由經驗老道的談判專家出馬,幫助你深入探索企業組織是否有必要交付勒索軟體要求的贖金。
文/Lucian Constantin‧譯/Nica Liu
勒索軟體已成為企業組織過去幾年來所面對最具毀滅性的惡意軟體威脅之一,沒有任何跡象顯示攻擊者打算住手。因為對犯罪者而言,此舉有暴利可圖。勒索贖金已從數萬美元成長到數百萬,甚至千萬等級,因為攻擊者已體認到有許多企業組織願意乖乖支付贖金。
[ 下載 2020-21 CIO大調查報告,掌握企業資安部署新趨勢 ]
勒索軟體付款決策牽涉了諸多因素與影響層面,從資訊長與其他企業高階主管,到外部顧問與保險公司都在其中。然而不斷增加的勒索需求,卻造就了專門處理勒索軟體協商,與促成加密貨幣支付這些顧問與公司的市場。
遭到勒索軟體攻擊的後果是什麼?
在理想狀態下,一旦發現勒索軟體之後,應當會啟動企業內部演練完備的災難復原計畫;不幸的是許多企業組織都是猝不及防。雖然大型企業可能備有資訊安全事件應變團隊與處理網路攻擊的計畫,但處理勒索軟體特有的各種面向程序各有不同,包括資料洩漏的威脅、與客戶及監管單位的對外溝通,以及制定與威脅者協商的決策,這些細節往往都會被忽略掉。
威脅情報與勒索軟體協商服務公司GroupSense執行長 Kurtis Minder 指出,即便是事先預備了資訊安全事件應變規畫 (incident response, IR) 的大型上市公司,通常也沒有辦法涵蓋到勒索軟體相關領域所有細節。當進入解密協商程序,做出商業決策、誰應該參與談判等等眾多事項時,往往都沒有留下紀錄。大家可能找不到隻字片語或公關規畫等紀錄。在該公司曾參與的許多公司案例當中,這些過程都沒有留存下來,這是相當糟糕的事。
即便對已實施過安全應變規畫,也具有適切處理程序的企業而言,遇到勒索軟體時,仍會覺得茫然恐慌,提供勒索軟體應變服務的威脅情報公司Flashpoint中東與非洲地區 (EMEA) 副總裁 Ian Schenkel 如此表示。「我們其實不只處理勒索軟體解密檔案,與解密整體網路這個領域。最近引起我們注意的是第二項重點:歹徒會進一步試圖勒索更多錢,對企業表示『若你們不付贖金,我們就會對外洩露手中掌握你們的所有機密資訊。』」
[ ????推薦閱讀: 勒索軟體成為更針對性、更細膩、更高代價的最大威脅 ]
換句話說,隨著採取這種結合檔案加密與資料竊盜雙重敲詐技巧的勒索軟體集團愈來愈多,最終使得原本只是產生阻斷服務的勒索軟體攻擊,也轉變成為企業資料外洩危機 ─ 端視企業所在地理位置與被感染資料型態的各類監管單位職責而定。即便過去私人企業無須公開對外披露勒索軟體攻擊狀況,但隨著這種資料外洩的關鍵環節出現,企業已逐漸被逼到不得不公開的地步。
勒索軟體攻擊發生時,必須做出兩個關鍵且時間急迫的回應動作:
- 找出攻擊者如何進入,接著關閉系統漏洞,並且將攻擊出踢出網路。
- 瞭解你在處理的究竟是那個惡意軟體,意思是確認勒索軟體變體版本,將它與威脅者建立關聯並建立他們的可信度,尤其是當他們還提出資料竊盜的聲明時。
第一項回應動作需要成立「資訊安全事件應變團隊」,可能是由企業內部或外部人士組織 而成;但第二項回應動作可能就需依賴專門處理威脅情報的公司了。
部份大型企業會與專業威脅情報處理公司簽訂合作長約,但許多企業並未這麼做,結果在面臨勒索軟體攻擊時不知所措,最終浪費寶貴時間。在這種情況下,最好的處理方式,可能就是交給具有管理網路攻擊應變專業的外部諮詢顧問處理。國際法律公司Orrick表示,外部諮詢顧問接到的案子裡,有 75% 首先會進行如下資安應變程序:
- 通知執法機關。
- 雇用專業鑑識人員。
- 對企業組織領導層進行內部簡報。
- 給予小組全面調查的權力。
- 評估可能需要的外部通知。
- 協助受害企業聯繫保險公司,通知攻擊相關事件並獲得相關費用核可,其中包括了諮詢顧問、鑑識、危機處理與任何必要的一切措施,也包含若決定要支付的贖金。
誰能拍板決定是否支付贖金?
企業邀保險公司一同討論,應該是一開始就要做的事,因為保險公司會視合約條款決定預算高低,進而選擇資訊安全事件應變廠商與引進其他單位協助處理。而保險公司手上通常握有一份已核可廠商的清單。
不過,在決定是否支付贖金時,就Orrick律師的經驗來看,企業通常會自行決定,再聯絡保險公司瞭解他們是否核可這件事。在部份情況下,受影響企業可能決定無論保險公司是否核可勒索軟體支付款項,他們就是得要付贖金。因為攻擊的對營運的影響甚鉅,受害企業承擔不起拒絕付款的後果。這類企業通常會希望,之後能從保險公司理賠金裡拿回全部或部份款項。
決策制定程序通常會列入總顧問、資訊長與營運長的參與。總顧問一般是依合法性與風險等級來決定。資訊長及其團隊,則掌管備份程序,以及營運永續性或災難復原計畫。營運長則是依受影響資料對營運造成的衝擊程度來做出決定。舉例來說,資訊長可以確認備份存在,但受影響系統的數量甚鉅,將它們復原將耗費太長時間;而營運長會決定營運操作無法忍受這麼長的停機時間。最終這還是屬於營運決策,因此執行長通常也會積極參與,但多數情況下最終都得核准支付贖金,Orrick律師如此表示道。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
在核准支付勒索軟體贖金的款項前,保險公司通常會先詢問各種問題,像是備份狀態、備份是否在攻擊期間遭到毀損、是否有離線備份、有多少系統受影響,或是恢復資料需要多少時間。保險公司也可能調查威脅者,確認他們是否在美國財政部的制裁清單上,若答案是肯定的,保險公司可能拒付這筆款項,因為這些人被列在保險公司的例外條款裡。
在 2020 年 10 月,美國財政部的海外資產管制局 (OFAC) 發布警告,提醒企業組織若在支付勒索軟體贖金時違反制裁規定,會面臨民事處罰。不過,若保險公司拒絕處理勒索軟體的付款,很可能企業組織仍決定不顧一切這麼做以解救公司營運;但如此一來,受害企業要面臨的下一個難關,就是決定由哪間第三方支付公司協助付款。
勒索軟體付款是透過加密貨幣給付,而企業行號通常不會有加密錢包,與數百萬美元的加密貨幣閒置待用,因此必須仰賴擁有基礎架構的第三方進行此類支付。有鑒於OFAC的警告,若威脅集團名列於制裁清單上,這類第三方也可能拒絕支付。通常,專精於勒索軟體協商的公司,也會是代表受害企業的支付公司。
如何與駭客集團進行協商?
GroupSense公司的Minderi認為,在採用攻擊者提供的通訊方式與他們交涉前 ─ 通常是用某種加密電子郵件服務,對資訊安全事件應變團隊而言,最重要的就是確保攻擊事件已被隔離,且攻擊者已被踢出企業網路。
Minder表示:「試著想像,若正在與威脅者談判時,這些歹徒依舊能夠存取企業網路的糟糕情形。這些威脅者就有相當多籌碼可以對付我們。因此,企業內部馬上所能做的正確動作,就是確實與資訊安全事件應變團隊緊密合作,確認歹徒已被排除在外,不能再回來。」
Minder認為,第二步驟,便是取得資訊安全事件應變團隊所蒐集到所有有關此次攻擊相關的資訊,包括被感染的資料,還要確認威脅者現有基本資料與過去戰術。瞭解攻擊者過去提出何種勒索、確立他們的成熟度、在某段既定時間有多少其他企業可能上當,這些都是足以左右協商方式的寶貴資訊。
若受害企業有 30 至 40 台電腦遭到感染,就能改變攻擊者的行為模式,在協商時較不受牽制,因為歹徒手上可能還有很多其他受害目標可供選擇,Minder表示。
許多駭客集團會依受害企業狀況調整勒索的要求,若受害企業是公司行號,通常會是該企業組織粗估年收入的某個百分比。不過,若是歹徒從不可靠來源取得資訊,或對該企業營運架構沒有進一步瞭解,非常可能過份高估。例如,受害企業的母公司可能是具有數十億美元身價的國際級企業集團,但確切受害企業本身不過是某個國家裡的小規模營運商。就政府層面來看,聯邦機構與小型市政當局在財務資源上的重大差異,攻擊者可能無法直接看出來。
Minder表示,當談判專家與攻擊者進行談判時,可以試著讓對方瞭解受害企業的真實財務狀況,最好是直接在商言商,以商業的角度去談判,而不要想動之以情。受害企業若試圖自行協商時,往往會傾向後者的做法。
[ ????大師開講 ─ OWASP台灣分會研發長胡辰澔:建立有效的資安政策 ]
換句話說,與攻擊者間的所有溝通,都可以即時透過安全的管道,讓受害企業瞭解狀況。這樣應變團隊便能參與,提出意見或者建議。
有些情況下,受害企業能利用備份恢復部份系統,這也可以用來當成協商的籌碼。因為受害企業不會願意支付全額贖金,只為了解密他們少數剩餘系統裡的資料。這也是何以擁有能力,盡快偵察出攻擊行為,並執行安全事件應變計畫,能夠做出回應並限制住傷害這點,是非常重要的另一個理由。
「在初期階段,也就是你發現正在進行的攻擊,或察覺勒索軟體正在整個企業環境蔓延時,必須謹慎考量的要項,就是盡快遏制並隔絕攻擊行為。」資料保全公司 Digital Guardian 的資訊安全長 Tim Bandos 如此說明。「總結起來就是,縮減事件範圍並檢視事件記錄確認事件發生地點,以及有哪裡是能夠有效阻斷的。我們曾有個客戶案例,成功地阻止了攻擊事件。該公司讓原本受害範圍在 3000 台伺服器左右的狀況,控制在只有 10 或 15 台伺服器被影響。」在這樣的例子裡,受害企業可能甚至不必支付贖金,因為利用備份恢復 10 或 15 台伺服器不會花太久時間;但若在數千台系統感染的情況下,就必須盡快支付贖金解密資料了。
即便有備份存在,也可能因為應用軟體及其軟體堆疊過時,而難以恢復受影響的系統。Bandos曾遇過的客戶狀況是,一家已具有資料備份的製造業,其中有一臺在過時Windows Server 版本執行內部應用的伺服器,因此系統必須整個重建。那臺伺服器造成的停機時間,會讓該公司耗費每小時高達一萬美元的成本,所以他們最後還是付了贖金。
測試備份回復程序,並為系統正常執行功能所需的全部軟體,建立起系統映像檔的工作也很重要。讓偵測功能就緒,並定期執行可偵測並鎖定檔案加密的端點軟體,盡快將系統從網路隔離,也是相當有用的做法。
[ ????推薦閱讀: 營運持續:轉危為安第一步 ]
Minder與Flashpoint的Schenkel都認為,勒索集團多半願意協商,因此絕大多數案例中,受害企業支付的贖金都只有原先要求的一小部份──因為攻擊者也有時間壓力。談判拖得愈久,受害企業的資訊安全事件應變團隊就愈有時間恢復系統。此外,Schenkel還提到,資料顯示贖金支付的比例,大約是在 25% 到 30% 之間,攻擊者也很清楚這一點。
「雖然我們總認為威脅者相當惡劣,但他們其實只是試圖販售『商品』的人,所以會有坐地起價的情形。」Schenkel說道。「有時要求的贖金會是企業營收的10%、有時更高到20%,但那只是個談判起點。攻擊者一定會願意談判,而且會『講道理』 ─ 如果勉強可以這麼說,因為這種狀況原本是完全沒有道理的。」
不過,進行任何交易前,威脅者必須證明他有能力解密檔案。這多半會透過解密一組樣本資料證明,不過這不代表就萬無一失。有些情況下,攻擊者提供的解密程式可能有問題、可能在特定系統或磁區 (volume) 下無法產生效用,或是有部份資料可能已遭到破壞。有專門針對這類解密程式進行逆向工程的公司,僅利用攻擊者提供的解密金鑰,就能在更有效工具程式裡重新實作出來。
另外可能發生的一種情況是,攻擊者在網路中不同系統裡採用了不同金鑰;而這也正是在接觸攻擊者前,讓鑑識人員與威脅情報單位瞭解攻擊者及其作風如此重要的原因。
一旦支付行為經由談判專家提供或同意的基礎架構完成,來回溝通過程、威脅者的資訊蒐集,與交易相關資訊的所有完整記錄,都會提供給受害企業客戶,做為紀錄保留與法律用途。
洩露資料的威脅,讓協商與恢復複雜化
在處理攻擊事件遭竊的資料時,如果攻擊者還威脅要洩漏企業資料,事情就更複雜了;因為完全無法保證,攻擊者不會毀損這些竊來的資料。在專門處理勒索軟體應變與協商的資安公司Coveware的 2020 年報告中指出,他們發現許多案例中受害企業已支付贖金,但稍晚又被同一份資料敲詐,或是資料仍然被洩漏出去了。
隨著愈來愈多勒索軟體集團採用這種戰術,勒索軟體事件會被視為資料外洩,這類狀況會造成整個處理流程得全部走過一遍。受害企業也可能考慮付錢給威脅情報公司,監控地下論壇與市集,以尋找他們被竊的資料,搶先一步得知何時事件可能如何終結,與這些資料的流向。同時也要了解機密資料可能如何被利用,以便採取其他的預防措施。
事後剖析,獲取教訓
針對每一次的資料勒索事件,都還必須進行事後剖析,並檢視參與的各方人員,包含法律團隊、資訊安全事件應變團隊與IT團隊、勒索軟體談判專家等,所有資訊都必須被回顧檢視。從應變處理程序中學到的課題,應轉化為專案,作為企業組織未來完善封鎖與拖延此類攻擊的能力。
( 本文授權非營利轉載,請註明出處:CIO Taiwan )