Ransomware吗?联邦调查局说不要付钱

2016年9月15日,勒索软件公共服务公告

当勒索软件来袭时,公司应该怎么做?美国联邦调查局称:(a)向执法部门报告,(b)不支付赎金。考虑到最近勒索软件攻击的冲击——比如2016年的一种变体,每天破坏了大约10万台电脑——公司应该考虑他们的事件响应计划是如何应对勒索软件的决策的,并将此场景包括在他们的下一个(或临时)桌面模拟中。

FBI公益公告

在9月15日的一份声明中,FBI敦促各公司站出来向执法部门报告勒索软件攻击。联邦调查局承认,由于各种原因,公司可能不愿联系执法部门:不确定某个特定的攻击是否值得执法部门注意,担心会对声誉造成负面影响甚至尴尬,或者认为在支付了赎金或数据备份已经恢复服务的情况下,报告是不必要的。

尽管存在这些动态,FBI仍呼吁企业帮助打击勒索:“受害者报告让执法部门更了解威胁,为勒索软件调查提供理由,并为正在进行的勒索软件案件提供相关信息。”

联邦调查局还提供了一些企业应该考虑纳入其网络安全项目和/或灾难恢复和业务连续性计划的最佳做法。这些建议包括:定期进行经过验证的备份,确保备份的安全性,实施反病毒和反恶意软件解决方案,增加员工意识培训,制定最低权限原则政策,以及更多的

如何和什么报告

对执法最有帮助的是攻击者工具、签名和配置文件身份信息。该公告列出了公司应考虑向当地联邦调查局联系人提供的信息类别互联网犯罪投诉中心(IC3)门户网站,这是一个自动报告系统,公司可以利用它轻松、快速地报告攻击:

  1. 日期的感染
  2. 勒索软件变体(在勒索页面或通过加密文件扩展名识别)
  3. 受害公司信息(行业类型,业务规模等)
  4. 感染是如何发生的(电子邮件链接、浏览互联网等)
  5. 要求赎金数额
  6. 演员的比特币钱包地址(可能在赎金页面上列出)
  7. 已支付的赎金金额(如有)
  8. 与勒索软件感染相关的总体损失(包括赎金金额)
  9. 受害人影响陈述

不要支付赎金要求

“FBI不支持支付赎金要求。”根据联邦调查局的说法,一些公司永远得不到解密密钥,即使是在付款之后。而且,每一笔支付都“鼓励对手以其他受害者为目标牟利”,激励其他罪犯寻求经济利益的类似行为。

尽管如此,FBI承认,在勒索软件严重威胁核心业务和服务的情况下,高管们必须采取行动保护股东、员工和客户。为了在这方面帮助企业,该公告列出了一些积极的风险缓解措施措施

关键的外卖

  • 监管机构正敦促企业积极应对勒索软件。例如,卫生与公众服务部最近表示根据HIPAA/HiTech制度,勒索软件攻击可以构成可通知的违规行为。他是联邦贸易委员会最近发出警告对已知被勒索软件利用的漏洞进行修补的失败可能违反了《联邦贸易委员会法案》第5条。鉴于这种监管环境,未能与执法部门接触的公司可能会受到审查。事实上,一个联邦贸易委员会助理主任去年在一篇博客文章中解释道该机构将调查该公司是否“与刑事和其他执法机构合作,以逮捕对入侵事件负责的人”,而且,合作的公司将“比不合作的公司更受欢迎”。企业应特别注意FBI提出的建议,并应预料到监管机构将考虑企业在其执法调查/程序中是否以及在何种程度上遵循了FBI的建议。
  • 你愿意付钱吗?在什么情况下?支付赎金的决定在很大程度上取决于当时的情况。公司应该仔细考虑事故响应团队中的谁,以及行政和业务团队中的谁将参与决策。现在应该了解数据库备份的可用性和不可用对业务的影响,以便能够快速、有效地作出决策,并考虑到风险的减少。记住,高管们有一个受托人的注意义务并必须考虑如何履行这些义务,以保持公司的运营,同时保留其资产。
  • 公司现在应该决定他们将如何与执法部门接触,建立门槛来决定何时接触,谁将接触,将以何种形式共享什么信息。公司不愿与执法部门接触的原因有很多,比联邦调查局列举的原因还要多:合作增加了以下风险:泄密事件被公开;对某些信息的特权或工作产品保护可能会丢失;举报可能会引起攻击者的报复;执法部门的调查范围可能会扩大到违反行为之外。行政领导应该为执法行动制定协议。现在应该确定预先批准的签收流程和权限,以便公司能够在事故发生时迅速采取行动。