两家美国资安公司号称有「特殊技术」帮企业解决勒索软体问题,被揭露其实是瞒着客户代

两家美国资安公司号称有「特殊技术」帮企业解决勒索软体问题,被揭露其实是瞒着客户代

2015~2018 年,叫 SamSam 的变种勒索软体席捲北美及英国,造成超过 200 家公司、3 千万美元以上的损失。犯罪者很聪明的锁定医疗机构及大众资源服务机构,因为很清楚如果这些机构的电脑关闭,可能导致人命相关损失。据估计,勒索者至少收到 600 万美元以上赎金。不过,这起案件中意外发现,有两家所谓的资安公司在趁火打劫。

勒索软体的变种不断增加,SamSam 是其中一种,但是此程式的与众不同之处是能透过未更新修补程式的伺服器端软体接触目标。 重点是,犯罪趋势越来越严峻,勒索攻击时直接锁定企业。近期攻击已大有斩获,这表明网路罪犯改变方式,因为想透过攻击脆弱的企业获取最高的利润。

纽约一间号称提供客户解决勒索软体方案的资料安全公司 Proven Data,前员工 Jonathan Storfer 爆料,一年以上的时间这间公司其实都定期支付赎金给 SamSam 骇客,他就是负责和骇客打交道的人。

虽然比特币支付有匿名且很难追蹤,不过 ProPublica 追蹤了其中 4 笔交易,证实 2017~2018 年,一个由 Proven Data 控制的线上钱包将比特币转交给攻击者控制的钱包,之后又经过多达 12 次转移,最后交给一个伊朗骇客控制的钱包。

「这幺大量的勒赎攻击来自恐怖分子及组织犯罪并不令人惊讶,」Storfer 表示,「问题是,如果每次我们被 SamSam 攻击,每次我们机构去支付赎金(这毫无疑问有风险),是不是技术上表示我们在资助恐怖分子?」

两家美国资安公司号称有「特殊技术」帮企业解决勒索软体问题,被揭露其实是瞒着客户代

Proven Data 公司声称透过他们「最新研发的技术」,可帮助客户恢复被勒索的资料,帮他们解锁。但 Storfer 透露,事实上他们是透过支付赎金的方式,从攻击者处取得解锁工具。

靠支付赎金赚钱的安全公司不只一家,另外一间位于佛州的美国资安公司 MonsterCloud,也是号称有独特技巧让资料恢复,但这方法实际上就是支付赎金。

这两间公司的收费都是以勒索金额的最高金额起跳,然后他们再跟受害者建议,为了未来不再遭受勒索病毒攻击,建议客户再购买其他防护方案等等,等于剥被害者两层皮。

与这两间公司的欺骗方式对照,还有一间公司叫 Coveware,则是公开表示能帮助受害者,如果愿意支付赎金却不知道如何支付比特币,或是不想(有些是不能,因本身是政府组织)直接跟骇客打交道,他们愿意协助。Coveware 就一边帮忙支付比特币赎金,并蒐集骇客的资料,再与政府单位及安全研究单位分享。

Coveware CEO 表示,像 Proven Data、MonsterCloud 这类公司,只要在网上刊登广告,号称「不需支付任何赎金给骇客就能帮你资料解密」,就能轻易绑架受害者的情绪,然后让受害者买单。

他表示:「虽然这种做法有时的确可以解决问题,但牵涉到道德及诚信问题。」

MonsterCloud CEO Zohar Pinhasi 则表示,帮助客户恢复资料的方法非常複杂,每个 Case 都不同。他拒绝讨论公司使用哪些方法,表示这些是商业机密。不过他也说,MonsterCloud 从未误导客户,也从未承诺透过特定方法一定能帮客户百分百恢复资料,因为这根本就不可能。

「我们之所以恢复客户资料的达成率这幺高,在于我们了解攻击者的手法」,他表示:「受害者不该自己跟骇客接触支付赎金,因为他们不知道在跟谁打交道。」

两家美国资安公司号称有「特殊技术」帮企业解决勒索软体问题,被揭露其实是瞒着客户代

至于 Proven Data,则在网站写着:不建议客户直接支付赎金,因为可能是资助犯罪行动。

不过 CEO 回覆 ProPublica 的询问时则承认,支付赎金是作业流程之一。因为公司的任务是:保护客户资料、确保档案可恢复、歹徒不会再提高赎金。通常他们当然会先试着用自己的方式恢复客户资料,但当骇客的勒索方式加密强到一定程度(通常专业骇客做的勒索软体都一定会强到这种程度),他们就会支付赎金。毕竟客户中有些是医院,有病患的生命需要保护。

他也表示,政府部门指出 SamSam 背后是伊朗恐怖分子时,他们就停止支付赎金了,因为这违反美国法律。

事实上,没有任何一条美国法律禁止受害者支付赎金给勒索软体作者。如果你跟 FBI 说要支付赎金,他们会做做样子对你皱眉,然后私下眨眼暗示你「去付吧!」

FBI 发言人曾对支付赎金一事表示,「支付赎金是鼓励犯罪,导致产生更多受害者,以及赎金可能会用在更严重的犯罪活动」,但 2015 年,当初说这些话的探员在 FBI 波士顿举办的研讨会表示,其实他们经常建议受害者乾脆「支付赎金了事」。