软件勒索:应该立法禁止向黑客支付赎金吗?(图)
一场在全球范围内肆虐的网络犯罪狂潮再次引发外界对政府禁止向黑客支付赎金的呼吁。
勒索软件罪犯每天都在挟持电脑系统要求受害者支付巨额款项以恢复电脑系统运行秩序。美国最大燃油管道殖民管道公司(Colonial Pipeline)的首席执行官承认,上周他的公司向黑客支付近450万美元。此前黑客攻击迫使该公司停止运输燃料。
但来自比特币分析机构Elliptic的研究表明,这只是沧海一粟。
比特币记录显示,自去年8月以来,黑客组织“黑暗面”(DarkSide)已从大约47名受害者那里得到至少9000万美元赎金。
而“黑暗面”只是至少十几个多产的勒索软件团伙中的一个,他们通过向公司、学校、政府和医院勒索赎金而获利颇丰。他们以匿名方式运作,因此很难被追踪,而许多人在不愿逮捕他们的国家运作。
殖民管道公司在被勒索软件攻击后的数小时内向"黑暗面"支付近450万美元赎金。
执法机构
勒索软件的攻击阻止受害者访问电脑系统或数据,直到支付赎金(电脑系统才能重新正常运转)。
世界各地的执法机构越来越多地敦促受害者不要付款。但支付赎金并不违法。而且许多组织和公司都以秘密方式支付。
现在勒索软件任务组(RTF)的全球网络专家联盟正游说各国政府采取行动。它已提出近50项建议以遏制犯罪狂潮,但在各国是否应该禁止支付赎金的问题上未能达成一致。
BBC问询两位专家成员背后的原因。
“禁止支付将导致相当可怕的‘斗鸡博弈’”
全球安全风险信息解决方案提供商Rapid7的社区和公共事务副总裁詹·埃利斯(Jen Ellis)说:“大多数人同意,在一个理想世界,政府将禁止支付赎金。由于勒索软件攻击是一种以盈利为目的的犯罪,这有望阻止集体犯罪。没人想资助有组织犯罪。问题是,我们并不是生活在理想的世界。”
“我们生活的世界里,禁止付赎金几乎肯定会导致相当可怕的‘斗鸡博弈’。犯罪分子会把他们所有的注意力转移到那些最不可能停机的组织,例如医院、水厂、能源供应商和学校。”
“黑客们可能期望通过这种停机方式对社会造成伤害来施加必要压力,从而确保他们获得报酬。他们这么做几乎没什么损失,还有可能获得大笔报酬。”
“比方说政府建立基金来支持这些机构,这样他们就不用付赎金了。”
据报道在2020年1月被黑客用勒索软件攻击后,外汇交易公司通济隆集团(Travelex)向名为REvil的黑客支付了超过200万美元的比特币。
“如果发生这种情况,攻击者就可以把他们的重点转向没有资源保护的小企业和非营利组织。如果不付钱,他们可能会面临灭顶之灾。面对破产威胁,这些组织可能会考虑秘密付款,这将使他们进一步受犯罪分子摆布,犯罪分子可能会威胁将其(受攻击一事)公开。”
“克服这些问题并非易事。这将需要时间、教育和持续投资。禁止付赎金是伟大目标,要努力实现。但我们必须采取务实的做法,以确保不会造成重大的经济和社会伤害。”
“禁止支付赎金将为组织和机构减轻一些负担”
网络威胁联盟主席兼首席执行官迈克尔·丹尼尔(Michael Daniel)说:“禁止支付赎金的理由很明确。勒索软件攻击的主要动机是出于获利考量。如果无利可图,攻击者就会从这种战术中转移出来。此外,获利的赎金被用于资助如人口贩运、儿童剥削和恐怖主义等其他更危险的犯罪。最后支付赎金会带来更多的攻击,从而加强了攻击者这一策略的效益。”
“没有任何组织和机构愿意支付赎金。相反无论是由于破产的威胁、服务中断造成的声誉损害,还是可能造成的生命损失或大规模的经济破坏,他们觉得别无选择。”
“事实上,从纯粹的短期、组织的角度来看,支付赎金往往是一个经济上的理性决定。 我们需要打破这种循环,剥夺勒索软件生态系统的'燃料'。赎金支付禁令将减轻组织和机构的一些负担,因为它将赎金支付视为非法行为。 ”
据报道,运动品牌Garmin在2020年8月向名为Evil Corp的黑客支付约1000万美元的赎金。
“因此,精心设计的禁令将为被攻击的组织和机构提供杠杆以反击攻击者。 但这种禁令不应立即实施。事实上只有在政府建立有效的受害者支援机制之后,这种禁令才该实施。”
“那些反对赎金支付禁令的人提出了一个很好的观点,即在过渡时期受到攻击的组织可能会面临沉重的代价,甚至有可能倒闭或面临恢复服务的巨大压力。因此为使赎金支付禁令达到其预期效果,政府必须为公司提供资源和支持以抵御这些攻击。”