“必须终结”:美国政府敦促采取新措施,勒索软件支付助长网络攻击无休止循环

Fri, 18 Oct 2024 15:37:17 GMT

美国官员正在寻求应对勒索软件威胁的方法,尤其是在2024年可能成为有记录以来最糟糕的一年之际。美国副国家安全顾问安·纽伯格在最近的《金融时报》专栏中写道,保险政策——尤其是那些涵盖勒索软件支付报销的政策——正在助长它们试图缓解的犯罪生态系统。她主张,作为承保条件,应实施更严格的网络安全要求,以遏制勒索支付。

随着美国政府急于寻找破坏勒索软件网络的方法,网络安全保险被视为改革的关键领域。根据国家情报总监办公室的最新报告,到2024年年中,已有超过2300起事件被记录,近半数针对美国组织,暗示2024年可能超过2023年全球记录的4506次攻击。

尽管政策制定者审查保险实践并探索更广泛的措施来破坏勒索软件操作,但企业仍需面对被攻击时的直接问题:是支付赎金并可能激励未来攻击,还是拒绝并冒进一步损害的风险。

对于许多组织来说,决定是否支付赎金是一个艰难而紧迫的决定。IT服务公司Neovera的安全副总裁保罗·安德伍德表示,2024年他参加了FBI的简报会,FBI继续建议不要支付赎金,但他们也理解这是一个商业决策,企业在做出决定时会考虑更多因素。

FBI拒绝置评。网络安全专家布莱恩·霍恩格表示,这里没有黑白之分,决定是否考虑支付赎金涉及许多因素。恢复运营的紧迫性可能迫使企业做出他们未准备好的决定,对增加损害的恐惧也是如此。

除了运营停机时间,敏感数据的潜在暴露——尤其是涉及客户、员工或合作伙伴时——会加剧恐惧和紧迫感。组织不仅面临即时声誉损害的可能性,还可能面临受影响个人的集体诉讼,诉讼和和解费用在某些情况下远超赎金要求,迫使公司支付以遏制后果。

一个显著的例子是Lehigh Valley Health Network。2023年,这家宾夕法尼亚州的医院拒绝了ALPHV/BlackCat团伙500万美元的赎金要求,导致数据泄露,最终面临集体诉讼。 根据暗网泄露的数据,涉及13.4万名患者,其中包括约600名乳腺癌患者的裸照。这一事件后果严重,导致集体诉讼,指控称“尽管LVHN公开自夸对抗黑客并拒绝支付赎金,但他们却在有意无意地忽视真正的受害者。”LVHN同意以6500万美元和解此案。同样,背景调查巨头National Public Data也面临多起集体诉讼,以及超过20个州指控其侵犯公民权利并可能面临联邦贸易委员会的罚款,因黑客于四月将NPD的27亿条记录数据库发布在暗网。数据包括2.72亿个社会安全号码,以及在世和已故个人的全名、地址、电话号码等其他个人信息。黑客团体据称要求支付赎金以归还被盗数据,但NPD是否支付尚不明确。

然而,明确的是NPD并未立即报告此事件。因此,其缓慢且不完整的应对措施——尤其是未能为受害者提供身份盗窃保护——导致了一系列法律问题,最终使其母公司Jerico Pictures于10月2日申请第11章破产保护。NPD未回应评论请求。BlackFog网络安全公司创始人Darren Williams坚决反对支付赎金。他认为,支付只会鼓励更多攻击,一旦敏感数据被窃取,“便永远失去”。

即便公司选择支付赎金,数据安全也无法保证。UnitedHealth Group子公司Change Healthcare在2023年4月遭ALPHV/BlackCat勒索团伙攻击后,尽管支付了2200万美元赎金以防止数据泄露并迅速恢复运营,但另一黑客组织RansomHub因不满ALPHV/BlackCat未向其附属机构分发赎金,获取了被盗数据并向Change Healthcare再次索要赎金。Change Healthcare未报告是否支付,但被盗数据最终在暗网泄露,表明其要求很可能未被满足。

考虑到许多网络犯罪分子与美国地缘政治敌人的关联,支付赎金可能资助敌对组织甚至违反制裁,这使得决策更加棘手。例如,据Comparitech的勒索软件综述,LoanDepot在1月遭ALPHV/BlackCat攻击时,拒绝支付600万美元赎金,选择承担预计1200万至1700万美元的恢复成本,主要担忧在于资助可能与地缘政治有关的犯罪集团。此次攻击影响了约1700万客户,使其无法访问账户或进行支付,最终客户仍对LoanDepot提起集体诉讼,指控其疏忽和违反合同。

Axio网络安全专家Richard Caralli表示,监管审查为决策过程增添了另一层复杂性。一方面,新实施的SEC报告要求,强制披露重大网络安全事件、赎金支付及恢复努力,可能使公司因惧怕法律行动、声誉损害或股东反对而不愿支付。另一方面,一些公司仍可能选择支付以优先快速恢复,即便这意味着日后面对这些后果。“SEC报告要求无疑影响了组织的应对方式,”Caralli说,“但每个组织都必须权衡其特定情况下的利弊。” 卡拉利说:“解决勒索软件问题。”“仅仅承受勒索软件的后果就很难与客户、业务伙伴和其他利益相关者沟通,因为组织必须暴露自己的弱点和准备不足。”随着《关键基础设施网络事件报告法案》的通过,预计将于2025年10月左右生效,许多非SEC监管的组织很快将面临类似的困境。根据这一规定,关键基础设施部门的公司——通常是中小型实体——将有义务披露任何勒索软件支付情况,这进一步加剧了应对这些攻击的挑战。

随着网络防御的快速提升,网络犯罪分子也在迅速适应。“培训、意识、防御技术和不支付都有助于减少攻击。然而,更高级的黑客很可能会找到其他方式来破坏业务,”安德伍德说。

网络勒索专家Coveware最近的一份报告强调了勒索软件模式的显著转变。虽然不是全新的策略,但黑客越来越多地依赖仅数据外泄攻击。这意味着敏感信息被窃取但未加密,受害者仍可访问其系统。这是对公司已提高备份能力和更好地准备从基于加密的勒索软件中恢复的回应。赎金要求不是为了恢复加密文件,而是为了防止被盗数据被公开发布或出售在暗网上。

据Coveware称,在ALPHV/BlackCat和Lockbit崩溃后,出现了由独狼行为者和新兴犯罪集团发起的新攻击。这两个勒索软件团伙是最多产的,据信LockBit应对近2300次攻击负责,ALPHV/BlackCat超过1000次,其中75%在美国。BlackCat在从Change Healthcare攻击中窃取了其附属机构应得的赎金后,执行了计划退出。Lockbit在一次国际执法行动中被关闭,该行动没收了其平台、黑客工具、加密货币账户和源代码。然而,尽管这些行动已被破坏,勒索软件基础设施迅速以新名称重建和重新命名。

“勒索软件是进入门槛最低的犯罪之一,”BlackFog的威廉姆斯说。“其他形式的犯罪带有重大风险,如监禁和死亡。现在,能够在暗网上购物并利用一些最成功团伙的工具只需支付少量费用,风险与回报的比率相当高。”

网络安全专家普遍认同的一点是,预防是最终解决方案。作为基准,Hornung建议企业将其总收入的1%到3%用于网络安全,处理高度敏感数据的医疗保健和金融服务等行业应处于这一范围的高端。“否则,你将陷入困境,”他说。“在我们能让企业做正确的事情来保护、检测和应对这些事件之前,公司将被黑客攻击,我们将不得不应对这一挑战。”

此外,主动措施如端点检测——一种在你的计算机上不断寻找异常或可疑活动迹象并提醒你的“安全卫士”——或响应和勒索软件回滚,一种备份功能,如果黑客锁定了你的系统,它会启动并撤销损害,让你恢复文件,可以在攻击发生时最小化损害,安德伍德说。一个完善的计划可以帮助确保支付赎金是最后手段,而不是首选。

“组织往往对勒索软件入侵感到恐慌并做出膝跳反应,”卡拉利说。为了避免这种情况,他强调了制定计划的重要性。 制定一份事件响应计划,明确在勒索软件攻击期间采取的具体行动,包括可靠的数据备份和定期演练,以确保在实际场景中恢复流程的有效性。Hornung表示,勒索软件攻击及其带来的支付压力将持续高企。“预防总是比治疗更经济,”他说,“但企业们却在打盹。”风险不仅限于大型企业。“我们与许多中小型企业合作,我告诉他们,‘你们并非因为太小而不会被黑客攻击,只是因为太小而不值得上新闻。’”Underwood指出,如果没有组织支付赎金,勒索软件攻击的经济利益将会减少。但他补充说,这并不会阻止黑客。“可以说,更多不支付赎金的组织可能会导致攻击者停止尝试,或者可能转向其他方法,如窃取数据、寻找有价值的资产并将其出售给感兴趣的各方,”他说,“一个受挫的黑客可能会放弃,或者他们会尝试替代方法。他们大多处于攻势。”

原文链接:https://www.cnbc.com/2024/10/18/that-must-end-government-urges-new-thinking-on-ransomware-payments.html