這個決定將取決于多種因素,但根據GuidePoint Security的說法,其中一個重要因素應該是實施攻擊的勒索軟件運營商的整體成熟度和知名度。
不成熟的勒索軟件組織:一個獨特的威脅
雖然全球各地的執法機構和政府建議組織不要支付贖金,但我們都知道,盡管知道支付可能不會帶來希望解決的問題,許多組織仍然會這么做。
GuidePoint的研究人員提供了額外的建議:“考慮勒索軟件團伙及其運營商的已知歷史、信譽和可信度,以便做出有關支付或不支付贖金的明智決定。”
與像LockBit、Alphv或Black Basta這樣的成熟RaaS組織不同,不成熟、機會主義的團體更有可能撒謊,重新勒索受害者,且不提供功能正常的恢復工具(例如解密器)。
“我們注意到重新勒索可能是出于貪婪,但也可能是為了掩蓋技術缺陷,比如無法解密加密文件——如果威脅行為者可以繼續要求支付,直到受害者拒絕為止,就有一個合理的解釋可以避免暴露技術不足的行為者,”他們指出。
基于以往的經驗和與同行的討論,研究人員發現,雖然成熟的RaaS團體努力建立穩固的聲譽,以便受害者更有可能支付團體及其附屬機構要求的高額贖金,但規模較小、知名度較低的團體則沒有太多動力去遵守他們設定的規則。
機會主義的勒索軟件運營商通常更有可能:
•針對較小、防御不足的受害者(比如中小企業)
•通過較不復雜的技術手段進入公司系統(如暴露的端口、被泄露的憑證、釣魚、暴力破解而非零日利用)
•使用基礎或“二手”基礎設施(包括談判基礎設施)、泄露或破解的工具,沒有專門的泄露網站,也沒有資源或時間來執行額外的威脅(向受影響的客戶打電話、重復攻擊等)
•對他們的能力撒謊(解密加密數據、訪問特定文件、數據竊?。?/div>
•要求較小的贖金金額 / 在談判后大幅降低金額,但經常不守信用,之后要求更多
研究人員分享了涉及Phobos和DATA LOCKER團體/分支機構的特定案例研究,這些團體/分支機構在協商贖金金額后似乎特別傾向于重新勒索。
“由于沒有品牌需要建立或維護,或者名字可以隨時更改,對于不成熟的勒索軟件團體來說,重新勒索受害者直到他們拒絕進一步支付幾乎沒有什么風險。關于這個話題的社區信息共享很少,這類威脅行為者通常吸引較少的安全報道或審查,”研究人員指出。
他們還提出,”在為勒索軟件事件進行威脅建模或響應計劃時,應將無品牌或不成熟的勒索軟件團體視為一種與較大、更成熟的勒索軟件團體不同的獨立威脅。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號