2015年到2018年,一種叫做SamSam的變種勒索軟體席捲了北美以及英國,造成了超過兩百家公司、三千萬美元以上的損失。而犯罪者很聰明的鎖定了醫療機構以及大眾資源服務的機構,因為它們很清楚如果這些機構的電腦關閉,將可能會導致有人命相關的損失。據估計,勒索者至少收到了6百萬美元以上的贖金。不過,在這起案件中意外的發現,其中有兩家所謂的資安公司,其實是在趁火打劫。
勒索軟體的變種正在不斷增加之中,Samsam 是其中一種,但是此程式的與眾不同之處是它能夠透過未更新修補程式的伺服器端軟體來接觸預期目標。 重點是,犯罪趨勢越來越嚴峻,他們在勒索攻擊中會直接鎖定企業。 近期的攻擊已大有斬獲,這表明網路罪犯改變了方式,因為他們想要透過攻擊脆弱的企業獲取最高的利潤。
紐約一間號稱提供客戶解決勒索軟體方案的資料安全公司Proven Data,他們的一位先前的員工 Jonathan Storfer爆料表示,過去一年以上的時間這間公司其實都定期支付贖金給 SamSam 駭客,而他就是負責跟駭客打交道的那個人。
雖然比特幣支付有匿名而且很難追蹤的特性,不過 ProPublica 追蹤了其中四筆交易,證實從2017年到2018年,一個由 Proven Data 控制的線上錢包將比特幣轉交給攻擊者所控制的錢包,之後又經過多達12次的轉移,最後交給了一個由伊朗駭客控制的錢包。
「這麼大量的勒贖攻擊來自於恐怖份子以及組織犯罪並不會令人驚訝,」Storfer表示,「問題是,如果每次我們被 SamSam 攻擊,每一次我們的機構去支付贖金(這毫無疑問其中是有風險的),是不是在技術上表示我們其實是在資助恐怖份子?」
Proven Data 這間公司聲稱透過他們「最新研發的技術」,承諾他們可以幫助客戶恢復被勒贖的資料,幫他們解鎖。但是Storfer透露,事實上他們是透過支付贖金的方式,從攻擊者那裡取得解鎖工具。
而靠著支付贖金來賺錢的安全公司不止一家,另外一間位於佛州的美國資安公司 MonsterCloud,也是號稱有他們獨特的讓被勒贖的資料恢復的方法,但是這方法實際上就是支付贖金。
這兩間公司的收費都是以勒贖金額的最高金額開啟起跳,然後他們再跟受害者建議,為了未來不再遭受勒贖病毒的攻擊,因此建議他們可以再購買其他的防護方案服務,諸如此類的,等於把被害者剝了兩層皮。
而與這兩間公司欺騙的方式相對照,另外還有一間公司叫做 Coveware,他們則是公開的表示能夠幫助那些受害者,如果他們願意支付贖金卻不知道如何支付比特幣的話,或是不想(有些是不能、因為本身是政府組織)直接跟駭客打交道,他們願意從中協助。而在此同時, Coveware他們一邊幫忙支付比特幣贖金,並且從中蒐集這些駭客的資料,將資料與政府單位以及安全研究單位分享。
Coveware公司的CEO表示,像是Proven Data、MonsterCloud這一類的公司,只要在網路上刊登廣告,號稱「不需要支付任何贖金給駭客就能幫你資料解密」,他們就能輕易的綁架受害者的情緒,然後讓受害者買單。
他表示:「雖然這種作法有時的確是可以解決受害者的問題,但是這種作法涉及了道德以及誠信的問題。」
而 MonsterCloud 的CEO Zohar Pinhasi則表示,幫助客戶恢復資料的方法非常複雜,是每一個CASE都不同的。他拒絕討論公司用了哪些方法,他表示這些是商業秘密。不過他也說,他們公司從未誤導客戶,也從未承諾一定能透過特定的方法,幫客戶百分百的恢復資料,因為這根本就是不可能的。
「我們之所以能恢復客戶資料的達成率這麼高的原因,是在於我們瞭解攻擊者的手法。」他表示:「受害者不該自己去跟駭客接觸支付贖金,因為他們不知道他們在跟誰打交道。」
至於 Proven Data,他們則是在他們的網站上寫著:不建議客戶去直接支付贖金,因為他們可能在資助犯罪行動。
不過他們的CEO在回覆 ProPublica 的詢問時則承認,支付贖金是他們的作業流程之一。因為他們的公司對客戶的任務是:保護客戶資料、確保檔案可以恢復、以及歹徒不會再提高贖金。通常他們當然會先試著用他們的方式恢復客戶資料,但是當駭客的勒索方式加密強到一定的程度(通常專業的駭客所做的勒贖軟體都一定會強到這種程度),他們就會支付贖金。畢竟他們的客戶有些是醫院,裡頭有病患的生命需要保護。
他也表示,不過當政府部門指出 Samsam 背後是伊朗恐怖份子的時候,他們就停止支付贖金了,因為這違反了美國法律。
事實上,沒有任何一條美國的法律禁止受害者支付贖金給勒贖軟體的勒贖者。如果你跟FBI說你要支付贖金,他們在官方上會做做樣子對你皺眉頭,然後私底下對你眨眼暗示你「去付吧」!
FBI發言人曾經對於支付勒贖贖金一事回應表示「支付贖金是鼓勵持續犯罪的行動、導致其他更多的受害者,以及贖金可能會用在更嚴重的犯罪活動上。」但是在2015年,當初說這話的探員,在FBI的位於波士頓的對局內舉辦的研討會中,表示其實他們經常建議受害者乾脆「支付贖金了事」。
