美国政府正在努力寻找破坏勒索软件网络反应的方法每年都有成千上万的黑客入侵，让网络保险公司停止支付赎金是要求之一。

　　顶级国家一位网络安全顾问在最近的一篇专栏文章中敦促道，“这是一种令人不安的做法，必须结束。”

　　有消息称，联邦调查局建议不要支付黑客的赎金要求，但政府也明白，公司可能需要付出代价才能恢复正常关键操作的控制。

　　随着勒索软件攻击激增，2024年将成为有记录以来最严重的年份之一，美国官员正在寻求应对威胁的方法，在某些情况下，敦促采取新的赎金支付方式。

　　美国负责网络和新兴技术的副国家安全顾问安·纽伯格（Ann Neuberger）最近在《金融时报》的一篇评论文章中写道，保险政策——尤其是那些涵盖勒索软件支付报销的政策——正在助长他们试图减轻的犯罪生态系统。“这是一种令人不安的做法，必须结束，”她写道，并主张将更严格的网络安全要求作为阻止赎金支付的保险条件。

　　在美国政府急于寻找破坏勒索软件网络的方法之际，将网络保险作为改革的关键领域。根据美国国家情报总监办公室的最新报告，到2024年中期，已经记录了2300多起攻击事件，其中近一半是针对美国组织的，这表明2024年的攻击可能会超过2023年全球记录的4506起。

　　然而，即使政策制定者仔细审查保险业务，并探索更广泛的措施来破坏勒索软件的运作，当企业受到攻击时，它们仍然要努力解决一个紧迫的问题：支付赎金，可能会激励未来的攻击，或者拒绝，冒着进一步损害的风险。

　　对于许多组织来说，决定是否支付赎金是一个困难而紧迫的决定。IT服务公司Neovera的安全副总裁保罗·安德伍德说：“在2024年，我参加了联邦调查局的一次简报会，他们继续建议不要支付赎金。”“然而，在发表声明之后，他们表示，他们理解这是一个商业决定，当公司做出这个决定时，考虑的因素比道德和良好的商业惯例更多。就连FBI也明白，企业需要不惜一切代价恢复运营。”安德伍德说。

　　FBI拒绝置评。

　　“这里没有黑白之分，”网络安全专家、Xact IT Solutions首席执行官布莱恩·霍农（Bryan Hornung）说。“在决定你是否愿意支付赎金时，有很多事情要考虑，”他说。

　　恢复运营的紧迫性可能会迫使企业做出他们可能没有准备好的决定，就像担心损失增加一样。“事情持续的时间越长，爆炸半径就越大，”Hornung说。“我曾经和一些ceo呆在一个房间里，他们发誓永远不会付钱，但面对长时间的停工，他们却改变了主意。”

　　除了运营停机之外，敏感数据的潜在暴露——特别是涉及客户、员工或合作伙伴的数据——会增加人们的恐惧和紧迫感。组织不仅面临着声誉立即受损的可能性，还面临着来自受影响个人的集体诉讼，在某些情况下，诉讼和和解的成本远远超过了赎金要求，迫使公司支付赎金只是为了控制后果。

　　“有些律师知道如何根据暗网上的内容组织集体诉讼，”霍农说。“他们有团队查找泄露的信息——驾驶执照、社会安全号码、健康信息——他们联系这些人，告诉他们这些信息就在那里。接下来，你要为一场价值数百万美元的集体诉讼辩护。”

　　一个显著的例子是利哈伊谷健康网络。2023年，这家总部位于宾夕法尼亚州的医院拒绝向ALPHV/黑猫团伙支付500万美元的赎金，导致暗网上13.4万名患者的数据泄露，其中包括约600名乳腺癌患者的裸照。这一事件造成了严重的后果，并引发了一场集体诉讼。诉讼称，“尽管LVHN在公开场合为自己对抗这些黑客并拒绝满足他们的赎金要求而拍拍自己的肩，但他们却有意识地在国际上忽视了真正的受害者。”

　　LVHN同意支付6500万美元和解。

　　同样，背景调查巨头国家公共数据公司（National Public Data）正面临多起集体诉讼，还有20多个州指控该公司侵犯民权，并可能受到联邦贸易委员会（Federal Trade Commission）的罚款。今年4月，一名黑客在暗网上发布了NPD的27亿份记录数据库。这些数据包括2.72亿个社会安全号码，以及在世和已故个人的全名、地址、电话号码和其他个人数据。据称，该黑客组织要求支付赎金以归还被盗数据，但目前尚不清楚NPD是否支付了赎金。

　　但可以确定的是，NPD并没有立即报告这一事件。因此，其缓慢而不完整的回应——尤其是未能为受害者提供身份盗窃保护——导致了一系列法律问题，导致其母公司杰里科影业于10月2日申请破产保护。

　　NPD没有回应置评请求。

　　专门从事勒索软件预防和网络战的网络安全公司BlackFog的创始人达伦·威廉姆斯（Darren Williams）坚决反对支付赎金。在他看来，付费会鼓励更多的攻击，一旦敏感数据被泄露，“它就永远消失了，”他说。

　　即使公司选择付费，也不能保证数据的安全。联合健康集团（UnitedHealth Group）的子公司Change Healthcare在2023年4月遭到ALPHV/黑猫勒索组织的攻击后，亲身经历了这一点。尽管支付了2200万美元的赎金以防止数据泄露并迅速恢复运营，但第二个黑客组织RansomHub对ALPHV/黑猫未能将赎金分发给其附属机构感到愤怒，访问了被盗数据并要求Change Healthcare支付额外的赎金。虽然Change Healthcare没有报告是否支付了赎金，但被盗数据最终在暗网上泄露的事实表明，他们的要求很可能没有得到满足。

　　鉴于许多网络犯罪分子与美国的地缘政治敌人之间存在联系，人们担心支付赎金可能会资助敌对组织，甚至违反制裁，这使得这一决定更加不稳定。例如，根据Comparitech的勒索软件综述，当LoanDepot在1月份遭到ALPHV/BlackCat组织的攻击时，该公司拒绝支付600万美元的赎金要求，而是选择支付预计的1200万至1700万美元的恢复成本。这一选择的主要动机是担心为具有潜在地缘政治关系的犯罪集团提供资金。这次攻击影响了大约1700万客户，导致他们无法访问自己的账户或付款，最终，客户仍对LoanDepot提起集体诉讼，指控其疏忽和违约。

　　

　　Axio的网络安全专家理查德·卡拉利（Richard Caralli）表示，监管审查为决策过程增加了另一层复杂性。

　　一方面，美国证券交易委员会（SEC）最近实施了报告要求，要求披露具有重大意义的网络事件，以及赎金支付和恢复工作，这可能会降低企业支付赎金的可能性，因为它们担心法律诉讼、声誉受损或股东反弹。另一方面，一些公司可能仍然选择花钱优先考虑快速恢复，即使这意味着以后要面对这些后果。

　　Caralli说：“美国证券交易委员会的报告要求肯定对组织应对勒索软件的方式产生了影响。”“与客户、商业伙伴和其他利益相关者一起面对勒索软件的后果是很棘手的，因为组织必须暴露他们的弱点和缺乏准备。”

　　随着《关键基础设施网络事件报告法案》（Cyber Incident Reporting for Critical Infrastructure Act）的通过，该法案将于2025年10月左右生效，许多非sec监管组织将很快面临类似的压力。根据这项裁决，关键基础设施部门的公司（通常是中小型实体）将有义务披露任何勒索软件付款，这进一步加剧了处理这些攻击的挑战。

　　随着网络防御能力的提高，网络犯罪分子的适应速度更快。

　　“训练、意识、防御技术和不付钱都有助于减少攻击。然而，更老练的黑客很可能会找到其他方法来破坏企业，”安德伍德说。

　　网络勒索专家Coveware最近的一份报告强调了勒索软件模式的重大转变。

　　虽然这不是一种全新的策略，但黑客越来越依赖于仅限数据泄露的攻击。这意味着敏感信息被窃取，但没有加密，这意味着受害者仍然可以访问他们的系统。这是对以下事实的回应：公司已经提高了备份能力，并为从基于加密的勒索软件中恢复做好了更好的准备。要求赎金不是为了恢复加密文件，而是为了防止被盗数据被公开发布或在暗网上出售。

　　据Coveware称，在ALPHV/BlackCat和Lockbit崩溃后，孤狼行动者和新兴犯罪集团的新攻击出现了。这两个勒索软件团伙是最多产的，据信LockBit已经对近2300次攻击负责，ALPHV/BlackCat超过1000次，其中75%发生在美国

　　在Change Healthcare攻击中，黑猫窃取了欠其附属公司的赎金后，执行了计划中的退出。在一次国际执法行动中查封了Lockbit的平台、黑客工具、加密货币账户和源代码后，它被关闭了。然而，尽管这些行动已经中断，但勒索软件的基础设施很快就会重建，并以新的名称重新命名。

　　BlackFog的Williams说：“勒索软件是所有犯罪类型中进入门槛最低的软件之一。“其他形式的犯罪具有重大风险，例如监禁和死亡。现在，人们可以在暗网上购物，利用一些最成功的犯罪团伙的工具，收取很少的费用，风险回报比相当高。”

　　网络安全专家普遍同意的一点是，预防是最终的解决方案。

　　作为一个基准，Hornung建议企业将其收入的1%到3%用于网络安全，医疗保健和金融服务等部门处理高度敏感的数据，在这个范围的高端。“如果不这样，你就会有麻烦，”他说。“除非我们能让企业采取正确的措施来保护、检测和应对这些事件，否则企业将会遭到黑客攻击，我们将不得不应对这一挑战。”

　　此外，主动措施，如端点检测——在你的电脑上的一种“保安”，不断寻找不寻常或可疑活动的迹象，并提醒你——或响应和勒索软件回退，一个备份功能，启动，将撤销损害，并恢复你的文件，如果黑客锁定你的系统，可以减少损失，当攻击发生时，安德伍德说。

　　一个完善的计划可以帮助确保支付赎金是最后的手段，而不是第一选择。

　　Caralli说：“组织往往会恐慌，对勒索软件的入侵有下意识的反应。”为了避免这种情况，他强调了制定事件响应计划的重要性，该计划概述了在勒索软件攻击期间采取的具体行动，包括可靠的数据备份和定期演练等对策，以确保恢复过程在真实场景中正常工作。

　　霍农说，勒索软件的攻击和支付的压力仍然很大。“预防总是比治疗便宜，”他说，“但企业却玩忽职守。”

　　这种风险并不局限于大企业。“我们与许多中小型企业合作，我对他们说，‘你们不是小到不会被黑客攻击。你太小了，上不了新闻。’”

　　安德伍德说，如果没有组织支付赎金，勒索软件攻击的经济效益将会减少。但他补充说，这不会阻止黑客。

　　他说：“可以肯定地说，更多不付款的组织也会导致攻击者停止尝试，或者尝试其他方法，比如窃取数据，搜索有价值的资产，然后把它卖给感兴趣的人。”一个沮丧的黑客可能会放弃，或者他们会尝试其他方法。他们在很大程度上处于进攻状态。”