与黑客讨价还价：从与勒索软件团伙的50次谈判中获得令人惊讶的教训

网络安全专家的普遍看法是，试图与勒索软件黑客谈判是一个糟糕的主意，但在2020年12月30日，一名受害者打破了规则，给了它一次机会。

“帮帮忙？”他们在其中一台被攻破的电脑上打字。

“你好，”其中一名黑客回答道。你准备好谈判了吗？你的网络和你的所有数据都是由Conti团队加密的。除了加密过程，我们还下载了一大包你的内部文件和文件，这些文件将在谈判失败的情况下公布。恢复价格为850万美元。

讨价还价开始了。

“这是让我们胃灼热的…的价格。”打出受害者的名字。然后，经过一番反复，一件有趣的事情发生了：黑客得到了错误的印象，认为他们的受害者不需要解密密钥，只想销毁文件。因此，黑客提出将索要金额降至212.5万美元，比最初的赎金降低了70%。

在一瞬间，受害者没有纠正误解，并顺其自然地说：“我们仍然相距甚远，但我们认为这是积极的一步。谢谢你们。“

休息片刻后，受害者带着一个还价回来：微不足道的40万美元。黑客索要600,000美元，最终达成协议，价格为450,000美元…但事实并非如此。就在交易完成之前，人们对解密密钥的误解变得明显起来。

幸运的是，已经太晚了。在这一点上，黑客们愿意接受的东西有多少，这一点已经泄露了。在同意快速付款后，黑客接受了这一提议–比他们最初的要求惊人地降低了94.7%。

从别人的错误中吸取教训

大多数时候，像这样的故事是不会被曝光的。勒索软件事件的细节通常被保密，并故意隐藏在公众视线之外。

但法国网络安全记者瓦莱里·马尔基夫不喜欢所有这些秘密。他认为，所有这些与勒索软件团伙的秘密对话都包含了对网络犯罪分子如何运作的宝贵见解，可以被用作反击的武器。

为此，Marchive在过去的几年里编辑了一个广泛的勒索软件谈判聊天档案，最近还向公众提供了这个档案。事实已经证明，这些数据在反击勒索软件方面很有用。例如，网络威胁情报分析师Calvin So最近的数据研究报告使用了风格分析(本质上是写作风格的科学)来帮助识别基于文本对话的个人和模式。

为了帮助这一努力，我们分析了马尔基夫档案中的50份谈判记录样本，发现了一些值得注意的模式和关键要点。

不要支付标价

我们查看了黑客最初提出的赎金要求，并将它们与来自八个不同黑客组织的50次攻击的最低谈判金额进行了比较，之后有一件事变得明显起来：支付全额赎金的人支付的赎金远远超过了安抚帮派所需的金额。

事实上，在我们选择的文字记录中，受害者平均能够将黑客谈判的金额降低到最初要求的一半多一点(52.7%)。

在样本选择中，只有一人支付了全额费用，没有试图获得折扣。虽然不是每个人最终都付钱，但有很大一部分人付钱了，在选择我们的谈判组合时，我们只使用了那些要么付款，要么谈判尝试，或者(通常情况下)两者都进行的成绩单。

以职业球员的身份打球

黑客组织的另一个有趣模式是，他们与受害者进行了专业的、有时是半投机的对话。勒索软件黑客有时会把自己描绘成罗宾汉式的人，暴露你的安全漏洞，并迫使你为分享他们如何进入，当然还有释放加密数据和/或删除个人身份信息的“服务”付费。

在受害者支付比特币赎金后，一名勒索软件谈判代表表示：“已确认你的所有数据都已被擦除。所以你是安全的。”随后，许多购物袋上都出现了一句话：“谢谢你的生意。”从表面上看，这可能会引发一些虚假的“小偷之间的荣誉”反应。但在现实中，这只是一种技术上的等价物，相当于暴徒去街角的商店索要“保护费”。

至于受害者，一些人在谈判期间与黑客进行了友好的开玩笑。在同意了赎金价格后，一名受害者向他的黑客发消息称：“祝你晚安。”“告诉你的老板，你应该休息一段时间，喝一杯好酒，”他继续说道。另一名受害者则留言称赞道：“顺便说一句，你们做的网站很漂亮。比普通公司的支持更好：……”很难说这些例子是一种谈判策略，还是斯德哥尔摩综合症的某种数字形式。

截止日期是Flex

延长最后期限可能是受害者谈判最容易的事情。只要受害者愿意坐到谈判桌前考虑支付费用，黑客就不会为此付出任何代价。有了这一点，黑客的一个重要信息是，他们提出减少赎金的频率有多高，因为长期付款很快就会被公布。

这通常是谈判开始时的第一个姿态–黑客希望交易快速完成，但当他们觉得取得进展或受害者忙于获得资金时，他们愿意推迟最后期限。

披着羊皮的狼

一名黑客不相信受害者的财务借口和恳求，他写道：“到目前为止，看起来你的主要目标是和我们在一起。”

在礼貌的外表下，一股隐晦和明确的威胁暗流正在酝酿。在一次紧张的交锋中，一名黑客挑战一名受害者，嘲弄他们：“你想让我看看你的钢蛋吗？我们有更强的。”当他们嘲笑受害者的还价时，这种情况还在继续，他们发出了不祥的最后通牒：“我们对你的搞笑报价不感兴趣，如果你不提供更好的报价，你就会被发表。”

在另一场关于受害者还价的谈判陷入僵局的交锋中，双方的牙齿再次露出了牙齿：“如果你的领导层想要以120万美元摧毁公司，那是他的选择。”然后，为了提醒人们他们损失有多小：“如果我们不能达成协议，我们只会缩短利润。另一方面，你会被毁掉。”

不要和魔鬼打交道

虽然这位匿名的公司代表可能相对安然无恙，但你不应该认为这是值得与勒索软件组织谈判的迹象；实际上恰恰相反。“每当有人问我，如果他们感染了勒索软件该怎么办，我总是说：不要支付赎金，”PCMag的首席安全分析师Max Eddy说。

虽然我们的样本记录没有显示黑客违背了一旦受害者付款就公布人质数据的承诺，但你必须记住，他们是罪犯，即使他们公布了数据，也不能保证他们不会复制一份数据出售给其他人。正如麦克斯所解释的那样，“坏人没有动力坚持到底。他们拿到了钱，对他们来说，这就是任务的完成。”

这可能是不言而喻的，但将其坚持到勒索软件组的一种方法是从一开始就永远不会成为他们的牺牲品。幸运的是，一些最佳实践可以帮助防止个人和公司成为黑客的牺牲品。首先，PCMag建议实施要求至少20个字符的唯一密码的密码策略。这是一个简单而重要的策略，应该适用于所有员工的工作帐户和您的个人帐户。为此，我们建议使用可靠的密码管理器来帮助创建和管理您的各种帐户的密码。

您还应确保所有工作场所设备(如智能手机和平板电脑)都正确配置并启用了安全功能。只需确保定期修补和更新您的软件和操作系统，并经常备份您的数据。最后，我们推荐各种勒索软件保护应用程序，帮助您确保安全。

你并不孤单

勒索软件黑客使用策略来孤立受害者，并在他们寻求帮助时威胁他们。这延续了这样一种观念，即没有人来帮忙，整个事件对受害者来说是一种尴尬，应该闭门处理。但这与事实大相径庭。在受到攻击的情况下，有许多方法可以寻求帮助。

美国网络安全和基础设施安全局(CISA)提供了官方的阻止勒索软件指南，其中包含许多有用的提示，以避免成为黑客的受害者。它还提供免费的漏洞扫描，以帮助识别和解决潜在的威胁。此外，联邦调查局还提供预防资源，您可以在那里报告网络犯罪并获得帮助。

最后一点：虽然一些勒索软件组织似乎因乌克兰战争而处于变动状态，但Malware Bytes最近的一份报告显示，过去一年的攻击有所增加，美国在全球攻击中首当其冲(43%)。黑客越来越多地将目标对准医院和学校等公共服务部门。

我们可以指望犯罪战术在未来不断演变–例如，人工智能黑客的出现。但无论勒索软件犯罪分子的未来如何，最好的政策是领先他们几步。