在勒索软件攻击激增的情况下，网络安全专家与黑客进行通信或使用加密货币传输付款。图片来源：MURAD SEZER/REUTERS

他与朋友联合创办的公司GroupSense Inc.监测暗网论坛和聊天群，以了解黑客何时出售对企业计算机网络的访问权限。在GroupSense告诉一家软件公司黑客犯罪分子似乎已将其作为目标后，该软件公司要求GroupSense说服黑客，将解锁勒索软件加密数据的赎金从最初的逾100万美元降低。他说，双方以大约20万美元的金额成交。

很快，GroupSense接到更多来自受害者律师事务所和保险公司的此类请求，到去年底这类请求达到每周10次。该公司根据客户的收入收取1.2万至2.5万美元的固定费用。

“我们不是主动做这个生意的，”Minder谈到赎金谈判市场时表示，他说这是为公司的其他业务赔本赚吆喝。“基本上，我们是极不情愿地被拖进来的。”

赎金勒索软件的日益泛滥和日趋复杂，已经催生出一个由响应人员组成的小规模零散化产业来对抗勒索行为。初创公司已推出可与黑客沟通或使用加密货币支付赎金的业务，与此同时，大型网络公司则通过雇用人员或收购专业公司来帮助客户应对此类勒索攻击以及在遭攻击后恢复正常运作。

虽然多年来勒索软件一直是小企业面临的一个挑战，但在过去一年中，一系列因素使得黑客更加有恃无恐，最终导致向美国东海岸输送汽油的重要管道Colonial Pipeline Co.被迫关闭六天，此事件令勒索软件问题受到新的高度关注。

Colonial Pipeline Co.的首席执行官Joseph Blounts说，这次网络攻击最终将给该公司造成数千万美元的损失。图片来源：COLONIAL PIPELINE

Joseph Blount对《华尔街日报》(The Wall Street Journal)表示，在收到勒索赎金通知的几个小时后，他决定向黑客支付价值约440万美元的比特币。

Blount在这次严重的黑客攻击后的首次公开讲话中说，“我知道这是一个极具争议的决定”。“我并非是轻率地做出这个决定。我承认，看到钱被这样的人拿走，我并不好受。”他表示，但对美国而言这是正确之举。

Colonial Pipeline的一位代表对该公司是否通过谈判来降低赎金不予置评。他在一份声明中称：“我们需要竭尽所能，以便迅速且安全地重启系统。”

是花钱消灾？还是着手应对潜在的破坏性电脑故障、或黑客威胁泄露内部资料的敲诈勒索？受害者必须迅速作出权衡。在最糟糕的情况下，谈判人员会帮助受害者达成他们从来不想达成的交易。

最不容易受到影响的是那些对系统进行备份的企业，这样它们就没有支付赎金的压力，但这样做的前期成本可能很高。

勒索软件对受害者电脑的内容进行加密，如果不支付赎金，这些内容就无法使用。黑客承诺收到钱后会给受害者一串由字母和数字组成的复杂解密密钥，可以解锁它们的系统。通常情况下，受害者支付赎金是因为被病毒感染的系统没有备份，或者是因为恢复成百上千台电脑需所需的工作量令人望而却步。

美国前总统特朗普(Donald Trump)执政时期担任国土安全部最高网络安全官员的Chris Krebs在国会就勒索软件作证时表示：“我们即将迎来一场全球数字疫情，推动这场疫情的是贪婪、一个脆弱的数字生态系统以及不断扩大的犯罪产业。”

学校、律师事务所、地方政府、机场和执法机构都遭到过攻击。

去年9月的一次黑客袭击令连锁医院United Health Services Inc.税前损失了6,700万美元，自那一个月后，勒索软件团伙在一次大范围的攻击行动中导致几十家医院瘫痪。

拥有1万名学生的休斯顿谢尔登独立学区(Sheldon Independent School District)去年遭到勒索软件攻击，导致该学区无法运作并威胁到马上要进行的薪水发放，在这之后，该学区支付了206,931美元的赎金，讨价还价前的赎金数额为大约35万美元。

“我们无法运作，”谢尔顿理事长King R. Davis说。“对我们来说，继续前行是非常重要的。”

加州大学旧金山分校(University of California, San Francisco)去年6月向一名黑客支付了114万美元赎金。该校表示，之所以做出支付赎金的决定，是因为黑客对包括研究在内的重要学术工作数据进行了加密。该校在一份声明中表示，支付赎金是一个“艰难的决定”。

Colonial Pipeline位于马里兰州伍德拜恩的储油罐。图片来源：JIM LO SCALZO/EPA/SHUTTERSTOCK

DarkSide的开发者没有回应置评要求。在这个勒索软件团伙网站的“新闻”部分，他们似乎撇清与Colonial黑客事件的关系，将其归咎于一个联合伙伴。他们表示，未来将加强对其联合伙伴想要攻击公司的控制，以“避免造成社会影响”。

虽然勒索软件团伙通常是关闭关键业务，要求交钱换取恢复业务的密钥，但近年来，这些团伙开始威胁要公开受害者的文件。

网络安全公司Mandiant的高级副总裁Charles Carmakal称，这种转变为黑客们提供了一种新的业务模式，即哪怕受害方能够通过备份来恢复加密的系统，黑客仍然能通过威胁发布盗取的信息来收取赎金。他说：“很多时候，这些受害者都不得不支付赎金。”

安全咨询公司LMG Security LLC的首席执行官Sherri Davidoff表示，现在勒索软件团伙在入侵了受害公司后，会通知该公司的员工甚至是合作伙伴，以最大限度地施压，让受害者支付赎金。DarkSide在其网站上称，如果受害者拒绝付款，DarkSide乐于把从受害者那里窃取的信息卖给做空者。

一些网络专家警告称，这支新兴力量仍难以与日益专业化的黑客组织相抗衡。黑客组织发起了越来越多的勒索软件攻击，美国官员已将此列为国家安全威胁。一些安全公司也担心与犯罪分子接触或为可能违反制裁的付款提供便利会带来风险。

美国司法部的刑事，国家安全和民事部门将参与勒索软件工作小组。图片来源：ARIEL ZAMBELICH/THE WALL STREET JOURNAL

代理副司法部长John Carlin在4月份发布的一份内部通知中表示，勒索软件不仅对企业构成经济威胁，并且危及美国人的安全和健康。

根据该内部通知，该工作小组将把勒索软件列为优先事项，增加培训并为该问题投入更多资源，以寻求加强整个部门的情报共享，并努力确定犯罪分子和民族或国家之间的联系。

该内部通知呼吁制定一项针对围绕勒索软件的整个犯罪生态系统的战略，包括起诉、破坏正在进行的攻击行动和遏制支持此类攻击的服务，譬如宣传勒索软件销售的在线论坛或为勒索软件攻击行动提供便利的托管服务。

美国总统拜登的国家安全副顾问Anne Neuberger称，黑客越来越多地针对有保险的和更富有的公司。图片来源：NICHOLAS KAMM/AGENCE FRANCE-PRESSE/GETTY IMAGES

美国没有负责追踪勒索软件案件的官方信息交换中心，而去年报告给美国联邦调查局(FBI)的勒索软件案件达到近2,500起，同比增加66%。

通常很难获得关于攻击的精确数据，原因之一是肇事者和受害者都希望保密，但据区块链分析公司Chainalysis Inc.提供的信息，2020年，勒索软件受害者至少向犯罪分子支付了价值3.5亿美元的加密货币，金额增长了311%。其他安全专家和网络安全官员估计，目前，勒索软件每年给美国经济造成总计数以十亿美元计损失。

拜登的副国家安全顾问Anne Neuberger在白宫新闻发布会上说，许多公司如果数据被加密，而又没有备份、无法恢复数据的话，往往会陷入困境。

Neuberger还说，有一种“令人不安的趋势”，那就是黑客会瞄准那些有保险、更有钱的公司，这些公司更可能会支付赎金。她说：“我们需要认真考虑这个问题，包括与我们的国际伙伴一起仔细研究，我们除了主动暂停基础设施运行和追究肇事者责任之外还要做些什么，以确保我们不会鼓励勒索软件的猖獗泛滥。”

美国一条汽油输送“大动脉”遭网络攻击停运事件表明，一种专业级别且危险的黑客勒索威胁正在恶化、迅速蔓延并危及企业、学校、医院和其他机构。图片来源：FRANCOIS PICARD/AGENCE FRANCE-PRESSE/GETTY IMAGES

Friedberg说，Stroz Friedberg为企业高管的权衡取舍提供建议，同时该公司与专业谈判人员合作，这些人员对勒索软件组织的策略和可信度有细致的了解，而这是受害者决定如何应对的关键因素。

Friedberg 说：“对企业来说，重要的是解决问题的速度还是降低给勒索软件组织的赎金？”他说：“这些目标往往互斥，而且通常要由董事会层面做出决定。”

咨询公司博思艾伦咨询有限公司(Booz Allen Hamilton Inc.)网络事件应对项目高级副总裁Jerry Bessette说，在高管们讨论策略的时候，博思艾伦等公司的谈判人员通过电子邮件或在线聊天与黑客玩起猫鼠游戏。目的是了解黑客可能窃取了哪些数据，在受害者探究影响并试图利用备份恢复系统时拖延时间。

Bessette说：“时间就是金钱，对双方来说都是如此。”他估计，他的团队有80%以上的调查涉及勒索软件，而几年前比例只有约一半。

支付赎金并不一定意味着公司能够解锁他们的数据。据《华尔街日报》报道，黑客提供给Colonial Pipeline的解密工具未能让该公司完全恢复其系统。

网络安全公司FireEye Inc.旗下咨询公司Mandiant的首席技术官Charles Carmakal称，对于可信的黑客组织来说，这种混乱局面并不常见。但他称，他的团队有时能够从不可用的解密器中提取信息，并设计自己的解密器。

最近的黑客袭击事件发生后，FireEye为Colonial Pipeline提供了咨询，但Carmakal不愿就此置评。他说，这家上市公司没有直接与黑客谈判或付款。

总部位于弗吉尼亚州阿灵顿的GroupSense为此类交易提供便利，该公司与第三方中间人合作将受害企业的现金转换成加密货币，并转移给黑客。

该公司首席执行官Minder称，银行对七位数的交易审查得越来越严格。但他的许多客户包括印刷店和花店等小企业，谈判的赎金在数万美元。

“这与为大公司服务非常不同，大公司有整个委员会处理这件事，”他称。但是对于小公司来说，“只有10年前创业的那个人，而他可能会失去一切。”

延展阅读：我们对勒索软件网络攻击知多少？

图片来源：JIM LO SCALZO/EPA/SHUTTERSTOCK

Colonial Pipeline发生了什么？

美国最大输油管道Colonial在5月7日发现公司遭遇网络攻击，于是关闭部分系统以隔离威胁，暂时停止输油管道的运营。该公司随后表示，发现此次网络攻击涉及勒索软件，这类代码会尝试控制目标的计算机系统，然后向受害者索要赎金以解锁系统。

这家总部位于美国佐治亚州阿尔法雷塔的管道公司的所有者包括IFM Investors、Koch Industries Inc.、KKR & Co. (KKR)和荷兰皇家壳牌集团(Royal Dutch Shell PLC, RDSB)旗下子公司。Colonial表示正努力恢复IT系统，并在制定一项重启管网计划，将在获得联邦监管机构批准后着手恢复运营。

据了解内情的人士称，到目前为止，没有证据表明攻击者侵入了运行管道的重要控制系统。但是，由于这种更深的控制层容易受到网络攻击，一旦感染扩散可能带来严重后果。

这些攻击发生的频率如何？

美国的公司、学校、医院和其他组织机构每天都需应对网络攻击，而Colonial Pipeline遭遇的攻击是其中一个非常高调显眼的例子。自新冠疫情暴发以来，赎金勒索软件攻击已变得更加频繁，手段也更加无耻。

在2020年，能源公司遭到的网络攻击数量在各类行业中排名第三，2019年仅居第九位，因为网络犯罪分子加大了对拥有与操作控制系统相连软件的公司的攻击力度。发电厂、管道运输商和炼油厂使用操作控制系统来运行物理设备，这些系统很容易受到网络攻击。

据称发动这次网络攻击的黑客组织DarkSide是谁？

美国联邦调查局(FBI)表示，黑客组织DarkSide对Colonial网络遭受的攻击负责，FBI正与Colonial和其他政府机构合作进行调查。据知情人士称，参与调查这起网络攻击事件的网络安全调查人员已将DarkSide视为此次攻击的主要嫌疑人。

据网络安全公司Cybereason称，DarkSide是一个有组织的黑客团体，与前苏联加盟共和国中的东欧国家有关联，他们使用一系列新的勒索软件锁定受害者，要求的赎金通常在20万美元到200万美元之间。

Cybereason在4月的一份报告中称，DarkSide集团的勒索软件于去年8月首次曝光，该集团已相对迅速地“建立了非常‘专业’和‘有组织秩序’的声誉，可能已经从勒索软件中获得了数千万美元的利润”。

此次管道黑客事件将对燃料价格有何影响？

到目前为止，市场的反应一直很平淡。但是，如果管道停运持续数日，油价可能会继续攀升，汽油和其他成品油的库存，特别是美国东南部的库存将受到严重冲击。

美国汽车协会(American Automobile Association)表示，全国汽油平均价格已上涨6美分，至每加仑2.96美元，并可能升至2014年11月以来的最高水平，至每加仑2.99美元左右。在密西西比州、田纳西州、以及东海岸的佐治亚州、特拉华州等依赖该输油管道的州，汽油价格可能上涨3美分至7美分。

2021年5月21日12:00 CST 更新

注：本文版权归道琼斯公司所有，未经许可不得翻译或转载。