美国财政部警告：向勒索攻击者支付赎金将面临处罚

美国财政部外国资产控制办公室(OFAC)10月1日发布一项咨询建议，提醒那些与勒索软件攻击受害者有联系的公司，为勒索攻击者提供便利可能会面临制裁风险。这份建议强调了OFAC在其网络相关制裁计划中对恶意网络行为者和那些为勒索软件交易提供便利的人的制裁。建议明确了美国政府报告勒索软件攻击的资源，并提供了OFAC在确定对明显违法行为采取适当法律措施时通常考虑的因素，如制裁合规项目的存在、性质和必要性。该建议还鼓励与勒索软件攻击受害者有接触的金融机构和其他公司向执法部门报告此类攻击，并全面配合，因为这些将被视为重要的缓解因素。在COVID-19疫情大流行期间，由于网络威胁行为者将矛头对准了美国人持续开展业务所依赖的在线系统，被勒索而需要支付勒索赎金的需求有所增加。代表受害者向网络威胁行为者支付勒索软件的公司，包括金融机构、网络保险公司以及参与数字取证和事件响应的公司，不仅会鼓励今后的勒索软件攻击者的肆意妄为，而且可能会违反OFAC的规定。

咨询建议中重点说明的是向勒索者支付赎金会危及美国的国家安全。为恶意网络活动所要求的勒索软件支付提供便利，可能使犯罪分子和具有制裁关系的对手获利并推进其非法目的。例如，支付给被制裁人员或被全面制裁司法管辖区的勒索软件，可能被用于资助不利于美国国家安全和外交政策目标的活动。支付勒索软件还可能鼓励网络行为者从事未来的攻击。此外，向网络行为者支付赎金并不能保证受害者能够重新获得被窃取的数据。

此前，即9月30日，美国国土安全部网络安全和基础设施局和多州信息共享与分析中心发布了一份联合勒索软件指南。

制裁重点及实施方式

财政部外国资产控制办公室的咨询服务通知金融机构和网络保险公司——以及网络安全公司,帮助勒索软件受害者识别和应对攻击,他们可能遭受罚款如果他们帮助支付赎金给攻击者，如果攻击者来自俄罗斯、朝鲜或伊朗，这些国家的攻击者在美国的制裁名单上。OFAC表示，它将倾向于在这方面采取严格措施:那些不知道自己为其制裁名单上的黑客提供赎金的公司，可能会受到民事处罚。美国制裁名单上的著名勒索软件包括那些OFAC与开发Cryptolocker、帮助SamSam资金活动和释放WannaCry 2.0有关的勒索软件。上个月，美国财政部掀起了一场网络制裁热潮，对涉嫌干预2020年大选、欺诈加密货币交易的俄罗斯黑客以及涉嫌攻击异见人士和记者的伊朗黑客进行了严厉打击。

在决定何时处以罚款时，该办公室将对每个案例进行单独审查，但表示，“主动、及时、完整地将勒索软件攻击报告给执法部门”将有助于避免民事处罚，与执法部门合作也是如此。此举止的主要目的是减少对攻击行业的激励。OFAC在解释其提出建议的原因时表示，教唆黑客付款会给国家安全带来潜在风险。

根据FBI的数据，从2018年到2019年，已报告的勒索软件案件增加了37％，相关损失每年增加了147％。向犯罪集团支付赎金早已存在于法律的灰色地带。赎金有时可能达数百万美元，通常支付给东欧或俄罗斯的有组织犯罪集团。美国财政部已经对犯罪勒索软件组织实施了制裁，包括去年12月对总部位于俄罗斯的Evil Corp.的制裁。该组织涉嫌对智能手表制造商Garmin Ltd实施了勒索软件攻击。而据《天空新闻》报道，网络安全公司Arete Incident Response（总部位于美国）代表Garmin向Evil Corp.支付了数百万的赎金以获得数据解密密钥。尽管联邦调查局不鼓励支付赎金，但美国政府此前并未惩罚支付黑客要求的受害者。

业界反应

勒索软件作为一种恶意软件，在2020年尤其活跃，几乎占据了网络安全行业的新闻头条，覆盖几乎所有关键信息基础设施行业。加密文件、锁定计算机并阻止对文件的访问，让网络安全从业者大伤脑筋。被勒索的公司必须决定是通过加密货币支付赎金，还是通过其他方式恢复其文件并重建其计算机网络。这些攻击可能是毁灭性的，有可能使公司运营停止。

网络保险公司Coalition Inc.的首席执行官约书亚•莫特（Joshua Motte）说，改变之处在于美国政府威胁要开始执行这些规则。

网络安全公司Mandiant的高级副总裁兼首席技术官Charles Carmakal说：“勒索软件问题在过去两个月里呈指数级增长。” “ Mandiant仅在9月份就了解到100多个组织的勒索软件运营商可以访问网络，是去年9月份的两倍。”

Carmakal说：“ OFAC咨询的意图是积极的，但这肯定会给已经受到挑战的受害组织增加压力和复杂性，这些受害组织需要保护其被盗客户数据的机密性并在发生安全事件后恢复其业务运营。” “通常不知道勒索受害者的网络罪犯的真实身份，因此组织很难确定他们是否无意违反了美国财政部的制裁。

Eversheds Sutherland律师事务所驻华盛顿办事处的合伙人金格·福克斯(Ginger Faulk)说，虽然勒索软件的受害者似乎不太可能知道他们的勒索者目前是否受到了美国政府的制裁，但无论如何，他们都可能被罚款。Faulk表示，OFAC可能会根据"严格责任"对违反制裁规定的行为处以民事处罚，也就是说，受美国司法管辖的人可能要承担民事责任，即使他不知道或有理由知道他与OFAC执行的制裁法律和法规禁止的人进行交易。他说:“换句话说，要想承担民事(行政)责任(而不是刑事)，根据OFAC的规定，没有必要出于犯罪意图，甚至‘有理由知道’此人受到制裁。”

网络安全公司Emsisoft的首席技术官Fabian Wosar表示，财政部在这方面的政策并不是什么新政策，它们主要是对可能尚未与执法部门和/或第三方安全公司合作的受害公司发出警告。

Wosar说，帮助勒索软件受害者协商降低支付金额和促进金融交易的公司已经意识到违反OFAC的法律风险，通常会拒绝受到某些勒索软件压力影响的客户。

他表示:“根据我的经验，OFAC和网络保险公司与签约谈判代表一直保持着沟通。”“通常还会有清算程序，以确定某些支付是否有违反OFAC规则的风险。”

CISA勒索软件防范指南

CISA在9月30日发布了《勒索软件指南》（RANSOMWARE GUIDE），称这些勒索软件的最佳实践和建议是基于网络安全和基础设施安全局(CISA)和多州信息共享和分析中心(MS-ISAC)的操作洞察力。指南主要针对信息技术(IT)专业人员，以及参与制定网络事件响应政策和程序或协调网络事件响应的组织内的其他人。《指南》分两部分，第一部分描述勒索攻击防御的最佳实践。第二部分描述响应勒索攻击事件的检查表。

《指南》概述称，勒索软件是一种恶意软件，用于对设备上的文件进行加密，使任何文件和依赖这些文件的系统无法使用。然后，恶意的行动者索要赎金以换取解密。近年来，勒索软件事件在国家的州、地方、部落和领土(SLTT)政府实体和关键基础设施组织中越来越普遍。

勒索软件事件会严重影响业务流程，使组织无法获得运营和交付关键任务服务所需的数据。随着时间的推移，恶意行为者已经调整了他们的勒索策略，包括迫使受害者支付，威胁称如果他们拒绝支付，就会公布窃取的数据，并将公开点名和羞辱受害者，这成为勒索攻击的另一种形式，称之为双重勒索。赎金要求也有所增加，有些要求超过100万美元。勒索软件事件在性质和范围上变得更具破坏性和影响力。恶意行为者进行横向移动，以锁定关键数据，并在整个网络中传播勒索软件。这些恶意行为者还越来越多地使用一些策略，比如删除系统备份，这使得受影响的组织的恢复和恢复变得更加困难或不可行的。勒索软件事件的经济和声誉影响，在整个最初的中断，有时会延伸到恢复期，这已经对大大小小的组织都构成了一个重大挑战。

在最佳实践中，梳理了两大方面需要着重注意的事项，如勒索病毒感染向量中，需要关注面向互联网的漏洞和错误配置、网络钓鱼、恶意软件感染前兆、第三方和托管服务提供商。一般的最佳实践和强化指导，如采用双因素认证、最小权限原则、微隔离、网络可管理、限制Powershell和组策略使用等。

在第二部分的响应检查表中，《指南》按照检测与分析（5条）、遏制和根除（11条）、恢复和事件后的活动（3条）三个阶段给出了19条可操作的动作清单。

美国CISA勒索指南原文，《RANSOMWARE GUIDE》,链接https://us-cert.cisa.gov/ncas/current-activity/2020/09/30/cisa-and-ms-isac-release-ransomware-guide

美国财政部《Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments》，链接https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。