数都不可能被解密,除非代码中存在错误。只有少数几家总部设在美国的数据恢复公司似乎在遵循类似的商业模式,“怪物云”就是其中之一。这些公司声称能够使用高科技工具将文件解密,从而让他们的客户相信,不向犯罪集团支付赎金也可以解决勒索软件产生的问题——这种策略对于“怪物云”的一些公立机关客户如市政府或执法部门特别有吸引力。勒索软件团伙也承认,数据恢复公司能够成为一起赚钱的合作伙伴,有一个团伙还专门为这些公司提供了一个促销码。“怪物云”拒绝与ProPublica讨论他们的工作方法。“我们在阴影里干活,”公司首席执行官佐哈尔·平哈西(Zohar Pinhasi)告诉对方,“我们怎么做到的是我们的事,反正你的数据都能找回来,不如坐稳、放松、享受这个过程就行了。” 明德向他的客户说明了情况,那个人不禁破口大骂起來。由于谈判已经失败,明德几乎没有机会说服黑客同意一个更低的价格。客户让明德告诉黑客们“去死吧”,但明德说他“礼貌地拒绝了”。这家公司于是尝试从备份和旧邮件中找回一些文件。明德建议客户调查一下漏洞是如何产生的,但是他们似乎并不感兴趣。“他们说他们的IT人员自有见解。”
明德向联邦贸易委员会(Federal TradeCommission)举报了“怪物云”公司,但这件事仍让他耿耿于怀。“如果你在谷歌上搜索‘帮我摆脱勒索软件’或者‘如何回应勒索软件’,你搜出来的都是这些投机倒把或者伪造形象来欺诈别人的公司,”他说,“我只是觉得很恶心。”
去年10月,财政部海外资产控制办公室
(The TreasuryDepartm e n t ’ sOffice of ForeignAssets Control)发布了一份针对谈判人员、网络安全保险公司和事件应对小组的公告,警告他们或许会因为协同向犯罪分子付款而被罚款。
“他们这个做法很糟糕,”推特(Twitter)公司前任首席信息安全官迈克· 康维迪诺(Mike Convertino)告诉我,“也许他们确实感到挫败,但在我看来这样有点不负责任。我们面对现实吧,如果有一家价值20亿美元的公司,文件被锁住了,又没有妥善备份,那么他们唯一的出路也被剥夺了。所以,你刚刚摧毁了一个价值20亿美元的公司。”(该公告似乎起到了作用:在2020年最后一个季度,选择支付赎金的勒索软件受害者数量有所下降。)
为了应对,康维迪诺现在的雇主——网络安全保险公司Resilience加入了一个勒索软件工作组,该工作组隶属于安全与技术研究所,成员包括主要网络安全供应商、事件响应公司以及联邦调查局和国土安全部的代表。“不要搞错,我们的建议并不是关于如何消除勒索软件的威胁。”网络安全公司帕洛阿尔托网络(Palo Alto Networks )的副总裁约翰·戴维斯(John Davis)在一次线上活动中这样说,相反,他们的目标是让威胁降低到一个“可以更为有效地管理的水平”。这些建议要求受害者向当局报告支付赎金的情况,并设立一个基金以援助那些无法支付赎金的受害者。4月,司法部宣布正在组建自己的勒索软件工作组,以便在私营机构、其他联邦机构和国际合作伙伴之间进行协调。
与此同时,勒索软件集团一直在致力于维护他们的形象。曾经攻击过科洛尼尔管道公司网络系统的黑客集团“黑暗面”已经承诺不会攻击学校、医院、殡仪馆或非营利组织,他们只以大企业为目标。10月,“黑暗面”发布新闻稿宣布他们刚刚向两个慈善机构捐赠了1万美元的加密货币。“无论你们认为我们的做法有多恶劣,我们都很高兴知道,有人的生活在我们的帮助下得到了改善。”他们这样写道。但是导致关键基础设施停止运转的行为引起了更高级别的重视以及执法机关的大力打击。“黑暗面”对造成的破坏表示道歉,并且像一个受到谴责的科技公司一样,承诺会更加注重自我节制,以避免未来产生社会后果。几天后,该集团宣布其服务器已被关闭,比特币钱包也被清空,或许暗示了执法机关已经有所行动。REvil似乎也被负面公关吓到了,于是宣布将不再攻击政府、医疗和教育部门等目标。
肖特兰认为这种打造品牌的行为是一件好事。“如果这是一群完全不可靠的人,那我可能会感到绝望,”她告诉我,“但能够为品牌着想的人应该还会继续这样做。”黑客们关心他们的名誉,这是市场可控的迹象。这并不意味着勒索软件会消失——至少从刑事绑架案件的先例来看并不会。“总有一款绑架适合你”她说。