俄烏戰(zhàn)爭(zhēng)使勒索軟件支付變得更加困難

俄烏戰(zhàn)爭(zhēng)爆發(fā)后，針對(duì)俄羅斯網(wǎng)絡(luò)犯罪活動(dòng)的制裁層出不窮。去年7月，歐盟首次針對(duì)俄羅斯企業(yè)實(shí)施網(wǎng)絡(luò)犯罪相關(guān)制裁；今年4月份，來自“五眼聯(lián)盟”的8個(gè)網(wǎng)絡(luò)安全當(dāng)局聯(lián)合發(fā)布安全公告，要求制裁俄羅斯網(wǎng)絡(luò)犯罪活動(dòng)，并敦促各組織為潛在的網(wǎng)絡(luò)威脅做好準(zhǔn)備;同月，美國(guó)財(cái)務(wù)部宣布對(duì)俄羅斯(包括國(guó)家黑客在內(nèi)的)惡意活動(dòng)、暗網(wǎng)市場(chǎng)以及加密貨幣交易平臺(tái)實(shí)施制裁，并發(fā)布了具體的制裁名單。

另一方面，根據(jù)Chainanalysis進(jìn)行的一項(xiàng)研究顯示，去年，在俄烏戰(zhàn)爭(zhēng)爆發(fā)之前，近75%用于勒索軟件支付的加密貨幣流向了俄羅斯。試想一下，既然現(xiàn)在俄羅斯已經(jīng)成為一個(gè)受制裁的國(guó)家，那么支付這些贖金勢(shì)必會(huì)面臨法律后果。

對(duì)于數(shù)字風(fēng)險(xiǎn)保護(hù)公司GroupSense的首席執(zhí)行官Kurtis Minder來說，這些新的制裁措施意味著他將被迫拒絕更多尋求響應(yīng)和談判服務(wù)的勒索軟件受害者，否則有可能與財(cái)政部外國(guó)資產(chǎn)控制辦公室(OFAC)發(fā)布的越來越長(zhǎng)的制裁清單發(fā)生沖突。

在過去兩年領(lǐng)導(dǎo)過數(shù)百場(chǎng)勒索軟件談判的Minder表示，與具體而清晰的OFAC制裁清單相反，針對(duì)俄羅斯的制裁范圍廣泛且模棱兩可，如果沒有適當(dāng)?shù)那閳?bào)和背景支持，通常很難遵守。

他解釋稱，“美國(guó)政府正以越來越快的速度制裁俄羅斯境內(nèi)的實(shí)體。因此，即便有了OFAC名單，我們?nèi)匀恍枰柚镜耐獠壳閳?bào)和風(fēng)險(xiǎn)數(shù)據(jù)(除了制裁名單之外)來了解受害者是直接向受制裁實(shí)體付款，還是通過與受制裁的團(tuán)體或地區(qū)有關(guān)的聯(lián)盟計(jì)劃(Affiliateprogram)?！?/p>

這些制裁中的大部分是白宮打擊勒索軟件舉措——通過破壞勒索軟件團(tuán)伙、增強(qiáng)彈性、增加通過加密貨幣進(jìn)行洗錢的困難度，以及解決像俄羅斯這樣的網(wǎng)絡(luò)犯罪安全港——的延伸。

政策收緊對(duì)勒索軟件支付的制裁

自從俄羅斯對(duì)烏克蘭發(fā)動(dòng)戰(zhàn)爭(zhēng)以來，向俄羅斯實(shí)體支付贖金已成為一個(gè)政治熱點(diǎn)，美國(guó)財(cái)政部長(zhǎng)Janet Yellen也不禁感嘆勒索軟件犯罪分子如何在俄羅斯逍遙法外。財(cái)政部的新聞稿還宣布，向制裁關(guān)系中的實(shí)體支付勒索軟件費(fèi)用是對(duì)美國(guó)國(guó)家安全的威脅。

負(fù)責(zé)領(lǐng)導(dǎo)網(wǎng)絡(luò)犯罪調(diào)查數(shù)十年的前FBI官員Scott Augenbaum表示，“14年前，也就是2008年，在俄羅斯的FBI特工偵察到普京政府是俄羅斯大多數(shù)網(wǎng)絡(luò)攻擊的幕后支持者?，F(xiàn)在，由于這成了個(gè)政治問題，我們就宣布制裁，我們懲罰的實(shí)際上是受害者!這太荒謬了，支付贖金不應(yīng)該作為一個(gè)政治問題，因?yàn)楫?dāng)它進(jìn)入到贖金談判階段時(shí)，受害企業(yè)早已處于下風(fēng)，除了支付贖金，幾乎沒有其他出路。”

在最近的一篇博文中，Benesch律師事務(wù)所數(shù)據(jù)保護(hù)小組合伙人Luke Schaetzel描述了在支付贖金時(shí)如何故意違反這些制裁措施，每次違規(guī)會(huì)導(dǎo)致最高100萬美元的罰款和/或最高20年的監(jiān)禁。加重處罰的因素包括故意或魯莽違法、隱瞞付款、管理層參與以及未事先通知并與OFAC合作等。

Schaetzel補(bǔ)充道，雖然尚未有任何企業(yè)因違反這些制裁措施支付贖金而遭受指控，但一旦企業(yè)違反這些制裁措施，即便自身并不知情，也可能會(huì)受到嚴(yán)重的民事和刑事處罰。

OFAC的制裁列表非常具體，包括勒索軟件名稱、相關(guān)URL和暗網(wǎng)地址、個(gè)人、服務(wù)器IP地址以及電子郵件地址等。Schaetzel認(rèn)為，對(duì)國(guó)家的制裁(特別是在戰(zhàn)爭(zhēng)時(shí)期)影響范圍更廣，支付贖金也會(huì)變得更加復(fù)雜。他解釋稱，“這些戰(zhàn)時(shí)制裁適用于俄羅斯的大批官員、銀行和國(guó)有實(shí)體。向或通過俄羅斯銀行及其他官員資助的任何團(tuán)體支付贖金也可能違反制裁法。因此，如果你懷疑受制裁的俄羅斯實(shí)體參與或可能參與，請(qǐng)不要支付贖金?！?/p>

制裁名單過時(shí)

Schaetzel指出，以俄羅斯頂級(jí)勒索軟件組織之一Conti為例，它在戰(zhàn)爭(zhēng)開始時(shí)曾威脅要攻擊任何試圖入侵俄羅斯資產(chǎn)的行為者的關(guān)鍵基礎(chǔ)設(shè)施。Conti就是可能不直接在制裁名單上但仍因隸屬關(guān)系而受到制裁的附屬組織。Conti是由俄羅斯犯罪集團(tuán)Wizard Spider創(chuàng)建的Ryuk勒索軟件的產(chǎn)物，該犯罪集團(tuán)也受到制裁并支持TrickBot僵尸網(wǎng)絡(luò)。因此，向這些實(shí)體中的任何一個(gè)或通過這些實(shí)體付款都將違反制裁。

這就出現(xiàn)了問題。OFAC名單上列出的許多俄羅斯犯罪組織已經(jīng)關(guān)閉并改頭換面重新運(yùn)營(yíng)，這意味著該名單本身已經(jīng)過時(shí)。正因?yàn)槿绱?，攻擊者根本不關(guān)心這些制裁措施，制裁本身對(duì)受害者的傷害可能遠(yuǎn)比對(duì)罪犯的傷害更大。

Mott補(bǔ)充道，“OFAC根本沒有足夠的人力來跟蹤所有比特幣交易，以查看它們是否被支付給受制裁的實(shí)體或國(guó)家。而且，制裁名單上的那些比特幣地址現(xiàn)在已經(jīng)過時(shí)了。勒索軟件運(yùn)營(yíng)商可以在一夜之間關(guān)閉并以新名稱重新運(yùn)營(yíng)，但一個(gè)實(shí)體需要大約一年的時(shí)間才能進(jìn)入OFAC制裁名單?！?/p>

一個(gè)例子是REvil，在FBI引渡和逮捕其關(guān)鍵運(yùn)營(yíng)人員后，它在1月份關(guān)閉了業(yè)務(wù)?，F(xiàn)在，REvil似乎以RuTOR的名字重新出現(xiàn)在俄羅斯暗網(wǎng)市場(chǎng)中;另一個(gè)例子是Conti，在其運(yùn)營(yíng)商威脅要通過反擊保衛(wèi)俄羅斯后，該組織開始更名并多元化為多個(gè)衍生組織。

在勒索軟件攻擊之前做好準(zhǔn)備

Mott認(rèn)為，在處理勒索軟件感染時(shí)，通過與當(dāng)?shù)谾BI網(wǎng)絡(luò)現(xiàn)場(chǎng)辦公室建立預(yù)先關(guān)系來了解向誰報(bào)告是至關(guān)重要的。

他回憶稱，在2019年擔(dān)任FBI反間諜小組負(fù)責(zé)人的一次任務(wù)中，他辦公室的一名特工致電當(dāng)?shù)匾患移髽I(yè)的CIO，并告知其網(wǎng)絡(luò)上存在未激活的俄羅斯勒索軟件。為了驗(yàn)證這一說法，該CIO打電話給Mott進(jìn)行確認(rèn)。做出肯定答復(fù)后，Mott又告訴其應(yīng)該采取的補(bǔ)救措施。不過，該CIO仍然不相信他們。在時(shí)間過去兩天仍未得到CIO的回應(yīng)后，F(xiàn)BI網(wǎng)絡(luò)小組主管與CIO分享了他們系統(tǒng)上的文件名、位置以及刪除方式。然后該CIO向負(fù)責(zé)外地辦事處的特工發(fā)送電子郵件以獲取額外的驗(yàn)證，結(jié)果，勒索軟件運(yùn)營(yíng)者看到了那封電子郵件并立即加密了其公司的數(shù)據(jù)。此事說明了預(yù)先了解FBI機(jī)構(gòu)的重要性。

CyberCurb公司管理合伙人Bob Seeman表示，如果受害者在不知情的情況下向或通過受制裁的實(shí)體和聯(lián)盟組織支付贖金，基于他們與當(dāng)局的關(guān)系也將減少責(zé)罰。如果在勒索軟件攻擊的重壓下，受害組織已與FBI取得聯(lián)系，則表明他們樂意與執(zhí)法部門合作。

他建議道，“提前制定可證明的合規(guī)計(jì)劃。如需幫助，你可以求助于網(wǎng)絡(luò)保險(xiǎn)公司，它們將幫助你聘請(qǐng)合適的風(fēng)險(xiǎn)緩解人員、勒索軟件談判人員、律師事務(wù)所和取證調(diào)查員。一個(gè)合格的團(tuán)隊(duì)將檢查制裁名單并尋找該網(wǎng)絡(luò)攻擊者與受制裁實(shí)體有關(guān)聯(lián)的指標(biāo)。此外，一定要立即通知執(zhí)法部門有關(guān)任何勒索軟件攻擊行為，尤其是FBI，它是處理勒索軟件的最高機(jī)構(gòu)?！?/p>

總之，受害者和執(zhí)法部門需要共同努力，共享情報(bào)。例如，Mott建議與FBI共享受影響設(shè)備的策略、技術(shù)和程序(TTP)以及內(nèi)存捕獲，他們可以使用這些信息來構(gòu)建配置文件。如果支付了贖金，那么用于解鎖勒索軟件的數(shù)字密鑰也是可以提供給FBI的關(guān)鍵情報(bào)。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的“停止勒索軟件計(jì)劃”網(wǎng)站提醒稱，在準(zhǔn)備上報(bào)時(shí)，受害者要謹(jǐn)慎保存具有高度易失性或備份有限的證據(jù)，以防止丟失或篡改(例如系統(tǒng)內(nèi)存、Windows安全日志或防火墻日志緩沖區(qū)中的數(shù)據(jù))。FBI還建議受害者在支付贖金前，先檢查該局是否有解密密鑰，以解鎖特定的勒索軟件家族。

FBI發(fā)言人表示，“FBI將繼續(xù)與政府和行業(yè)合作伙伴共同努力，以阻止、識(shí)別和遏制此類惡意活動(dòng)。我們強(qiáng)烈鼓勵(lì)公司的網(wǎng)絡(luò)防御者查看我們最近發(fā)布的幾項(xiàng)網(wǎng)絡(luò)安全公告(CSA)。這些CSA是FBI與合作伙伴快速共享的新型攻擊信息——例如特定的俄羅斯惡意軟件簽名、妥協(xié)指標(biāo)以及他們的戰(zhàn)術(shù)變化——的方式之一。”

專注于勒索軟件防御

考慮到向俄羅斯和其他受制裁實(shí)體支付贖金所產(chǎn)生的法律責(zé)任，防御勒索軟件攻擊對(duì)于企業(yè)CISO來說變得更加重要。Augenbaum表示，研究表明，脆弱的RDP憑證(保護(hù)起來并不復(fù)雜)是主要的感染媒介，其他因素還包括過度許可/共享管理員權(quán)限、缺乏應(yīng)用程序白名單以及缺乏對(duì)系統(tǒng)和網(wǎng)絡(luò)的可見性。企業(yè)組織可以從這些基礎(chǔ)開始部署防護(hù)措施。

Augenbaum補(bǔ)充道，“沒有人期望成為受害者，僥幸心理是企業(yè)在準(zhǔn)備方面犯的最大錯(cuò)誤。另一個(gè)錯(cuò)誤是期望FBI使用加密密鑰和解決方案來幫助他們解鎖數(shù)據(jù)。企業(yè)可以控制的只是他們自己的漏洞，并利用工具和最佳實(shí)踐來防止勒索軟件感染?！?/p>